Ho creato una coppia di chiavi a 4096 bit usando GnuPG.
Posso esporre la chiave privata protetta da passphrase a un sistema non affidabile? Per esempio. posso inserire la chiave nel mio account Dropbox o inviarla a me stessa come allegato di posta elettronica?
Supponendo, ovviamente, che la passphrase sia sufficiente (20+ caratteri).
Confronta mettendo la chiave privata crittografata in uno spazio di archiviazione non sicuro inserendo quello non crittografato in un contenitore crittografato come TrueCrypt o LUKS. Tecnicamente, il risultato è praticamente lo stesso, a parte i metadati OpenPGP visibili per la chiave privata crittografata.
La tua chiave è sicura quanto l'algoritmo di crittografia simmetrica applicato per crittografarlo usando la passphrase. Generalmente, gli algoritmi applicati sono considerati sicuri; dato un passphrase ragionevolmente lungo che impedisce gli attacchi di forza bruta è usato mettendo una chiave privata su una memoria non fidata non deve essere un assoluto no-go.
Ma sappi che stai perdendo una seconda rete di sicurezza: dato che la passphrase è incrinata / trapelata (in qualsiasi momento in futuro!) o si riscontrano problemi con l'algoritmo di crittografia simmetrica in uso, hai perso il livello di sicurezza aggiuntivo di non rendere disponibile la chiave privata crittografata.
Considera anche l'utilizzo di smart card OpenPGP per "condividere" una chiave tra computer e soprattutto sottochiavi mentre conservare offline la chiave primaria privata (forse anche su una pen drive solitamente non collegata al computer). Indipendentemente dal fatto che tu abbia caricato la chiave o meno, sicuramente hai già creato un certificato di revoca ?
Se il sistema protetto non è così critico, sì certo. Vai avanti. Ma prendi nota che qualunque cosa sia quella chiave, viene effettivamente sostituita dalla passphrase. Pensa a un caveau che viene sostituito da una cassa.
Dovresti assumerti la responsabilità nel caso in cui la passphrase in qualche modo trapelasse (come risultato di ubriachezza, tortura, ecc.)
Dipende, ma probabilmente no. Anche se la passphrase è sufficiente, puoi utilizzare un algoritmo debole o non sicuro per crittografare la chiave privata.
Quindi, dobbiamo anche assumere che la chiave abbia un periodo di validità. Il periodo di validità non deve essere più lungo di quello che sarebbe necessario per rompere l'algoritmo. Dobbiamo anche dare per scontato che Dropbox possa farne una copia, quindi l'algoritmo deve essere sicuro finché la chiave è valida.
Leggi altre domande sui tag public-key-infrastructure pgp gnupg