Die Passphrase schützt den Schlüssel, nicht die verschlüsselte Nachricht. Die Nachricht soll auf dem Weg zum Empfänger geschützt werden, nicht auf den Rechnern von Absender und Empfänger. Diese Daten sind auf anderem Wege zu schützen (etwa durch Bitlocker & Co). So zumindest verstehe und nutze ich GPG.
Auch der Schlüssel liegt und bleibt auf dem Rechner des Anwenders. Warum also soll er zusätzlich geschützt werden!? (Zumindest solange ich nicht einem hochaufwendigen Angriff ausgesetzt bin, gegen den ich mich aber ohnehin nicht schützen kann.)
(Diese Überlegung gilt natürlich nicht bei portabler Nutzung von Gpg4win.)
die Verschlüsselung des privaten Schlüssel(teils) stellt eine zusätzliche Sicherung dar.
Einmal schützt es die Daten in der Ablage (also dem Speicherort) und dann gegen eine Nutzung an einem ungesperrten Rechner. Das ist als Faustregel und Voreinstellung
aus meiner Sicht sinnvoll.
Natürlich kann es in einem Sicherheitskonzept auch passend sein, einen privaten Schlüssel ohne Passphrasen-Schutz zu haben. Es muss dann halt passen.
Ich wende mich nur gegen die lange Passphrase. Wer mag schon bei jeder Mail oder Datei, die er entschlüsseln muss, eine 60-Zeichen lange Passphrase eingeben? Ein Passwort von 8 Zeichen geht da flotter von der Hand und reicht als Sicherung für den Fall, dass man kurz einmal den Rechner offen stehen lässt.
Und wenn man als Behelfslösung die “sichere” Passphrase den ganzen Tag im Cache belässt, dann hat man bereits einen guten Teil der zusätzlichen Sicherheit vollständig verloren!
Liegt der Schlüssel zusammen mit den übrigen vertraulichen Daten in einem vernünftig geschützten Bereich - und so sollte es ja sein -, dann sehe ich eben keinen Grund für lange Passphrases.
auch wenn du gegen einen gezielten, professionellen Angriff meist chanzenlos bist solltest du es den Angreifern dennoch so schwer als Möglich machen. Ein 8 stelliges Kennwort ist bei einer BruteForce Attacke in ca. 50 Tagen spätestens geknackt. Bei 12 Stellen sind es schon ca 15.000.000 Jahre. Selbst wenn ich nur das Alphabet als Zeichenvorrat nehme, habe ich bei 12 Stellen noch ca 5.000 Jahre bis alle Kombinationen des Kennworts durchprobiert wurden.
Also die Passphrase weg zu lassen nur weil man bei nem Angriff eh keine Chance hat ist imho keine Lösung. Dann könnte ich auch die Haustür offen stehen lassen. Die Einbrecher kommen eh rein wenn sie wollen.