chiavi gnupg e passa database - Protezione da accessi e perdite non autorizzati

3

Il mio obiettivo è usare pass per memorizzare molte password e poter accedere a quelle password da qualunque posto io abbia bisogno, possibilmente usando un solo pass-thing (password, passphrase, la mia voce, le mie impronte digitali, i miei occhi, ...), quindi la domanda breve potrebbe essere

Qual è il modo corretto di utilizzare pass ?

Ho letto diverse guide a riguardo, ma nessuna di esse (in realtà nessuna di quelle che ho capito) analizza profondamente la relazione di questo strumento con gpg (che è richiesto), poiché ha diverse implicazioni connesse con In effetti, i file / unità possono essere rubati o danneggiati, e uno dovrebbe ricavare quegli oggetti dal primo, dal secondo o da entrambi i rischi.

Nella domanda originale ho descritto quello che ho capito finora.

Ti chiedo di aiutarmi a capire se le conclusioni che ho tratto nella lista finale degli elenchi puntati sono corrette?

Post originale

Non avevo mai usato intenzionalmente GnuPG quando ieri ho creato una coppia di chiavi, scegliendo una passphrase potenzialmente a prova di proiettile.

L'ho fatto per avere un id da usare con pass , con il quale voglio archiviare la sempre crescente lista di password in modo ingiustificatamente relativo a questo e quel sito. Quindi ho installato pass e l'ho impostato anch'io, quindi ho inserito tutte le password nello store e anche il mio gatto.

Dopotutto, tutto ciò che ho sono fondamentalmente due alberi di directory, ovvero ~/.gnupg impostato dai comandi gpg che ho usato per creare le chiavi e ~/password-store che ho impostato e popolato tramite i comandi pass .

Ora, il mio computer potrebbe essere rotto (da qualcuno che ha disperatamente bisogno delle mie ricette di cucina segreta), o esplodere, quindi mi piacerebbe che tu mi aiutassi a capire cosa fare dopo.

Per quanto riguarda la protezione dalle persone malintenzionate e dal fallimento fisico, sono i seguenti veri?

  1. Devo mantenere la directory ~/password-store nei dispositivi che uso, purché sia necessario accedere alle password da lì quotidianamente.
  2. Devo mantenere ~/password-store anche su un dispositivo esterno (uno, indistruttibile o più, ridondante).
  3. Non devo avere paura di 1., purché la passphrase non sia violata.
  4. Non ho nemmeno bisogno di esportare e caricare la mia chiave pubblica altrove, purché non sia necessario firmare messaggi, ma potrei (punto 6).
  5. La chiave privata (proprio come quella pubblica) può non essere rubata dal mio sistema, ma non può essere utilizzata finché la passphrase non è violata e non l'ho esportata (la chiave privata) su un file su quel sistema unità / disco / etc raggiungibile da altri .
  6. Per non perdere la chiave pubblica devo esportarla e (o 6.1 o 6.2 è sufficiente)

    6.1. copialo su un dispositivo esterno (bla bla) o

    6.2. caricarlo su un server delle chiavi.

  7. Devo esportare e copiare la chiave privata su un'unità esterna.
  8. La passphrase può anche essere solo nella mia mente, purché la memoria mi aiuti.

Più sinteticamente penso di dover

  • ricorda la passphrase (1 stringa);
  • memorizza la chiave privata esportata (1 file) su un'unità sicura dai ladri;
  • in alternativa memorizza la chiave pubblica esportata (1 file) su un'unità protetta da danni fisici o su un server di chiavi;
  • store ~/.password-store (1 directory) su un disco sicuro da errori fisici, e sono disponibili da qualunque luogo ho bisogno di accedere a una password (caricarlo su GitHub sarebbe l'ideale, giusto?) .
posta Enrico Maria De Angelis 19.09.2018 - 17:32
fonte

1 risposta

1

Anche se non sono sicuro che ci possa essere un concreto modo "corretto" di usare il pass, quello che hai descritto è un setup abbastanza sicuro e penso che le tue ipotesi (eccetto forse la # 5) siano accurate.

Per utilizzare il pass per gestire le password che devi accedere (da ciascun PC che potresti utilizzare)

  1. Una copia del tuo / password-store / directory
  2. La tua chiave privata gpg

Per proteggere la disponibilità delle tue password devi eseguire il backup

  1. La tua chiave privata gpg (il pubblico è incluso nel processo gpg --export-secret-key iirc)
  2. tuo / password-store / directory

Mentre i file delle password sono crittografati ed è (teoricamente) sicuro lasciarli allo scoperto, personalmente non li lascerei in un repository GitHub aperto. Se non hai un abbonamento a pagamento con loro ci sono altri fornitori che offrono repository privati gratuitamente (oppure potresti crearne uno sul tuo hardware / VPS).

Un'altra cosa che aggiungerei è considerare l'utilizzo di una smart card per trasportare la tua chiave segreta. È un modo conveniente per ottenere la chiave tra diversi computer che potresti voler usare da quella

  1. Non può essere copiato con la stessa facilità con cui può provenire da una normale unità flash.
  2. Non lascia la chiave sulla scatola quando non la stai usando (risiede sulla carta).
risposta data 11.10.2018 - 00:02
fonte

Leggi altre domande sui tag