Como evitar que uma chave privada do OpenPGP seja exportada?

Não realmente. No final, todas as suas chaves privadas são armazenadas em disco, e sua senha já é que protege contra roubo.

GnuPG 2.x tipo de funciona do jeito que você quiser. Em 1.x, "exportando" apenas copiou o pedaço relevante do secring (ainda criptografado, sem qualquer alteração) para o arquivo de saída. Em 2.x, a exportação de chaves passa pelo gpg-agent, que deseja primeiro descriptografar a chave usando a senha atual e criptografá-la novamente com uma nova.

Mas, mesmo se a exportação fosse proibida, alguém poderia copiar facilmente o secring.pgp ou private-keys.d/ diretamente do seu ~/.gnupg/ . Sem saber a frase secreta, no entanto, eles são inúteis.

A exportação da chave secreta (criptografada) não é diferente de apenas copiar o chaveiro secreto. Se você quiser evitar isso, você deve impedir o acesso aos arquivos (permissões adequadas, mas dificilmente será capaz de protegê-lo do administrador do sistema do computador ou de qualquer aplicativo mal-intencionado em execução na conta do usuário).

Existe uma maneira de proteger uma chave privada de ser copiada: O OpenPGP em geral e especificamente o GnuPG tem suporte para cartões inteligentes OpenPGP. Esses smartcards mantêm seu próprio processador de criptografia executando operações de chave privada, de modo que a chave privada nunca sairá do cartão (não pode ser exportada depois de tudo). Esses cartões inteligentes estão disponíveis em diferentes formas: smartcards tradicionais vendidos por KernelConcepts ou enviados como cartão de membro da FSFE . Também há tokens USB disponíveis, por exemplo, as YubiKeys e Nitro Key .