如何信任PGP智能卡

Question

我理解使用基于OpenPGP智能卡的PGP解决方案的兴趣，例如Nitrokey或类似的。但是，我如何决定是否信任OpenPGP智能卡呢？

Answer 1

就像你信任运行在英特尔或AMD CPU上的GPG一样。

您要么信任供应商，要么自己审核代码和硬件。

实际上，可能两者兼而有之。你信任微控制器的供应商，但对运行在上面的软件进行审计。

Answer 2

Nitorkey Pro软件和硬件是开源的，所以在技术上和如果您有疑问，您可以自己审核代码。

您也可以很容易地检查您的设备是否按照规格工作。

然而，正如前面的答案所提到的，风险可以被评估为您自己的威胁模型，而不是其他任何东西。如果你被3封信的代理机构跟踪，就很难保证钥匙的安全。