Qual é a melhor maneira de manter um arquivo de chave privada PGP gerado pelo GnuPG?

15

Qual é a melhor maneira de manter um arquivo de chave privada PGP gerado pelo GnuPG?

Armazenarei minha chave pública on-line, no Gmail, em muitos dos meus computadores. Onde / qual a melhor forma de proteger e armazenar o arquivo de chave privada?

Computist
fonte

Respostas:

4

Use o seu software de criptografia favorito ou deixe-o sozinho na sua área de trabalho em qualquer lugar ou em qualquer lugar que você quiser no seu computador (supondo que o acesso físico ao seu computador esteja protegido, há pouca / nenhuma chance de alguém conseguir a chave).

soandos
fonte
5
Na verdade, minha pergunta era como manter minha chave privada em segurança, contra desastres naturais, falhas de hardware, roubo de dados etc., para que eu possa manter o par de chaves seguro e útil e poder restaurá-la em outro lugar. Portanto, não posso realmente assumir que meu computador está fisicamente seguro.
Computist
1
Desculpe, eu não vi isso. A maneira de fazer isso é enviá-lo para si mesmo em um e-mail (de preferência criptografado) ou colocá-lo em um CD / USB / disquete em algum lugar.
soandos
6

TL; DR uma unidade flash ou um CD em um local seguro.

Como essa é uma pergunta de segurança, eu hesitaria muito em confiar minha chave privada ao Google ou a qualquer outro grande serviço de nuvem. Pode me chamar de paranóico, mas sua chave PGP é sua assinatura . Detesto lembrá-lo do simples, mas com sua chave PGP eu "sou" você. Pessoalmente, eu faria o backup da minha chave em todos os computadores que possuo e, em boa medida, colocaria um CD ou uma unidade flash rotulada em algum lugar seguro. (como uma arma segura)

edit: oops, desculpe, @soandos teve a mesma idéia primeiro.

rmckenzie
fonte
1
supondo que você tenha uma senha forte o suficiente, a chave privada é inútil, não é?
21815 Jason Coyne
A sabedoria convencional é que as "unidades flash" não são confiáveis ​​para armazenamento a longo prazo.
Scott Scott
4

Encontrei paperkey . Sua chave privada também contém uma cópia da chave pública. Como a chave pública é copiada para dezenas de servidores de chaves, você só precisa se preocupar com a chave privada sem a chave pública incluída. O Paperkey extrai apenas essas informações essenciais e fornece um hexdump de texto sem formatação com somas de verificação.

Em caso de emergência, quando tudo mais falhar, você ainda pode digitar manualmente (ou com scanner e OCR) no dump hexadecimal e recriar sua chave privada.

Além disso, há opt . Optar não está relacionado à criptografia. Ele pega qualquer arquivo e fornece um código QR como uma codificação muito densa desses bytes. Você também pode alimentar a saída da paperkey por meio de optar por evitar que você digite manualmente ao recuperar sua chave. Mas certifique-se de imprimir também a saída da chave de papel comum, pois você está condenado se tiver apenas a saída opcional, mas não o software opcional mais.

Paperkey está disponível no Debian, opt ainda não .

Além desses backups em papel, você deve levar um pendrive com sua chave privada e as digitalizações dos documentos mais importantes (certidão de nascimento, seguros, referências de trabalho, certificados) e depositá-lo em um local seguro para incêndio, roubo e aplicação da lei. (Eu pessoalmente não confiaria nisso nos bancos.)

Thomas Koch
fonte
1

Eu o armazenaria em um formato criptografado em outro lugar. As opções incluem um volume de truecrypt, um banco de dados keepass ou qualquer outra forma de criptografia que você preferir. Dependendo de quão nervoso você esteja com a segurança, determinará se você armazenaria a chave na nuvem, mas se eu usasse uma criptografia forte para criptografar a chave privada e não estivesse protegendo dados extremamente sensíveis, provavelmente a armazenaria no gmail ou no dropbox.

Jared
fonte
1

Embora outros recomendem o uso de software diferente, você não pode ter certeza de que ele ainda estará disponível em, por exemplo, 20 anos.

No entanto, você pode se beneficiar do fato de a chave estar presente em texto simples: imprima e guarde-a em um local seguro. Texto simples significa simplesmente: não há necessidade de algum software especial. Ainda assim, você não precisa digitá-lo novamente, pois existe uma grande variedade de software de reconhecimento de texto (gratuito) disponível e provavelmente será sempre.

Escusado será dizer que, se tudo falhar , você ainda pode sentar e digitar a chave (pouco duvido que esse seja o caso).

MrD
fonte
0

Se você pretende armazenar suas chaves privadas online em algum local não confiável, criptografe as próprias chaves, considere também um nível adicional de proteção como a esteganografia (oculte as chaves em alguns arquivos de mídia, como imagens).

vtest
fonte