Estou usando o GPG4Win no Windows, com um YubiKey 4.
Gerei as chaves usando o prompt --card-edit, então elas (AFAIK) nunca deixaram o cartão.
Usando a integração do PuTTy, funciona muito bem para a autenticação SSH.
Fiquei com a impressão de que você não deveria poder exportar a chave privada se ela estiver armazenada com segurança no cartão inteligente (YubiKey), já que as operações de criptografia são entregues ao processador onboard para evitar que ele saia.
No entanto, se eu abrir o Kleopatra na GUI do GPG4Win, clique com o botão direito do mouse na minha chave e "exportar chave secreta", ele exportará minha chave privada sem criptografia.
Eu sinto que esse tipo de derrota o objeto da segurança em torno do token - o que estou fazendo errado?
Eu nem tinha inserido o PIN do administrador, apenas o PIN padrão, como eu o estava usando para autenticação via SSH.
Se esse é o comportamento esperado, o que deve ser interrompido e o invasor jogando a chave em segundo plano do meu PC quando o token está conectado? Nem sequer solicitou qualquer tipo de autorização adicional.