Каков наилучший способ сохранить файл закрытого ключа PGP, сгенерированный GnuPG?
Я просто буду хранить свой открытый ключ в Интернете, в Gmail, на многих моих компьютерах. Где / как лучше защитить и сохранить файл закрытого ключа?
6 ответов
6
TL; DR флешка или CD в безопасном месте.
Поскольку это секретный вопрос, я бы с большой неохотой доверил свой личный ключ Google или любому другому крупному облачному сервису. Назовите меня параноиком, но ваш ключ PGP - ваша подпись. Я не хочу напоминать вам о простом, но с вашим ключом PGP я "я" вы. Лично я бы зарезервировал свой ключ на всех / всех компьютерах, которые у меня есть, и для хорошей цели поместил CD или флешку в безопасное место. (как пистолет в сейфе)
редактировать: ой, извините @soandos была та же идея в первую очередь.
4
Используйте ваше любимое программное обеспечение для шифрования или просто оставьте его на своем рабочем столе где-нибудь или в любом месте на своем компьютере (при условии, что физический доступ к вашему компьютеру защищен, практически нет шансов на то, что кто-то сможет получить ключ).
4
Я нашел paperkey. Ваш закрытый ключ также содержит копию открытого ключа. Поскольку открытый ключ копируется на десятки серверов ключей, вам нужно беспокоиться только о закрытом ключе без включенного открытого ключа. Paperkey извлекает только эту важную информацию и выдает вам шестнадцатеричный простой текст с контрольными суммами.
В случае чрезвычайной ситуации, когда все остальное терпит неудачу, вы все равно можете вручную (или со сканером и OCR) ввести шестнадцатеричный дамп и воссоздать свой закрытый ключ.
В дополнение к этому есть Optar. Оптар не имеет отношения к криптографии. Он просто берет любой файл и дает вам QR-код, похожий на очень плотную кодировку этих байтов. Вы также можете передать вывод paperkey через optar, чтобы избежать ручного ввода при восстановлении ключа. Но не забудьте также напечатать вывод простой бумаги с ключом, поскольку вы обречены, если у вас есть только вывод optar, но не программное обеспечение optar .
Paperkey доступен в Debian, optar еще нет.
В дополнение к этим бумажным резервным копиям вы должны взять USB-флешку с вашим закрытым ключом и отсканированные документы самых важных документов (свидетельство о рождении, страховки, рабочие справки, сертификаты) и сдать их на хранение в пожар, грабеж и правоохранительные органы. (Я лично не доверял бы банкам с этим.)
1
Хотя другие рекомендуют использовать другое программное обеспечение, вы не можете быть уверены, что оно будет доступно, например, через 20 лет.
Однако вы можете извлечь выгоду из того факта, что ключ присутствует в виде простого текста: распечатайте его и храните в надежном месте. Простой текст просто означает: не нужно никакого специального программного обеспечения. Тем не менее, вам не нужно вводить его обратно, так как существует огромное разнообразие (бесплатного) программного обеспечения для распознавания текста, и, скорее всего, так будет всегда.
Само собой разумеется, что если все пойдет не так, вы все равно можете сесть и ввести ключ (хотя я сомневаюсь, что это когда-нибудь так и будет).
1
Я бы сохранил его в зашифрованном формате где-то еще. Варианты включают в себя том TrueCrypt, базу данных Keepass или любую другую форму шифрования, которую вы предпочитаете. В зависимости от того, насколько вы нервничаете по поводу безопасности, будет зависеть, будете ли вы хранить ключ в облаке, но если бы я использовал надежное шифрование для шифрования закрытого ключа и не защищал чрезвычайно конфиденциальные данные, я бы, вероятно, сохранил их в gmail или dropbox.
0
Если вы собираетесь хранить свои личные ключи в Интернете в каком-либо ненадежном месте, зашифруйте сами ключи, а также учтите дополнительный уровень защиты, такой как стеганография (скрывайте ключи в некоторых медиа-файлах, таких как изображения).