¿Cuál es la mejor manera de mantener un archivo de clave privada PGP generado por GnuPG?

15

¿Cuál es la mejor manera de mantener un archivo de clave privada PGP generado por GnuPG?

Simplemente almacenaré mi clave pública en línea, en Gmail, en muchas de mis computadoras. ¿Dónde / cómo proteger y almacenar mejor el archivo de clave privada?

Computista
fuente

Respuestas:

4

Use su software de cifrado favorito, o simplemente déjelo solo en su escritorio en cualquier lugar o en cualquier lugar que desee en su computadora (suponiendo que el acceso físico a su computadora esté asegurado, hay poca o ninguna posibilidad de que alguien pueda obtener la clave).

soandos
fuente
55
Mi pregunta era, en realidad, ¿cómo mantengo segura mi clave privada, de desastres naturales, fallas de hardware, robo de datos, etc., para poder mantener el par de claves seguro y útil, y poder restaurar la clave en otro lugar? Así que realmente no puedo asumir que mi computadora es físicamente segura.
Computista
1
Lo siento, no vi eso. La forma de hacerlo es enviándosela a usted mismo por correo electrónico (preferiblemente encriptada) o colocándola en un CD / USB / disquete en alguna parte.
soandos
6

TL; DR una unidad flash o un CD en un lugar seguro.

Como se trata de una pregunta de seguridad, dudaría en confiar mi clave privada a Google o cualquier otro servicio importante en la nube. Llámame paranoico, pero tu clave PGP es tu firma . Odio recordarle lo simple, pero con su clave PGP "soy" usted. Personalmente, haría una copia de seguridad de mi clave en cualquiera / todas las computadoras que poseo y, como buena medida, colocaría un CD o unidad flash etiquetado en un lugar seguro. (como una pistola segura)

edit: oops, lo siento @soandos tuvo la misma idea primero.

rmckenzie
fuente
1
suponiendo que tenga una frase de contraseña suficientemente fuerte, la clave privada no tiene valor, ¿no?
Jason Coyne
La sabiduría convencional es que las "unidades flash" no son confiables para el almacenamiento a largo plazo.
Scott
4

Encontré Paperkey . Su clave privada también contiene una copia de la clave pública. Dado que la clave pública está respaldada por docenas de servidores de claves, solo debe preocuparse por la clave privada sin la clave pública incluida. Paperkey extrae solo esta información esencial y le proporciona un texto sin formato con suma de comprobación.

En caso de emergencia, cuando todo lo demás falla, puede escribir manualmente (o con escáner y OCR) en el volcado hexadecimal y volver a crear su clave privada.

Además de eso hay optar . Optar no está relacionado con la criptografía. Simplemente toma cualquier archivo y le da un código QR como una codificación muy densa de estos bytes. También puede alimentar la salida de paperkey a través de optar para evitar que escriba manualmente al recuperar su clave. Pero asegúrese de imprimir también la salida de papel normal ya que está condenado si solo tiene la salida optar pero ya no el software optar .

Paperkey está disponible en Debian, optar aún no .

Además de esas copias de seguridad en papel, debe llevar una memoria USB con su clave privada y los escaneos de los documentos más importantes (certificado de nacimiento, seguros, referencias de trabajo, certificados) y depositarlo en un lugar de incendio, robo y cumplimiento de la ley. (Yo personalmente no confiaría en los bancos con eso).

Thomas Koch
fuente
1

Lo almacenaría en un formato cifrado en otro lugar. Las opciones incluyen un volumen de cifrado verdadero, una base de datos keepass o cualquier otra forma de cifrado que prefiera. Dependiendo de lo nervioso que esté por la seguridad, determinará si almacenaría la clave en la nube, pero si usara un cifrado seguro para cifrar la clave privada y no estuviera protegiendo datos extremadamente confidenciales, probablemente la almacenaría en gmail o dropbox.

Jared
fuente
1

Aunque otros recomiendan utilizar un software diferente, no puede estar seguro de que seguirá estando disponible, por ejemplo, en 20 años.

Sin embargo, puede beneficiarse del hecho de que la clave está presente en texto plano: imprímala y guárdela en un lugar seguro. El texto sin formato simplemente significa: no es necesario un software especial. Aún así, no tiene que volver a escribirlo, ya que hay una gran variedad de software de reconocimiento de texto (gratuito) disponible y probablemente siempre lo estará.

No hace falta decir que si todo falla , aún podría sentarse y escribir la clave (poco dudo que este sea el caso).

MrD
fuente
0

Si va a almacenar sus claves privadas en línea en una ubicación no confiable, cifre las claves en sí mismas, también considere un nivel adicional de protección como la esteganografía (oculte las claves en algunos archivos multimedia como imágenes).

vtest
fuente