Security 是否可以存储GPG'；d 4096位RSA SSH私钥是否公开？

考虑这样一种情况，即您有一个要备份的SSH密钥对

选择A：将id_rsa文件以二维码形式存储在一张纸上的保险箱中

选择B：使用GPG（对称）加密id_rsa文件，使用31个字符的随机混合大小写字母数字密码，将二维码形式的密码放在保险箱的一张纸上，然后将id_rsa.GPG文件放在任何人都能看到的地方。（这样做的好处是二维码需要存储的字节要少得多，并且可以更紧凑地打印）。用于选项B的加密命令为：

gpg -c --force-mdc --s2k-mode 3 --s2k-count 65011712 --output id_rsa.gpg id_rsa

选择B是否可以接受？如果不是，将密码更改为超过31个字符是否可以接受？如果可以接受，有没有办法描述选择B所承担的风险有多大？假设SSH密钥本身有一个空密码短语。谢谢

（编辑：正如评论中指出的，公开存储id_rsa.gpg文件的目的是确保大量副本可以存储在许多地方，这样我们就不用担心丢失副本，也不用担心每个存储位置都是安全的）

---

（编辑2：我还想到，如果选项B令人满意，那么选项B不仅是存储SSH密钥对的好方法，而且也是存储常规非对称GPG密钥对的好方法）。

如果使用足够新的OpenSSH版本（>=6.5），则可以使用新的私钥格式生成私钥（使用bcrypt作为基于密码的密钥派生函数）。这将减轻对强制使用密码短语的担忧，并使使用受密码短语保护的密钥成为与选择B等效（且更简单）的选项

请注意，这只影响私钥，这意味着公钥仍然可以在较旧的SSH服务器版本中使用

有关更多详细信息，请参见此处：

如果问题是备份密钥对以保证可用性，则只需担心备份私钥，因为公钥始终可以从私钥派生

该方法是否可接受取决于您希望在安全性和可用性方面进行的权衡。 e、 g.如果使用密钥的任何系统上都有能够捕获密钥的密钥记录器，则使用30个以上字符的密钥短语/gpg保护密钥将不会有帮助。通常建议仅将私钥存储在生成私钥的位置。

---

一种更安全的方法是使用智能卡/usb令牌，在该令牌上生成并使用私钥。

如果这样做，最好保留该密钥库文件的多个副本，因为它不再能够单独从纸张上恢复（以防硬盘崩溃）。另外，为什么SSH密钥有一个空的密码短语？您的方案不完全等同于用密码短语保护它吗？为什么不使用该功能呢？谢谢，是的，这正是将ir_rsa.pub和id_rsa.gpg存储在大量公共场所的原因，这样一张纸就足以恢复SSH密钥对。OTOH、 丢失SSH密钥并不是一个可怕的问题。您始终可以生成并安装一个新的SSH密钥（前提是您仍然可以通过某种方式访问服务器，并且这种方式可能会很不方便，因为您很少需要它）。我宁愿创建三个不同的密钥，也不愿创建三个备份（这样，您可以分别撤销它们）.我的理解是，如果我直接在SSH密钥上使用31个字符的随机混合大小写字母数字密码短语，这比通过GPG使用相同的密码要容易得多，因为从密码生成GPG密钥需要大量的附加迭代，这优于使用SSH密码短语的方式。谢谢，这个答案很有用。不过我仍在努力确定关键点，那就是：如果我使用一种新的具有更好KDF的私钥格式，那么KDF是否足够安全，我可以公开披露密码短语私钥，而不用担心密码短语被粗暴地强制使用。@AndrewParks不，你不应该披露私钥。John Ripper已经能够破解新的和旧的SSH密钥格式，不仅可以使用纯暴力，还可以使用更智能的攻击以及基于规则的字典攻击。随着时间的推移，这些攻击也会变得更好。@Anti-weakpasswords感谢您的评论。我理解为什么使用一个值得记忆的密码短语。但是，如果使用密码生成器生成一个安全的随机混合大小写字母数字密码（称为每个字符6位），那么一个43个字符的密码短语就基本上构成了一个256位的对称密钥，这无疑是对称密钥长度的黄金标准？如果我不能公开我的密码短语私钥，那么你不是有效地告诉我256位的对称密钥不够安全吗？