將 gpg 私鑰儲存在我的本機電腦上是否是好的/常見做法,即使我打算將它們用於 pass,這顯然會加密敏感資料。
有沒有明智的替代方案,例如將其儲存在 USB 記憶棒上?
我使用的是 Debian Buster Machine。
編輯:請告訴我這個問題是否放錯地方了。我會立即刪除它
答案1
常見做法?確實。
好的做法?這取決於您的威脅模型以及您要保護的資料的敏感度。
例如,我喜歡將 PGP 與智慧卡一起使用,並使用帶有密碼鍵盤的讀卡機。因此,鍵盤記錄器無法竊取密碼。如果電腦被盜,子密鑰不會儲存在本機。那麼我的 PGP 金鑰外洩的風險就很低。
我還確保在沒有網路存取權並運行 Tails 等即時發行版的氣隙電腦上產生金鑰,然後立即將它們傳輸到智慧卡。
總而言之,您需要保護兩件事:私鑰和密碼。您電腦上安裝的特洛伊木馬可能會同時取得這兩者。
假設您的鑰匙存放在筆記型電腦上並且它被盜了。假設您的筆記型電腦沒有加密的磁碟、BIOS 密碼或某種障礙,竊賊可以存取私鑰,但沒有密碼,儘管理論上可能會進行暴力攻擊。
當然,您可以更好地保護筆記型電腦,例如使用 luks 或其他方案加密您的分割區,使用強密碼這不容易猜到。然後你就讓小偷很難或根本不可能洩漏你的秘密。
是的,PGP 金鑰應該得到很好的保護,但良好的電腦安全衛生不止於此。