Как гласит заголовок, мне интересно, как я могу безопасно и физически удалить свои личные ключи с моего компьютера. Кажется, я не могу найти способ сделать это на Клеопатре. Эти ключи, о которых я говорю, используются только для операций с высоким уровнем безопасности. Поэтому я бы предпочел, чтобы мои личные ключи хранились только на моем доверенном USB, нигде больше. Если компьютер, на котором у меня были ключи, был взломан, то моя ключевая фраза была бы моей единственной защитной линией. Поэтому было бы удобно, если бы я мог безопасно удалить закрытые ключи, хранящиеся на моем компьютере, и прочитать их с моего usb, когда они мне понадобятся. Любые предложения о том, как это сделать?
3 ответа
1
На самом деле вы не можете перемещать только закрытые ключи, было бы легче переместить весь домашний каталог GnuPG, который обычно является скрытой папкой ~/.gnupg (в Windows где-то глубоко в скрытой папке AppData).
Если вы переместите эту папку на USB-накопитель, либо используйте параметр GnuPG --homedir чтобы заставить GnuPG использовать каталог на USB-накопителе, либо установите переменную среды GNUPGHOME .
Рассмотрите возможность использования смарт-карт OpenPGP: используя их, закрытый ключ остается на смарт-карте и никогда не может быть экспортирован на ваш компьютер. Таким образом, даже при использовании на скомпрометированном компьютере возможный злоумышленник снова потеряет доступ после удаления карты. Есть также решения, подключенные через USB, такие как YubiKey или Nitrokey.
0
Я использовал для удаления всей директории в доме пользователя с помощью secure-delete (в Ubuntu apt-get update && apt-get install secure-delete ).
Команда test -d ~/.gnupg && srm -r ~/.gnupg .
Для лучшей установки энтропии установите apt-get update && apt-get install haveged , создайте файл конфигурации echo -e "# Configuration file for haveged\nDAEMON_ARGS=\"-w 1024\"" | tee /etc/default/haveged и перезапустите сервисный test -f /etc/init.d/haveged && /etc/init.d/haveged restart .
Вы должны установить secure-delete и haveged root. Команда srm может запускаться как любой пользователь с оболочкой. Эти команды я использовал в Ubuntu Xenial (16.04 LTS).
0
Скопируйте каталог .gnupg на USB-накопитель.
Затем используйте безопасную программу очистки, чтобы стереть старый каталог .gnupg ; какая программа использовать, зависит от вашей ОС. Не полагайтесь только на удаление файла, так как это оставляет большую часть данных без изменений.
Затем запустите GPG, используя параметр командной строки --homedir <newdir> , где newdir - это каталог GPG на вашем USB-диске.