Quanto a todas as questões relacionadas com infosec, a primeira coisa a considerar é quem é o atacante que você quer atenuar . Em seguida, elabore possíveis ataques que ele possa realizar e quanto esforço seus dados valem para ele.
Você nunca conseguirá provar segurança. Você precisa provar a segurança não apenas de todo o software em uso (incluindo o sistema operacional e o software aplicativo), mas também dos algoritmos de hardware e criptografia em uso. Neste momento, a ciência ainda luta para provar pequenos trechos de software, longe de provar o GnuPG ou aplicativos similares.
Tudo o que você pode fazer é considerar vetores de ataque possíveis (conhecidos e esperados), selecionar o valor de suas informações para o invasor e aplicar medidas de contador apropriadas. Para obter um máximo de segurança, considere o uso de uma máquina off-line não conectada a nenhuma rede de computadores dentro de um cofre protegido. Não parece apropriado? Muito provavelmente não é, mas você terá que escolher entre conveniência (e custo-benefício) e segurança.
Disco Rígido Criptografado
Todos juntos, nem mesmo criptografando seu disco rígido estarão seguros, se você colocar sua máquina em modo de espera e o invasor for capaz de ler a memória (com grande esforço), ou mesmo modificar / backdoors seu hardware ( ou simplesmente pega a máquina de corrida enquanto ela está desbloqueada). O software malwared obviamente também irá expor suas chaves privadas.
Criptografar seu disco rígido, incluindo espaço para troca, provavelmente é suficiente contra a maioria dos invasores.
Diretório Inicial do GnuPG criptografado
Se você quiser ter certeza de que um invasor "casual" (sem suporte especial de hardware, não muito mais profundo do que o conhecimento de TI "off-the-shelve") ou ladrão de seu computador não tenha acesso às informações armazenadas em seu computador Chaveiro do GnuPG, um volume criptografado deve ficar bem. Possíveis vetores de ataque que posso imaginar:
- arquivos temporários restantes
- seu armazenamento de e-mail, que contém e-mails criptografados / assinados
- malware que acessa seu chaveiro enquanto ele está desbloqueado / farejando sua frase secreta
- usuários admin acessam seu chaveiro enquanto ele está desbloqueado / farejando sua frase secreta
- ...