Si entiendo bien, Yubikey con el applet OpenPGP solo tiene sus claves privadas, las protege con una contraseña y las pone a disposición a través de pkcs11.
¿Pero cuál es el punto de usar un Yubikey con el applet OpenPGP si la computadora necesita leer la clave privada para firmar o cifrar? ¿No es lo mismo que almacenar mis claves privadas en una memoria USB y protegerlas con una contraseña?
Con Yubikey la clave privada no abandona el stick. Cualquier operación criptográfica que necesite la clave privada se ejecuta en el propio Yubikey. Este es el mismo concepto que tiene con otros tipos de tarjetas inteligentes.
Contrariamente a una memoria USB cifrada, la clave privada nunca está accesible en la computadora. Si un atacante ha comprometido el sistema, en la mayoría de los casos puede engañarlo para que firme algo que no quiere con Yubikey enchufado. Pero con el dispositivo USB encriptado montado, el atacante puede robar su clave privada y, por lo tanto, usarla cuando quiera, incluso si está afuera. de tu sistema.
Lea otras preguntas en las etiquetas authentication encryption gnupg openpgp yubikey