Я использую GPG4Win на Windows с YubiKey 4.
Я сгенерировал ключи с помощью приглашения --card-edit, так что (насколько мне известно) они никогда не должны были покидать карту.
Благодаря интеграции с PuTTy он отлично подходит для аутентификации SSH.
У меня сложилось впечатление, что вы не сможете экспортировать закрытый ключ, если он надежно хранится на смарт-карте (YubiKey), поскольку криптографические операции передаются встроенному процессору карты, чтобы предотвратить его утечку.
Однако если я открою Kleopatra в графическом интерфейсе GPG4Win, щелкну правой кнопкой мыши по своему ключу и выберу «экспортировать секретный ключ», он успешно экспортирует мой закрытый ключ в незашифрованном виде.
Мне кажется, что это подрывает саму суть безопасности токена. Что я делаю не так?
Я даже не вводил PIN-код администратора, только стандартный PIN-код, который я использовал для аутентификации через SSH.
Если это ожидаемое поведение, что остановит злоумышленника от того, чтобы сбросить ключ в фоновом режиме с моего ПК, когда токен подключен? Он даже не запросил никакой дополнительной авторизации.