如果 pgp 证书不使用 passpharse 仅用于 commit 签名是否有安全风险?

感觉个人使用的话足够了，公司的话应该有专门的安全团队吧
而且 passphrase 也不能视作有效的加密方式，如果私钥泄露，那么不管有没有 passpharse 都是应该更换私钥的
对于 Linux/macOS 的话，侵入非 root 用户和侵入 root 用户是不一样的，侵入非 root 用户「有可能」只能读取私钥、但是无法监听键盘（但是无法 100%确定）
我是把私钥放在 YubiKey 里，并且设置了长达一周的密码过期时间，也就是只要开机后第一次使用时输入密码，之后就不需要输入了，当然有硬件密钥的话黑客也读不到私钥了

我没加密，感觉自己不配被入侵，
还是方便一点更重要，

加 passpharse 是 data at rest 加密，保护电脑丢失 /被盗，黑客潜入公司大楼这些物理安全。

@billlee 我也是这么想的, 那么仅作为身份验证的话设置 passpharse 不是很有必要了.

主要是防止冒用身份投毒, 或者添加后门这种风险.

如果被物理入侵了, 那么责任肯定不在开发这.

因为设置了 passpharse 后每过一段时间提交 commit 都要输入 passpharse 的开发体验是很糟糕的.