Quiero usar una tarjeta inteligente OpenPGP para firmar lanzamientos, pero no estoy seguro de qué hacer si alguna vez pierdo la tarjeta o se rompe.
Mi idea es generar la clave usando GnuPG en una computadora aislada, cifrarla y hacer una copia de seguridad de ese archivo. Luego transfiera la clave a la tarjeta inteligente (¿hay alguna manera de hacer esto en GnuPG?)
¿Alguna idea mejor?
Con las tarjetas inteligentes OpenPGP, la clave se generará en la tarjeta inteligente utilizando su propio criptoprocesador. La clave nunca debe dejar la tarjeta (puede hacerlo con fines de copia de seguridad).
Si se filtra, hay dos posibilidades:
Si pierdes el acceso a tu clave de cifrado, debes aceptar que un atacante podrá descifrar todo lo que se envíe a esta clave.
Cuando se utiliza una tarjeta inteligente, generalmente es una mala idea generar una clave de firma con un dispositivo externo. Aumenta dramáticamente el riesgo de fugas clave. Por supuesto, puede mitigar estos riesgos utilizando una computadora sin conexión o almacenando la copia de seguridad en una caja fuerte, pero siempre es más seguro generar la clave dentro de un dispositivo criptográfico.
¿Pero qué sucede cuando pierde o rompe su tarjeta inteligente y no hay una copia de seguridad? La respuesta es simple: nada. Debido a que los humanos pueden perder sus llaves, el mecanismo de revocación ha sido inventado. Después de revocar su clave, nadie podrá hacer una firma válida con su clave. Pero todas las firmas que creó antes de la revocación siempre pueden ser validadas por terceros.
Por lo tanto, incluso si pierde su clave de firma, no se necesita una copia de seguridad. Revoca esta clave y crea una nueva. Parada completa.
Tenga en cuenta que solo estoy hablando de claves de firma. Las claves de cifrado son diferentes. Si pierde su clave privada de cifrado, no podrá descifrar los mensajes cifrados que la gente le envió. Por eso puede ser útil tener una copia de seguridad de su clave de cifrado.
Lea otras preguntas en las etiquetas pgp smartcard code-signing