Dove memorizzi la tua chiave privata GPG privata?

180

Quindi, voglio iniziare a utilizzare passare , ma ho bisogno di una chiave GPG per questo. Questa applicazione memorizzerà tutte le mie password, il che significa che è molto importante che non perda la mia chiave privata, una volta generata.

Interruzione dei dischi rigidi, i fornitori di cloud non sono generalmente attendibili. Non che non mi fidi di loro per non rovinare la mia chiave, ma la loro sicurezza può essere compromessa e tutte le mie password potrebbero essere trovate.

Quindi, dove posso memorizzare in modo sicuro la mia chiave privata GPG?

    
posta Florian Margaine 18.02.2014 - 10:16
fonte

13 risposte

154

Mi piace conservare il mio su carta.

Usando un codice JavaScript (leggi: offline) QR code , creo un'immagine della mia chiave privata in armatura ASCII modulo, quindi stampare questo fuori. Notare accanto a esso l'ID della chiave e memorizzarlo in un luogo fisicamente sicuro.

Se hai una chiave grande o molte chiavi ti consiglio paperbak , anche se assicurati di scrivere le istruzioni su come recuperare i dati più tardi. Importante quanto il backup è come lo si ripristina da un backup. Probabilmente lo proverei con dati fittizi solo per essere sicuro di sapere esattamente come funziona.

Vale la pena notare che può proteggere la propria chiave privata con una passphrase, quindi anche se è ospitata con un provider cloud non può vedere la propria chiave privata, ma tutta la sicurezza della password è ridotta a quella passphrase piuttosto che la chiave privata completa, per non parlare dei fornitori di servizi cloud che possono scomparire durante la notte.

    
risposta data 18.02.2014 - 11:22
fonte
40

Nei giorni in cui la mia paranoia è come un pomodoro maturo, implorandomi di sceglierlo, divido la chiave privata (naturalmente è già protetta da passphrase) a metà, quindi creo una terza stringa XOR-insieme. Quindi utilizzo la crittografia semplice della password ( gpg --symmetric ) su ogni stringa e la inserisco su un server remoto su un altro continente. Idealmente, ogni server remoto ha un ISP o un provider cloud diverso.

Ma mentre la medicina stava funzionando - almeno fino a quando ho realizzato quanto ambiziosa fosse la NSA - quello che ho fatto in passato è semplicemente crittografato la chiave privata (intera) (ancora usando gpg --symmetric ) e mettilo sul mio smartphone.

Ora, dopo aver letto le altre risposte, sto trovando l'idea di tre codici QR, incorporati in tre foto di famiglia, accattivanti e accattivanti. Tempo per la medicina più strong?

    
risposta data 25.02.2014 - 02:01
fonte
19

Questo non è quello che uso attualmente, ma ci sto pensando:

  1. Cripta la chiave privata con una chiave di crittografia simmetrica molto lunga
  2. Utilizza Condivisione segreta di Shamir per dividere la chiave di crittografia simmetrica in 7 parti (come Voldemort), richiedi almeno 5 condivisioni da unire con successo.
  3. Scopri dove mettere 7 backup segreti , alcune idee:
    • scheda multimediale in una cassastrong a casa
    • carta stampata nel mio portafoglio
    • in Dropbox
    • cassetta di sicurezza all'estero
    • impianti per la pelle
    • sepolto nella tomba di un tizio casuale
    • tatuato per serpente domestico velenoso

In questo modo, posso perdere l'accesso a un paio di condivisioni e ancora poter accedere alla chiave; mentre un attaccante dovrebbe compromettere 5 diversi posti individualmente protetti dove è facile per me accedere ma difficile per i cattivi scagnozzi del lord oscuro in quella macchina nera davanti alla casa < mette su tinfoil >.

    
risposta data 19.02.2016 - 16:49
fonte
14

È possibile mantenere la chiave privata in un'unità flash e conservare l'unità in un armadietto. Inoltre, assicurarsi di non utilizzare questa unità flash per attività che potrebbero causare l'infezione con alcuni malware.

    
risposta data 18.02.2014 - 10:50
fonte
14

Un'opzione consiste nel crittografare la chiave utilizzando una passphrase e memorizzare la chiave crittografata su un servizio cloud.

Ho la chiave sul mio laptop (unità hardware crittografata) e su un contenitore Truecrypt su un disco rigido esterno come backup. Ok, non è il rischio zero di perdita di dati, ma è giù ad un livello che è accettabile per me.

    
risposta data 18.02.2014 - 11:27
fonte
6

Conservo la chiave (e altri dati sensibili come un nome utente / elenco password) crittografata in un contenitore truecrypt . Questo contenitore è protetto da una passphrase massiccia. Il contenitore viene inoltre sottoposto a backup nell'archiviazione su cloud, pertanto le modifiche da parte di uno qualsiasi dei miei computer verranno sincronizzate.

Non è perfetto, ma se il cloud provider muore, lo faccio ancora sincronizzare sui miei computer. Se il file stesso è compromesso, dovrebbero craccare la frase truecyrpt e la passphrase della chiave.

    
risposta data 18.02.2014 - 21:50
fonte
4

Ho due chiavi, una meno sicura memorizzata sul computer e un'altra in una OpenPGP Card . Quest'ultimo è il più sicuro possibile perché la chiave privata mai lascia il chip sulla carta. (Anche se, anni fa, per la massima sicurezza ho dovuto modificare leggermente gpg per usare la tastiera sicura del mio lettore di schede invece di ottenere il PIN della scheda dalla tastiera del PC che potrebbe essere soggetta agli attacchi di keylogger.)

    
risposta data 19.02.2014 - 14:18
fonte
3

Conservo il mio all'interno di un file crittografato KeePassX, questo file viene salvato all'interno di un repository git che clonerò su tutte le macchine che ho bisogno di usare le password. Il vantaggio ulteriore è che posso mantenere le password sincronizzate mentre se il server per qualche motivo distrugge il file posso sempre usare uno qualsiasi dei repository clonati. Se sono paranoico posso inserire un volume di TrueCrypt contenente il file crittografato KeePassX.

Git mi dà anche il controllo delle versioni in modo da poter sempre tornare alle versioni precedenti del mio file delle password, che è pretty neet.

    
risposta data 19.02.2014 - 15:07
fonte
3

Utilizzerei la steganografia per inserire la chiave crittografata in una serie di 100 foto che carico su diversi cloud storage (box, dropbox e ovh) per esempio.
Quindi prima devi sapere che c'è qualcosa in quelle foto, scoprire cosa e decifrarlo.
È un po 'estremo ma resiste al fuoco meglio della carta.

    
risposta data 19.02.2014 - 12:48
fonte
3

Mi piace molto l'idea di avere un backup dell'ultimo resort su carta a lunghissimo termine. (Accanto a un CD di archiviazione crittografato in un luogo sicuro.) Non riesco a trovare un generatore di QR che supporti l'intera lunghezza di una chiave privata e non mi fido di Paperbak fino a quando non risolvono la generazione della chiave AES (più sembra essere solo per Windows).

Ho trovato optar che codificherà qualsiasi lunghezza di dati in un formato leggibile dalla macchina, ma per ora devi compilare da C manualmente. [Non dovrebbe essere difficile mettere qualcosa in Homebrew per i Mac, e forse un samaritano può mantenere una build di Windows, se prova a funzionare bene.]

paperkey dovrebbe essere utile per stampare / utilizzare l'OCR per ripristinare una chiave privata e creare caratteri minimi per un generatore di codice a barre / codice QR.

    
risposta data 30.12.2014 - 01:47
fonte
0

La chiave privata è già crittografata. Crittografarlo simmetricamente ancora una volta non farebbe male. Dopo ciò, la preoccupazione dovrebbe riguardare la sicurezza fisica. La durabilità dei supporti e la sicurezza fuori dal sito dovrebbero essere le principali considerazioni. Una chiave USB è probabilmente ok per almeno dieci anni finché sono disponibili le porte USB. Metti la chiave in un posto sicuro. Una cassetta di sicurezza o una buona sicurezza al di fuori del sito sono buone possibilità. Questo dovrebbe consentire un recupero nel caso in cui il sistema che stai usando si rompa in modo irrecuperabile. etichetta e data la chiavetta USB. Anche una copia crittografata del certificato di revoca della chiave dovrebbe essere memorizzata con essa. crea un paio di duplicati se sei preoccupato per l'errore della chiavetta USB.

    
risposta data 13.11.2014 - 12:51
fonte
-1

Potresti provare a memorizzarlo ...

Potrebbe essere possibile utilizzare un algoritmo gzip come gli umani per comprimere e memorizzare. Potresti codificare in una melodia e memorizzarla,

    
risposta data 18.02.2014 - 21:55
fonte
-4

Codifica con una password complessa e usala come firma su ogni forum che utilizzi. forse ci sono anche mailing list per tali chiavi.

    
risposta data 20.02.2014 - 19:31
fonte

Leggi altre domande sui tag