Hallo,
redest du von Enigmail bzw. GnuPG?
Falls ja:
Die privaten Schlüssel sind per default in ~/.gnupg/secring.gpg (unter Linux) bzw. c:\programme\gnu\gnupg\secring.gpg (Windows) gespeichert. Und wären sie das nicht -also zB nur in deinem Tresor- wärst du auch nicht in der Lage, irgendeine mit deinem öffentlichen Schlüssel verschlüsselte Mail/Datei zu entschlüsseln.
Dein privater Schlüssel ist im Prinzip nichts anderes als eine Textdatei, die das eigentliche Passwort zur Entschlüsselung enthält. Diese Datei ist symmetrisch per CAST5 verschlüsselt. Das Mantra dafür hast du beim Erstellen selbst gewählt (hoffentlich sicher genug), in der Regel ist das auch das schwächste Glied in der ganzen Kette.
Was nützt dir der private Schlüssel im Tresor, wenn der Trojaner einen Keylogger installiert, deine Mailverzeichnisse verschickt etc? Das Problem liegt hier eindeutig nicht bei GnuPG.
Mehr Infos findest du in dieser GnuPG Anleitung, wikipedia und natürlich durch die Suchmaschine deines Vertrauens.
Grüße
Karla