He estado considerando una configuración similar recientemente. Antes de abordar su pregunta, permítame señalar lo que me molesta al respecto. Esto se explica con gran detalle aquí . En resumen, cuando Pass llama a GPG, realiza una criptografía asimétrica innecesaria (RSA / EC) debajo del capó. Innecesario , porque no hay una parte que no sea de confianza aquí.
Esto es molesto porque la criptografía asimétrica es menos a prueba de futuro que la criptografía simétrica. Por ejemplo, la criptografía asimétrica de hoy está rota por computadoras cuánticas suficientemente grandes, que aún no existen. En términos más generales, la criptografía asimétrica depende de "problemas matemáticos" que no sabemos cómo resolver, mucho más que la criptografía simétrica.
Para mitigar esta debilidad, lo menos que puede hacer es mantener su clave pública GPG utilizada con Pass también privada, porque, por ejemplo, el ataque cuántico (potencial) necesita esta clave pública: consulte aquí .
En cuanto a su pregunta real, no está claro si tiene la intención de almacenar el repositorio git (con las contraseñas) de forma pública o privada. Si desea mantenerlo privado, puede hacer lo que quiera y reducir la seguridad de la clave privada GPG a la del medio donde realiza la copia de seguridad del repositorio. Sin embargo, eso podría convertirse en un problema de huevo y gallina: si el repositorio es privado, ¿cómo lo recuperas en caso de un accidente? En otras palabras, en caso de un "accidente grave", debe haber algo que recupere primero . Por lo tanto, es posible que desee mantener privado el repositorio de git, pero haga una copia de seguridad de la clave GPG de tal manera que pueda recuperar primero, independientemente de cualquier otra cosa.
Las soluciones de respaldo fuera de línea son numerosas, abogados, sótanos, etc. ver aquí . Pero los sótanos no son para todos, así que permítanme sugerir una solución en línea:
Cree una frase de contraseña superfuerte que no debe escribirse durante años. Sugerencia: Error ortográfico largo y memorable de una frase que tiene algún significado personal, o de un libro que no se quedará sin copias si necesita buscarlo.
Cree un tarball con su clave secreta GPG exportada, y tal vez sus credenciales SSH.
Cifrar simétricamente con su frase de contraseña: gpg --symmetric --armor
.
Crea una cuenta de alojamiento git gratuita.
Cree un repositorio público , que se pueda clonar sin credenciales.
Ponga la bola de alquitrán encriptada y blindada allí.
Para recuperarlo después de un "accidente grave":
La frase de contraseña simétrica será tu principal protección contra los zombies. Las personas a veces no le dan a usted, ni al lector anónimo, el beneficio de la duda a la hora de elegir frases de contraseña. Pero con una buena frase de contraseña, la criptografía simétrica debería ser sólida.
Cuando exporta su clave privada GPG, se cifrará con una frase de contraseña propia. Las versiones recientes de GPG no permitirán una exportación sin cifrar. Puede usar su frase de contraseña GPG "regular" aquí. Solo recuerde que en caso de un bloqueo, necesitará ambas frases de contraseña para llegar a su clave privada GPG.
Otra respuesta a esto es "fuera de línea", es decir, almacenarlo en un lugar seguro y no conectado a ninguna computadora. Guardo una copia completa y sin cifrar de todas mis llaves en un disquete (lo he estado haciendo así durante mucho tiempo, ahora es un hábito) en la caja de seguridad del banco. La razón por la que los mantengo sin encriptar en los medios en el banco es que un escenario potencial para "perder" la clave es olvidar la frase de contraseña (mis frases de contraseña tienden a tener muchos signos de puntuación y ortografía extraños, y olvidar solo uno de ellos lo hace inutilizable). Nunca tuve que recurrir a recuperarlo de esa copia, pero planeo lo peor.
Además, hay una revocación clave en los medios y una nota que indica a mis herederos qué hacer con ella, en caso de que ya no esté disponible.
fuente