Voglio utilizzare una smart card OpenPGP per firmare le versioni, ma non sono sicuro di cosa fare se perdo la scheda o si rompe.
La mia idea è di generare la chiave usando GnuPG su un computer isolato, crittografarla e fare il backup di quel file. Quindi trasferisci la chiave sulla smart card (esiste un modo per farlo in GnuPG?)
Qualche idea migliore?
Usando le smart card OpenPGP, la chiave verrà generata sulla smartcard usando il proprio criptoprocessore. La chiave non deve mai lasciare la scheda (è possibile farlo a scopo di backup).
Se ci sono perdite, ci sono due possibilità:
Se perdi l'accesso alla chiave di crittografia, devi accettare che un utente malintenzionato sia in grado di decodificare tutto ciò che viene inviato a questa chiave.
Quando si utilizza una smartcard, di solito è una cattiva idea generare una chiave firma con un dispositivo esterno. Aumenta notevolmente il rischio di perdite chiave. Naturalmente puoi mitigare questi rischi utilizzando un computer offline o archiviando il backup in una cassastrong, ma è sempre più sicuro generare la chiave all'interno di un dispositivo crittografico.
Ma cosa succede quando perdi o rompi la tua smartcard e non c'è un backup? La risposta è semplice: niente. Poiché gli umani possono perdere le loro chiavi, il meccanismo di revoca è stato inventato. Dopo aver revocato la tua chiave, nessuno sarà in grado di creare una firma valida con la tua chiave. Ma tutte le firme che hai creato prima della revoca possono sempre essere convalidate da qualsiasi terza parte.
Pertanto, anche se si perde la chiave di firma, non è necessario alcun backup. Revoca questa chiave e creane una nuova. Punto fermo.
Si noti che sto parlando solo delle chiavi di firma. Le chiavi di crittografia sono diverse. Se si perde la chiave privata di crittografia, non sarà possibile decodificare i messaggi crittografati inviati dagli utenti. Ecco perché potrebbe essere utile avere un backup della tua chiave di crittografia.
Leggi altre domande sui tag code-signing pgp smartcard