1

Есть ли способ предотвратить экспорт закрытого ключа OpenPGP, например, запрашивать пароль перед каждым экспортом?

Я несколько раз пытался экспортировать свой закрытый ключ, и GnuPG не запрашивал у меня пароль перед каждым экспортом. Экспортированный закрытый ключ зашифрован.

2 ответа2

0

На самом деле, нет. В конце концов, все ваши личные ключи хранятся на диске, и ваша парольная фраза уже защищает их от кражи.

GnuPG 2.x вроде работает так , как вы хотите. В 1.x "экспорт" просто скопировал соответствующий фрагмент секрета (все еще зашифрованный, без каких-либо изменений) в выходной файл. В 2.x экспорт ключей осуществляется через gpg-agent, который хочет сначала расшифровать ключ, используя текущую ключевую фразу, и повторно зашифровать его новым.

Но даже если экспорт был запрещен, кто-то может легко скопировать secring.pgp или private-keys.d/ прямо из вашего ~/.gnupg/ . Однако, не зная парольную фразу, они бесполезны.

0

Экспорт (зашифрованного) секретного ключа ничем не отличается от простого копирования секретного набора ключей. Если вы хотите предотвратить это, вы должны запретить доступ к файлам (соответствующие разрешения, но вы вряд ли сможете защитить его от системного администратора компьютера или любого вредоносного приложения, работающего под учетной записью вашего пользователя).

Однако существует способ защитить закрытый ключ от копирования: OpenPGP в целом и, в частности, GnuPG поддерживают смарт-карты OpenPGP. Эти смарт-карты содержат свой собственный криптопроцессор, выполняющий операции с закрытым ключом, поэтому закрытый ключ никогда не покинет карту (в конце концов, его нельзя экспортировать). Такие смарт-карты доступны в различных вариантах: традиционные смарт-карты, которые продаются KernelConcepts или поставляются в качестве членской карты FSFE. Также доступны USB-токены, например, YubiKeys и Nitro Key.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .