J'ai envisagé une configuration similaire récemment. Avant d'aborder votre question, permettez-moi de souligner ce qui me dérange à ce sujet. Ceci est expliqué en détail ici . En bref, lorsque Pass appelle GPG, il effectue un cryptage asymétrique (RSA / EC) inutile sous le capot. Inutile - car il n'y a pas de partie non fiable ici.
C'est ennuyeux car la crypto asymétrique est moins pérenne que la crypto symétrique. Par exemple, la cryptographie asymétrique d'aujourd'hui est brisée par des ordinateurs quantiques suffisamment grands, qui n'existent pas encore. Plus généralement, la crypto asymétrique repose sur des "problèmes mathématiques" que nous ne savons pas résoudre, bien plus que la crypto symétrique.
Pour atténuer cette faiblesse, le moins que vous puissiez faire est de garder votre clé publique GPG utilisée avec Pass également, car par exemple, l'attaque quantique (potentielle) a besoin de cette clé publique: voir ici .
Sur votre question réelle, il n'est pas clair si vous avez l'intention de stocker le dépôt git (avec les mots de passe) publiquement ou en privé. Si vous souhaitez le garder privé, vous pouvez à peu près faire ce que vous voulez et réduire la sécurité de la clé privée GPG à celle du support sur lequel vous sauvegardez le référentiel. Cependant, cela pourrait devenir un problème de poulet et d'oeuf: si le dépôt est privé, comment le récupérer en cas de crash? En d'autres termes, en cas de "mauvais plantage", vous devez d' abord récupérer quelque chose . Donc, vous voudrez peut-être garder le dépôt git privé, mais sauvegardez la clé GPG de manière à pouvoir la récupérer en premier, indépendamment de toute autre chose.
Les solutions de sauvegarde hors ligne sont nombreuses, avocats, sous-sols, etc. voir ici . Mais les sous-sols ne sont pas pour tout le monde, alors laissez-moi vous suggérer une solution en ligne:
Créez une phrase de passe super forte qui n'est pas destinée à être tapée pendant des années. Suggestion: faute d'orthographe longue et mémorable d'une phrase qui a une certaine signification personnelle, ou d'un livre qui ne manquera pas d'exemplaires si vous avez besoin de le rechercher.
Créez une archive tar avec votre clé secrète GPG exportée et peut-être vos informations d'identification SSH.
Chiffrer symétriquement avec votre mot de passe: gpg --symmetric --armor
.
Créez un compte d'hébergement git gratuit.
Créez un référentiel public , qui peut être cloné sans informations d'identification.
Mettez-y la balle de goudron chiffrée et blindée.
Pour le récupérer après un "mauvais crash":
La phrase secrète symétrique sera votre principale protection contre les zombies. Parfois, les gens ne vous accordent pas, ni au lecteur anonyme, le bénéfice du doute lorsqu'il s'agit de choisir des mots de passe. Mais avec une bonne phrase secrète, la cryptographie symétrique devrait être solide.
Lorsque vous exportez votre clé privée GPG, elle sera chiffrée avec sa propre phrase secrète. Les versions récentes de GPG ne permettront pas une exportation non cryptée. Vous pouvez utiliser ici votre mot de passe GPG "normal". N'oubliez pas qu'en cas de plantage, vous aurez besoin des deux mots de passe pour accéder à votre clé privée GPG.