Protezione delle chiavi private

La chiave privata può essere protetta con diversi mezzi:

• Mantieni offline la chiave privata (principale) che significa su un supporto rimovibile che non è collegato al computer per l'uso quotidiano. Per esempio. in GPG / PGP hai chiavi diverse. Uno è la chiave principale e gli altri sono sottochiavi. La chiave principale viene utilizzata per firmare le sottochiavi (simile a un'infrastruttura X.509 in cui il certificato CA principale è il master e i certificati intermedi sono le sottochiavi).
• Non utilizzare la chiave master su un computer connesso a Internet o che potrebbe essere compromesso con altri mezzi.
• Utilizza lunghezze chiave e algoritmi di hash considerati sicuri.
• Utilizza una passphrase strong per crittografare le tue chiavi.
• Revoca immediatamente i certificati per le (sotto) chiavi se ritieni che siano compromesse

Questo approccio è (quasi) indipendente dal software utilizzato. Solo il primo e il secondo punto elenco possono non essere supportati a seconda del software / tasto utilizzato (utilizzando S / MIME hai solo una chiave in circostanze normali).

Un altro fattore che potresti voler aggiungere alla risposta di @ uwe-plonu: tieni le chiavi in un dispositivo che non ti lascerà nemmeno a te, come ad esempio un HSM, una smart card o un token. C'è un piccolo HSM collegato all'USB che è specifico per PGP e scarica l'elaborazione crittografica dal computer. Ciò significa che anche se qualcuno ottiene la proprietà fisica del dispositivo, le chiavi sarebbero molto difficili (salvo un difetto significativo o una fortuna incredibile che indovina la password, effettivamente impossibile) da estrarre.