Estive pensando em uma configuração semelhante recentemente. Antes de abordar sua pergunta, deixe-me apontar o que me incomoda. Isso é explicado detalhadamente aqui . Em resumo, quando o Pass chama GPG, ele executa criptografia assimétrica desnecessária (RSA / EC) sob o capô. Desnecessário - porque não há uma parte não confiável aqui.
Isso é irritante porque a criptografia assimétrica é menos à prova de futuro do que a criptografia simétrica. Por exemplo, a criptografia assimétrica de hoje é quebrada por computadores quânticos suficientemente grandes, que ainda não existem. De maneira mais geral, a criptografia assimétrica depende de "problemas matemáticos" que não sabemos como resolver, muito mais do que a criptografia simétrica.
Para atenuar essa fraqueza, o mínimo que você poderia fazer é manter sua chave pública GPG usada com o Pass também, porque, por exemplo, o ataque quântico (potencial) precisa dessa chave pública: veja aqui .
Na sua pergunta real, não está claro se você pretende armazenar o repositório git (com as senhas) publicamente ou em particular. Se você deseja mantê-lo privado, pode fazer o que quiser e reduzir a segurança da chave privada GPG à do meio em que você faz o backup do repositório. No entanto, isso pode se tornar um problema de galinha e ovo: se o repositório for privado, como recuperá-lo em caso de acidente? Em outras palavras, no caso de uma "falha grave", deve haver algo que você recupere primeiro . Portanto, convém manter o repositório git privado, mas faça backup da chave GPG de forma que você possa recuperar primeiro, independentemente de qualquer outra coisa.
Soluções de backup off-line são numerosas, advogados, porões etc. veja aqui . Mas os porões não são para todos, então deixe-me sugerir uma solução on-line:
Crie uma senha super forte que não seja digitada por anos. Sugestão: erro de ortografia longo e memorável de uma frase que tenha algum significado pessoal ou de um livro que não ficará sem cópias se você precisar procurá-la.
Crie um tarball com sua chave secreta GPG exportada e talvez suas credenciais SSH.
Criptografá-lo de forma simétrica com sua senha: gpg --symmetric --armor
.
Crie uma conta gratuita de hospedagem git.
Crie um repositório público , que possa ser clonado sem credenciais.
Coloque a bola de alcatrão criptografada e blindada lá.
Para recuperá-lo após uma "falha grave":
A senha simétrica será sua principal proteção contra os zumbis. Às vezes, as pessoas não dão a você, ou ao leitor anônimo, o benefício da dúvida quando se trata de escolher frases secretas. Mas com uma boa senha, a criptografia simétrica deve ser sólida.
Quando você exporta sua chave privada GPG, ela é criptografada com uma frase secreta própria. As versões recentes do GPG não permitem uma exportação não criptografada. Você pode usar sua senha "regular" do GPG aqui. Lembre-se de que, no caso de uma falha, você precisará das duas frases secretas para acessar sua chave privada do GPG.