OpenPGP密钥是如何用密码和密码保护的？

Question

使用Yubikey 4作为带有OpenPGP的GnuPG智能卡:用户PIN和用户密码是如何保护的？

如果具有物理访问Yubikey 4的复杂攻击者能够在显微镜下提取私钥，而不知道用户PIN和用户密码：

• 什么加密(密码、模式、散列等)是在这个“最后的手段”来保护私钥吗？
• 这是由GnuPG代码构成的最后一个密码屏障，还是Yubikey制造商自己编写的版本？
  • 由于Yubikey 4声明它是一个兼容的OpenPGP智能卡-它是否意味着它具有与G10智能卡相同的密码/密码保护？

Answer 1

考虑到存在允许您使用私钥而不验证PIN (密码)的错误)，我推导出卡实际上并不加密私钥(就像使用带有GnuPG密码保护的“普通”密钥时那样)：

源代码包含一个与用户PIN (又名PW1)验证相关的逻辑缺陷，该漏洞允许具有本地主机权限和/或物理邻近(NFC)的攻击者在不了解用户PIN代码的情况下执行安全操作。

我不知道这改变了，但是只有当前版本中的验证是固定的。换句话说，YubiKey上的秘密密钥是未经加密的，能够读取密钥存储的复杂攻击者能够提取未加密的私钥。