Se ho capito bene, Yubikey con l'applet OpenPGP contiene solo le tue chiavi private, le protegge con una password e le rende disponibili tramite pkcs11.
Ma che senso ha usare Yubikey con l'applet OpenPGP se il computer ha bisogno di leggere la chiave privata per firmare o crittografare? Non è come archiviare le mie chiavi private in una chiavetta USB e proteggerle con una password?
Con Yubikey la chiave privata non lascia il bastone. Qualsiasi operazione crittografica che richiede la chiave privata viene eseguita sullo stesso Yubikey. Questo è lo stesso concetto che hai con altri tipi di smartcard.
Contrariamente a una chiavetta USB crittografata, la chiave privata non è quindi mai accessibile sul computer. Se un utente malintenzionato ha compromesso il sistema, può al massimo indurti a firmare qualcosa che non vuoi con Yubikey collegato. Ma con la chiavetta USB crittografata montata, l'utente malintenzionato può effettivamente rubare la tua chiave privata e quindi usarla quando vuole anche fuori del tuo sistema.
Leggi altre domande sui tag authentication encryption gnupg openpgp yubikey