Suponiendo que su clave privada PGP está protegida con una contraseña y se "escapa", pero la contraseña no, ¿qué tan preocupado debería estar?
Obviamente, en el mundo real, inmediatamente revocarías la clave y generarías una nueva. Pero a nivel teórico, ¿tener una clave privada, pero no su contraseña asociada, te acerca más al descifrado de los mensajes cifrados con ella?
El punto de una contraseña es evitar que la clave se vea comprometida inmediatamente una vez que se filtre. Se debe considerar parcialmente comprometido, ya que la seguridad se reduce desde el tamaño de la clave hasta la complejidad de la contraseña. Si tiene una contraseña de alta complejidad, aún puede ser un nivel aceptable de seguridad para sus necesidades, pero generalmente es recomendable trabajar para reemplazar la clave ya que la seguridad se reduce.
Sin embargo, la urgencia de la transición depende de su contraseña. Si su contraseña era "contraseña", debería dejar de usarla inmediatamente y hacer la transición, pero si era algo bastante complejo, debería poder seguir usándola un poco y distribuir su nueva clave pública a los contactos que la usan. No lo use para nada en lo que necesite privacidad a largo plazo, pero debería estar bien para comunicar sus nuevas credenciales con la confianza de que aún controla la clave privada en un futuro razonable.
No es tan difícil forzar la contraseña una vez que tienes la clave, a menos que la contraseña sea muy larga.
Por lo tanto, tener la clave encriptada hace que el atacante se acerque más a la clave real. Sin embargo, haga que su contraseña tenga 20 caracteres (y no use palabras del diccionario), y debería estar bien, ya que las contraseñas largas demorarán mucho tiempo en fuerza bruta.
Lea otras preguntas en las etiquetas public-key-infrastructure encryption pgp