Supponendo che la tua chiave privata PGP sia protetta con una password, e "scappa", ma la password no, quanto dovresti preoccuparti?
Ovviamente nel mondo reale, si dovrebbe immediatamente revocare la chiave e generarne una nuova. Ma a livello teorico, avendo una chiave privata, ma non la sua password associata, ti avvicini di più alla decodifica dei messaggi crittografati con essa?
Il punto di una password è impedire che la chiave venga immediatamente compromessa una volta che perde. Dovrebbe essere considerato parzialmente compromesso anche se la sicurezza viene ridotta dalla dimensione della chiave alla complessità della password. Se hai una password ad alta complessità, potrebbe comunque essere un livello accettabile di sicurezza per le tue esigenze, ma in generale è consigliabile lavorare sulla sostituzione della chiave poiché la sicurezza è ridotta.
L'urgenza della transizione dipende comunque dalla tua password. Se la tua password era "password", dovresti smettere immediatamente di usarla e passare, ma se fosse qualcosa di abbastanza complesso, dovresti essere in grado di continuare a usarla per un po 'e distribuire la tua nuova chiave pubblica ai tuoi contatti che la utilizzano. Non usarlo per tutto ciò che ti serve per la privacy a lungo termine, ma dovrebbe essere buono per comunicare le tue nuove credenziali con la certezza che tu controlli ancora la chiave privata per il futuro ragionevole.
Non è così difficile forzare la password una volta che hai la chiave, a meno che la password non sia molto lunga.
Quindi avere la chiave enrypted avvicina l'attaccante alla chiave vera. Tuttavia, crea una password di 20 caratteri (e non usare le parole del dizionario), e dovresti stare bene, dato che le password lunghe richiederanno molto tempo alla bruteforce.
Leggi altre domande sui tag encryption public-key-infrastructure pgp