public-key-encryption - 对称和非对称密钥加密问题

在公钥密码学中，主密钥对等同于您的身份，因此您必须非常小心，以免它（特别是主私钥）受到损害。实现这一点的最佳方法是将您的主私钥存储在一个安全的单独位置，并在您的主机上拥有一个子密钥以供经常使用。您的日常子密钥由您的主密钥认证，因此人们知道它是可以信任的。如果您的子密钥被泄露，那么您可以释放您提前为该特定子密钥 创建的吊销证书（！！！确保您确实创建了一个）。

关于如何保护您的主私钥，我详细引用了 Debian Wiki ( https://wiki.debian.org/Subkeys )，因为它总是让我微笑：

您应该非常非常安全地保存您的私人主密钥。但是，将所有钥匙保持在极其安全的状态是不方便的：每次您需要签署新的包裹上传时，您需要将包裹复制到合适的便携式媒体上，进入您的地下室，向武装警卫证明您就是您通过生物识别等多种方法，通过一个致命的迷宫，给看门狗喂正确种类的肉，最后打开保险箱，拿出签名笔记本电脑，在包裹上签名。然后执行相反的操作以恢复您的 Internet 连接以上传包。

存储一个重要的密钥 ==================== 上面幽默的例程特别提到了主私钥，因为该密钥对公钥密码学非常重要，但它也适用任何重要秘密的存储，包括用于对称加密的密钥的存储。

在非对称加密中，因为您不需要经常使用主私钥，我建议将其传输到物理媒体（CD/USB 记忆棒/纸！等），然后将此媒体存储在非常安全的地方，最好是“异地”在不同的位置来自您居住/工作的地方，可能有亲密关系？为了获得额外的保护，您可以使用您将来会永远记住的“标准”“简单”密码对物理媒体进行对称加密，该密码可能已在暗网上泄露过几次。这个额外的步骤意味着如果有人出于好奇拿起 CD 并将其插入计算机，那么他们将不会立即知道其中有什么，从而阻止了一些机会主义/未连接的攻击者。

您可以使用上述一些方法来存储对称加密密钥，但如果您需要频繁的请求访问，那么它可能会非常不方便。相反，您应该考虑将密钥存储在需要多因素身份验证才能访问的解决方案（例如密码管理器）中（维基百科为研究 MFA 提供了一个很好的起点 - https://en.wikipedia.org/wiki/Multi -factor_authentication#Factors)