Este considerată o practică proastă să stocați apoi cheile și fișierele criptate
unul altuia?
Da, nu este ideal să puneți cheia în același loc cu textul cifrat. De exemplu, poate că fișierele din containerele deschise LUKS sunt arhivate și încărcate în același cont de stocare a obiectelor, ca o copie de rezervă bazată pe fișiere. Un adversar care acordă atenție va lua cheia privată și va încerca să decripteze cu ea.
Un volum LUKS separat poate fi mai sigur în măsura în care face textul simplu mai puțin accesibil. Deschiderea volumului doar atâta timp cât efectuați operațiuni GPG reduce expunerea.
În lumea reală, sunt necesare compromisuri practice. Cheile de pe disc sunt ușor de utilizat. Cheia protejată cu expresia de acces încetinește utilizarea acesteia de către atacator, dar este doar o chestiune de timp. Dacă este luată o copie a unei chei private GPG, considerați-o compromisă. Luați în considerare reintroducerea cheii.
Există alternative la această dilemă?
În mod ideal, nu stocați cheia privată pe un spațiu de stocare online. Utilizați un token hardware pentru smartcard pentru cheia privată, YubiKey sau similar. Depozitați copii de rezervă la rece pe dispozitive de stocare minuscule sau chei de hârtie și puneți-le într-un loc offline securizat, cum ar fi siguranța pentru continuitatea afacerii. Măsuri extraordinare, dar secretele sunt speciale, deoarece deblochează alte date.