Ho preso in considerazione un'installazione simile di recente. Prima di affrontare la tua domanda, lascia che ti mostri ciò che mi preoccupa. Questo è spiegato a fondo qui . In breve, quando Pass chiama GPG, esegue criptovalute asimmetriche (RSA / EC) non necessarie sotto il cofano. Non necessario - perché non esiste una parte non attendibile qui.
Questo è fastidioso perché la crittografia asimmetrica è meno a prova di futuro rispetto alla crittografia simmetrica. Ad esempio, la crittografia asimmetrica di oggi è rotta da computer quantistici sufficientemente grandi, che non esistono ancora. Più in generale, la crittografia asimmetrica si basa su "problemi matematici" che non sappiamo risolvere, molto più della crittografia simmetrica.
Per mitigare questa debolezza, il minimo che puoi fare è mantenere la tua chiave pubblica GPG utilizzata anche con Pass private, perché ad esempio il (potenziale) attacco quantico ha bisogno di questa chiave pubblica: vedi qui .
Sulla tua domanda reale, non è chiaro se intendi archiviare il repository git (con le password) pubblicamente o privatamente. Se si desidera mantenerlo privato, è possibile praticamente fare ciò che si desidera e ridurre la sicurezza della chiave privata GPG a quella del supporto su cui si esegue il backup del repository. Tuttavia, ciò potrebbe diventare un problema a base di pollo e uova: se il repository è privato, come si ottiene in caso di crash? In altre parole, in caso di "brutto incidente", ci deve essere qualcosa che recuperi prima . Quindi potresti voler mantenere privato il repository git, ma esegui il backup della chiave GPG in modo tale da poterlo recuperare prima, indipendentemente da qualsiasi altra cosa.
Le soluzioni di backup offline sono numerose, avvocati, scantinati, ecc. Vedi qui . Ma gli scantinati non sono per tutti, quindi lasciami suggerire una soluzione online:
Crea una passphrase super forte che non è stata pensata per essere digitata per anni. Suggerimento: lungo, memorabile errore di ortografia di una frase che ha un significato personale, o di un libro che non finirà le copie se è necessario cercarlo.
Crea un tarball con la tua chiave segreta GPG esportata e forse le tue credenziali SSH.
Cifrare simmetricamente la passphrase: gpg --symmetric --armor
.
Crea un account di hosting git gratuito.
Creare un repository pubblico , che può essere clonato senza credenziali.
Metti la palla catramata criptata e corazzata.
Per recuperarlo dopo un "brutto arresto":
La passphrase simmetrica sarà la tua principale protezione contro gli zombi. Le persone a volte non danno a te, o al lettore anonimo, il beneficio del dubbio quando si tratta di scegliere passphrase. Ma con una buona passphrase, la crittografia simmetrica dovrebbe essere solida.
Quando esporti la tua chiave privata GPG, questa verrà crittografata con una sua passphrase. Le versioni recenti di GPG non consentiranno un'esportazione non crittografata. È possibile utilizzare la passphrase GPG "normale" qui. Ricorda solo che in caso di crash, avrai bisogno di entrambe le passphrase per accedere alla tua chiave privata GPG.