Нещодавно я розглядав подібне налаштування. Перш ніж вирішувати ваше питання, дозвольте мені зазначити, що мене турбує. Це пояснюється з великою довжиною тут . Якщо коротко - коли Pass викликає GPG, він виконує непотрібні асиметричні криптовалюти (RSA / EC) під кришкою. Непотрібне - адже тут немає недовіреної партії.
Це дратує, оскільки асиметрична криптовалюта менш захищена від майбутнього, ніж симетрична криптовалюта. Наприклад, асиметрична криптовалюта сьогодні зламана досить великими квантовими комп'ютерами, яких ще не існує. Більш загально, асиметричні криптовалюти покладаються на "математичні проблеми", які ми не знаємо, як вирішити, тим більше, ніж симетричні криптовалюти.
Щоб пом'якшити цю слабкість, найменше, що ви могли б зробити, - це також зберегти відкритий ключ GPG, який використовується разом із Pass приватним, тому що, наприклад, (потенційна) квантова атака потребує цього відкритого ключа: дивіться тут .
Що стосується вашого актуального питання, то незрозуміло, чи збираєтесь ви зберігати git repo (з паролями) публічно чи приватно. Якщо ви хочете залишати його приватним, ви можете майже все, що завгодно, і знизити безпеку приватного ключа GPG до того, на якому носії, де ви створюєте резервну копію репо. Однак це може стати проблемою з куркою та яйцями: якщо РЕПО приватне, як повернути його у випадку аварії? Іншими словами, у випадку «поганої аварії», ви повинні спочатку отримати щось, що ви отримаєте . Таким чином, ви можете захотіти зберегти git repo приватним, але створити резервну копію ключа GPG таким чином, щоб ви могли отримати перше, незалежно від будь-якого іншого.
Офлайн-резервні рішення є численними, адвокати, підвали та ін. Дивіться тут . Але підвали не для всіх, тому дозвольте запропонувати онлайн-рішення:
Створіть надзвичайно сильну парольну фразу, яку не слід вводити роками. Пропозиція: довге, запам'ятоване неправильне написання фрази, яка має деяке особисте значення, або з книги, у якої не буде вичерпано копій, якщо вам потрібно її шукати.
Створіть тарбол за допомогою експортованого секретного ключа GPG та, можливо, ваших SSH-даних.
Зашифрувати його симетрично кодову фразу: gpg --symmetric --armor
.
Створіть безкоштовний обліковий запис хостингу git.
Створіть загальнодоступний сховище, яке можна клонувати без повноважень.
Покладіть туди зашифрований та броньований куля дьогтю.
Щоб відновити його після "поганої аварії":
Симетрична парольна фраза стане вашим головним захистом від зомбі. Люди іноді не дають вам чи анонімному читачеві користі від сумнівів, коли справа стосується вибору парольних фраз. Але з хорошою парольною фразою симетрична криптовалюта повинна бути суцільною.
Коли ви експортуєте приватний ключ свого GPG, він буде зашифрований власною парольною фразою. Останні версії GPG не дозволять незашифрований експорт. Тут ви можете використовувати свою "звичайну" парольну фразу GPG. Просто пам’ятайте, що у випадку аварії вам знадобляться обидва паролі, щоб дістатися до приватного ключа вашого GPG.