%20%E7%A7%81%E9%91%B0%E5%8C%AF%E5%87%BA.png)
我在 Windows 上使用 GPG4Win 和 YubiKey 4。
我使用 --card-edit 提示生成了密鑰,因此它們應該(據我所知)從未離開過卡。
使用 PuTTy 集成,它非常適合 SSH 身份驗證。
我的印像是,如果私鑰安全地儲存在智慧卡(YubiKey)上,則您不應該能夠匯出私鑰,因為加密作業將移交給卡板載處理器以避免私鑰離開。
但是,如果我打開 Kleopatra GPG4Win GUI,右鍵單擊我的金鑰並“匯出金鑰”,它會很高興地匯出未加密的私鑰。
我覺得這違背了代幣安全的目標──我做錯了什麼?
我甚至沒有輸入管理員 PIN 碼,只輸入了標準 PIN 碼,因為我一直使用它透過 SSH 進行身份驗證。
如果這是預期的行為,那麼當插入令牌時,如何阻止攻擊者從我的電腦在後台轉儲密鑰?它甚至沒有提示任何形式的進一步授權。