フルディスク暗号化を使用しています。とにかく秘密鍵をパスフレーズ暗号化する必要がありますか?
LUKS/dm-cryptですべてのファイルシステム(/ bootを除く)を暗号化したGNU/LinuxラップトップでGnuPGを使用したいとします。バックアップはクライアント側で暗号化され、物理的に安全なサーバーに保存されます。私のファイルはすでに保管時に暗号化されているので、GnuPGが提案するように、秘密鍵をパスフレーズで暗号化するのは面倒なことでしょうか?
もしそうなら、攻撃者が私の秘密鍵ファイルを盗むことができるが、私のパスフレーズは盗まない可能性がある悪用について説明してください。そのようなエクスプロイトは、LUKSがすでに防御しているもの(たとえば、荷物からラップトップを押収するもの)やLUKSとGnuPGパスフレーズの両方を無効にするもの(たとえば、悪意のあるメイドまたはリモートコード実行の脆弱性)と比べて、どれほど実用的ですか。キーロガーがインストールされています)?
ローカルファイル読み取りの脆弱性が時々発生します。これらはサーバー、特にWebサーバーで最も一般的ですが、リモートマシンと通信するすべてのソフトウェアで発生する可能性があります。それはユーザーにあなたの鍵を与えますが、キーロガーをインストールすることを許可しません。
また、キーロガーのインストールは、保護されていないキーを盗むだけの場合よりも攻撃の信頼性がはるかに低くなります。キーロガーを使用すると、攻撃者は通知を逃れる必要があり、関連するパスワードを次に入力するときにロガーを実行させる必要があり、実際にパスワードをキャッチして認識する必要があり、ログに記録されたキーがマシンから降りる何らかの方法が必要です。攻撃者にとって...そして、そのすべてがすぐに使用可能になるのではなく、(次にパスワードを入力するまで)時間がかかります。