Хранить ли закрытые ключи GPG на локальном компьютере?

Хранить ли закрытые ключи GPG на локальном компьютере?

Является ли хорошей/общепринятой практикой хранить закрытые ключи gpg на моем локальном компьютере, даже если я собираюсь использовать их для прохода, что, очевидно, шифрует важные данные?

Есть ли разумная альтернатива, например, хранение на USB-накопителе?

Я работаю на машине Debian Buster.

Редактировать: Пожалуйста, сообщите мне, если этот вопрос неуместен здесь. Я удалю его немедленно

решение1

Обычная практика? Определенно.

Хорошая практика? Это зависит от вашей модели угроз и степени конфиденциальности данных, которые вы пытаетесь защитить.

Мне, например, нравится использовать PGP со смарт-картами и использовать считыватель с PINpad. Таким образом, кейлоггер не сможет украсть парольную фразу. Если компьютер украден, подключи не хранятся локально. Тогда риск компрометации моих ключей PGP низок.

Я также обязательно генерирую ключи на изолированном компьютере без доступа к сети и работающем на нем дистрибутиве, например Tails, и немедленно переношу их на смарт-карту.

Подводя итог, вам нужно защитить две вещи: закрытые ключи и парольную фразу. Троян, установленный на вашем компьютере, может потенциально получить доступ к обоим.

Допустим, ваши ключи хранятся на ноутбуке, и его украли. Если предположить, что на вашем ноутбуке нет зашифрованного диска, пароля BIOS или какого-либо препятствия, вор может получить доступ к закрытым ключам, но у него нет парольной фразы, хотя атака методом подбора возможна в теории.

Конечно, вы можете лучше защитить ноутбук, например, зашифровать свой раздел с помощью luks или другой схемы, используяНадежный паролькоторые нельзя легко угадать. Тогда вы затрудняете или делаете совершенно невозможным для вора раскрытие ваших секретов.

Да, ключи PGP должны быть хорошо защищены, но соблюдение правил компьютерной безопасности на этом не заканчивается.

Связанный контент