Al final, es su pregunta: "¿Debo cifrar mi clave privada cuando me la envío por correo electrónico a mí mismo, o hago una copia de seguridad en el almacenamiento en la nube, o en algún otro lugar?"
Entonces la respuesta es sí: encripte absolutamente su Clave Privada PGP antes de "respaldarla" en algún lugar (también encripte los Certificados de Revocación pre-generados).
Un ejemplo para crear un archivo .gpg armado ASCII cifrado, a partir de un archivo .asc de clave privada de texto simple:
gpg --symmetric --cipher-algo=AES256 -a -o 20141022.PGP.66H049E4.prv.gpg 20141022.PGP.66H049E4.prv.asc
Use una utilidad de eliminación como, "destruir", para eliminar el archivo de clave .asc original, de lo contrario se puede recuperar.
La clave privada no se puede utilizar sin la contraseña. Sin embargo , esa Contraseña es completa mucho más fácil de descifrar que la Clave Privada en sí misma.
Hay un par de árboles de ataque empleados para aprovechar las claves privadas sin cifrar / no encriptadas:
-
Ataque de fuerza bruta: cuando intentamos "descifrar" un correo electrónico cifrado con PGP, no intentamos forzar la clave de PGP, especialmente si tenemos una copia de la clave privada a la mano. a.) En su lugar, lo que hacemos es someter la clave privada, a un ataque de fuerza bruta, para obtener la contraseña. b.) Con esa contraseña, luego usamos la clave privada para descifrar mensajes, un árbol de ataques mucho más eficiente.
-
Suplantación, acoso: Una clave privada no cifrada se puede "Importar" en una tienda PGP (GPG, Kleopatra, Windows, etc. a.) Esto crea la apariencia de que una persona en particular usó un dispositivo específico. En Forensic Information Investigation, una clave privada en una máquina cargada en una máquina es una prueba bastante convincente, pero no es concluyente, de que una persona haya utilizado un dispositivo; Además, b.) Las claves públicas se pueden exportar, sin la contraseña, (pero las Claves de revocación no pueden). Al final, puede simular con éxito una "huella" de un usuario en un sistema en particular, falsificar correos electrónicos de ellos con una clave pública adjunta, etc.
Usar una contraseña segura de clave privada es la mejor práctica y frustrará los ataques de fuerza bruta intensos.