GPG SmartCard (YubiKey) Eksport klucza prywatnego

0

Używam GPG4Win na Windowsie z YubiKey 4.

Wygenerowałem klucze za pomocą zachęty --card-edit, więc powinny (AFAIK) nigdy nie opuścić karty.

Dzięki integracji z PuTTy doskonale sprawdza się w przypadku uwierzytelniania SSH.

Miałem wrażenie, że nie powinno być możliwe wyeksportowanie klucza prywatnego, jeśli jest on bezpiecznie przechowywany na karcie inteligentnej (YubiKey), ponieważ operacje kryptograficzne są przekazywane do procesora kart na pokładzie, aby uniknąć jego opuszczenia.

Jednak jeśli otworzę Kleopatrę w graficznym interfejsie użytkownika GPG4Win, klikam prawym przyciskiem myszy mój klucz i „eksportuję tajny klucz”, całkiem chętnie wyeksportuję mój klucz prywatny w postaci niezaszyfrowanej.

Czuję, że ten rodzaj pokonuje obiekt zabezpieczenia wokół tokena - co robię źle?

Nie wprowadziłem nawet administracyjnego kodu PIN, tylko standardowy PIN, ponieważ użyłem go do uwierzytelnienia za pośrednictwem SSH.

Jeśli jest to oczekiwane zachowanie, co ma się zatrzymać, a atakujący zrzuci klucz w tle z mojego komputera, gdy token jest podłączony? Nie wymagał nawet żadnej dodatkowej autoryzacji.

iamacarpet
źródło
Karty inteligentne OpenPGP nie pozwalają na eksport tajnych kluczy, również YubiKey nie. Czy widziałeś, co zostało wyeksportowane? Cokolwiek to jest, nie może to być działający prywatny klucz OpenPGP.
Jens Erat,
Dzięki Jens, masz rację - wygląda dokładnie jak eksport klucza prywatnego, ale to tylko śmieci, ponieważ robi to dokładnie tak samo, jeśli karta inteligentna nie jest podłączona. Spodziewałem się, że to powie, że to niemożliwe, niż bzdury eksportowe.
iamacarpet
1
Zobacz tę odpowiedź na StackExchange, aby uzyskać szczegółowe wyjaśnienie.
emx