¿Cuál es la mejor manera de mantener un archivo de clave privada PGP generado por GnuPG?

¿Cuál es la mejor manera de mantener un archivo de clave privada PGP generado por GnuPG?

Simplemente almacenaré mi clave pública en línea, en Gmail, en muchas de mis computadoras. ¿Dónde / cómo proteger y almacenar mejor el archivo de clave privada?

Use su software de cifrado favorito, o simplemente déjelo solo en su escritorio en cualquier lugar o en cualquier lugar que desee en su computadora (suponiendo que el acceso físico a su computadora esté asegurado, hay poca o ninguna posibilidad de que alguien pueda obtener la clave).

TL; DR una unidad flash o un CD en un lugar seguro.

Como se trata de una pregunta de seguridad, dudaría en confiar mi clave privada a Google o cualquier otro servicio importante en la nube. Llámame paranoico, pero tu clave PGP es tu firma . Odio recordarle lo simple, pero con su clave PGP "soy" usted. Personalmente, haría una copia de seguridad de mi clave en cualquiera / todas las computadoras que poseo y, como buena medida, colocaría un CD o unidad flash etiquetado en un lugar seguro. (como una pistola segura)

edit: oops, lo siento @soandos tuvo la misma idea primero.

Encontré Paperkey . Su clave privada también contiene una copia de la clave pública. Dado que la clave pública está respaldada por docenas de servidores de claves, solo debe preocuparse por la clave privada sin la clave pública incluida. Paperkey extrae solo esta información esencial y le proporciona un texto sin formato con suma de comprobación.

En caso de emergencia, cuando todo lo demás falla, puede escribir manualmente (o con escáner y OCR) en el volcado hexadecimal y volver a crear su clave privada.

Además de eso hay optar . Optar no está relacionado con la criptografía. Simplemente toma cualquier archivo y le da un código QR como una codificación muy densa de estos bytes. También puede alimentar la salida de paperkey a través de optar para evitar que escriba manualmente al recuperar su clave. Pero asegúrese de imprimir también la salida de papel normal ya que está condenado si solo tiene la salida optar pero ya no el software optar .

Paperkey está disponible en Debian, optar aún no .

Además de esas copias de seguridad en papel, debe llevar una memoria USB con su clave privada y los escaneos de los documentos más importantes (certificado de nacimiento, seguros, referencias de trabajo, certificados) y depositarlo en un lugar de incendio, robo y cumplimiento de la ley. (Yo personalmente no confiaría en los bancos con eso).

Lo almacenaría en un formato cifrado en otro lugar. Las opciones incluyen un volumen de cifrado verdadero, una base de datos keepass o cualquier otra forma de cifrado que prefiera. Dependiendo de lo nervioso que esté por la seguridad, determinará si almacenaría la clave en la nube, pero si usara un cifrado seguro para cifrar la clave privada y no estuviera protegiendo datos extremadamente confidenciales, probablemente la almacenaría en gmail o dropbox.

Aunque otros recomiendan utilizar un software diferente, no puede estar seguro de que seguirá estando disponible, por ejemplo, en 20 años.

Sin embargo, puede beneficiarse del hecho de que la clave está presente en texto plano: imprímala y guárdela en un lugar seguro. El texto sin formato simplemente significa: no es necesario un software especial. Aún así, no tiene que volver a escribirlo, ya que hay una gran variedad de software de reconocimiento de texto (gratuito) disponible y probablemente siempre lo estará.

No hace falta decir que si todo falla , aún podría sentarse y escribir la clave (poco dudo que este sea el caso).

Si va a almacenar sus claves privadas en línea en una ubicación no confiable, cifre las claves en sí mismas, también considere un nivel adicional de protección como la esteganografía (oculte las claves en algunos archivos multimedia como imágenes).