最近、同様の設定を検討しています。あなたの質問に取り組む前に、私がそれについて私を悩ますことを指摘させてください。これはここで非常に詳細に説明されます。要するに、PassがGPGを呼び出すと、内部で不要な非対称(RSA / EC)暗号化を実行します。不要 -ここには信頼できない当事者がいないため。
非対称暗号は対称暗号よりも将来性が低いため、これは面倒です。例えば、今日の非対称暗号は、まだ存在しない十分に大きな量子コンピューターによって破壊されています。より一般的には、非対称暗号は、解決方法がわからない「数学の問題」に依存しており、対称暗号よりもはるかに重要です。
この弱点を緩和するためにできることは、たとえば(潜在的な)量子攻撃がこの公開鍵を必要とするため、GPG公開鍵をPassで使用することです。こちらを参照してください。
実際の質問では、gitリポジトリ(パスワード付き)をパブリックに保存するかプライベートに保存するかは不明です。プライベートに保ちたい場合は、ほぼ何でもできます。GPGプライベートキーのセキュリティを、レポジトリをバックアップするメディアのセキュリティに下げることができます。ただし、それは鶏と卵の問題になる可能性があります。レポジトリがプライベートの場合、クラッシュした場合にどのように戻すのですか?言い換えると、「悪いクラッシュ」の場合、最初に取得するものが必要です。そのため、gitリポジトリを非公開にしたい場合がありますが、最初に取得できる方法でGPGキーをバックアップします。
オフラインバックアップソリューションは多数あります。弁護士、地下室などはこちらをご覧ください。しかし、地下室は万人向けではないので、オンラインソリューションを提案させてください。
長年入力することを意図していない、非常に強力なパスフレーズを作成します。提案:個人的に重要なフレーズ、または検索する必要がある場合にコピーが尽きることのない本の、記憶に残る長いスペルミス。
エクスポートされたGPG秘密鍵と、おそらくSSH資格情報を使用してtarballを作成します。
パスフレーズで対称的に暗号化します:gpg --symmetric --armor
。
無料のgitホスティングアカウントを作成します。
資格情報なしで複製できるパブリックリポジトリを作成します。
そこに暗号化された装甲タールボールを入れます。
「悪いクラッシュ」の後にそれを取得するには:
ライブUSBスティックを起動します。
パブリックリポジトリを複製します。
gpg --decrypt
。
対称パスフレーズは、ゾンビに対する主な保護になります。パスフレーズの選択に関して、人々はあなたや匿名の読者に疑いの恩恵を与えないことがあります。しかし、パスフレーズが適切であれば、対称暗号は堅固でなければなりません。
GPG秘密鍵をエクスポートすると、独自のパスフレーズで暗号化されます。GPGの最近のバージョンでは、暗号化されていないエクスポートは許可されません。ここで「通常の」GPGパスフレーズを使用できます。クラッシュが発生した場合、GPG秘密鍵に到達するには両方のパスフレーズが必要になることに注意してください。