Protección de claves privadas

La clave privada se puede proteger de varias maneras:

• Mantenga la clave privada (maestra) fuera de línea que significa en un medio extraíble que no está conectado a la computadora para uso diario. P.ej. En GPG / PGP tienes diferentes claves. Una es la llave maestra y las otras son teclas secundarias. La clave maestra se usa para firmar las claves secundarias (similar a una infraestructura X.509 donde el certificado de CA raíz es el maestro y los certificados intermedios son las claves secundarias).
• No use la llave maestra en una computadora que esté conectada a Internet o que pueda verse comprometida por cualquier otro medio.
• Use longitudes de clave y algoritmos hash que se consideran seguros.
• Use una contraseña segura para cifrar sus claves.
• Revoca los certificados de las (sub) claves inmediatamente si sospechas que están comprometidos.

Este enfoque es (casi) independiente del software utilizado. Solo la primera y la segunda viñetas no se admiten, según el software / la clave utilizada (si utiliza S / MIME, solo tendrá una clave en circunstancias normales).

Otro factor que puede agregar a la respuesta de @ uwe-plonu: mantenga las teclas en un dispositivo que no le permita ni siquiera acceder a ellas, como un HSM, una tarjeta inteligente o un token. Hay un pequeño HSM conectado por USB que es específicamente para PGP y descarga el procesamiento criptográfico de la computadora. Esto significa que incluso si alguien tuviera la propiedad física del dispositivo, las claves serían muy difíciles (salvo un defecto significativo o una suerte increíble adivinando la contraseña, de hecho, imposible) para extraer.