¿Dónde almacena su clave personal privada de GPG?

Me gusta guardar el mío en papel.

Usando un JavaScript (lea: fuera de línea) código QR generador, creo una imagen de mi clave privada en ASCII blindado forma, a continuación, imprimir esto fuera. Anote junto con la ID de la clave y guárdela en una ubicación físicamente segura.

Si tienes una clave grande o muchas, te recomiendo paperbak , aunque asegúrate de anotar las instrucciones sobre cómo recuperar Los datos más tarde. Tan importante como la forma de hacer una copia de seguridad de la copia de seguridad. Probablemente probaría esto con datos ficticios solo para estar seguro de que sabes exactamente cómo funciona.

Vale la pena señalar que puede proteger su clave privada con una frase de contraseña, por lo que incluso si está alojado con un proveedor en la nube, no pueden ver su clave privada, pero toda la seguridad de su contraseña se reduce a eso. frase de contraseña en lugar de la clave privada completa, sin mencionar que los proveedores de la nube pueden desaparecer de la noche a la mañana.

En los días en que mi paranoia es como un tomate maduro, rogándome que la recoja, divido la clave privada (naturalmente, ya está protegida por frase de contraseña) a la mitad, luego formo una tercera cuerda al juntarlos con XOR. Luego uso un cifrado de contraseña simple ( gpg --symmetric ) en cada cadena y las coloco en un servidor remoto en un continente diferente. Lo ideal es que cada servidor remoto tenga un ISP o proveedor de nube diferente.

Pero a medida que la medicina estaba funcionando, al menos hasta que me di cuenta de lo ambiciosa que ha sido la NSA, lo que realmente he hecho en el pasado es simplemente cifrar la clave privada (completa) (nuevamente usando gpg --symmetric ) y ponlo en mi teléfono inteligente.

Ahora, después de leer las otras respuestas, me parece que la idea de tres códigos QR, incrustada en tres fotos familiares, es cegadora y atractiva. ¿Tiempo para una medicina más fuerte?

Esto no es lo que uso actualmente, pero lo estoy pensando:

1. Encripta la clave privada con una clave de encriptación simétrica muy larga
2. Use Shamir's Secret Sharing para dividir la clave de cifrado simétrica en 7 partes (como Voldemort), como mínimo 5 acciones para fusionar con éxito.
3. Averigüe dónde colocar 7 copias de seguridad secretas , algunas ideas:
   • tarjeta de medios en una caja fuerte en casa
   • papel impreso en mi billetera
   • en Dropbox
   • caja de seguridad en el extranjero
   • implantes de piel
   • enterrado en la tumba de algún tipo aleatorio
   • tatuado a serpiente mascota venenosa

De esta manera, puedo perder el acceso a un par de recursos compartidos y aún puedo acceder a la clave; mientras que un atacante tendría que comprometerse en 5 lugares diferentes, seguros e individuales, a los que me es fácil acceder pero difícil para los secuaces del malvado señor oscuro en ese auto negro en frente de la casa < se pone papel de aluminio & gt ;.

Puede mantener su clave privada en una unidad flash y mantener esta unidad en un casillero. Además, asegúrese de no usar esta unidad de memoria flash para actividades que puedan causar la infección con algún malware.

Una opción es cifrar su clave mediante una frase de contraseña y almacenar la clave cifrada en un servicio en la nube.

Tengo la clave en mi computadora portátil (unidad de hardware cifrada) y en un contenedor de Truecrypt en un disco duro externo como respaldo. Ok, no es un riesgo cero de pérdida de datos, pero se trata de un nivel que es aceptable para mí.

Mantengo la clave (y otros datos confidenciales, como un nombre de usuario / lista de contraseñas) encriptados en un contenedor truecrypt . Este contenedor está protegido por una contraseña masiva. También se realiza una copia de seguridad del contenedor en el almacenamiento en la nube para que las ediciones de cualquiera de mis computadoras se sincronicen.

No es perfecto, pero si el proveedor de la nube muere, todavía lo tengo sincronizado en mis computadoras. Si el archivo en sí está comprometido, tendrían que descifrar la frase clave y la frase clave de acceso.

Tengo dos claves, una menos segura almacenada en la computadora y otra en una OpenPGP Card . El último es lo más seguro posible porque la clave privada nunca deja el chip en la tarjeta. (Sin embargo, hace años, para mayor seguridad, tuve que modificar ligeramente gpg para usar el teclado seguro de mi lector de tarjetas en lugar de obtener el PIN de la tarjeta desde el teclado de la PC, que puede ser propenso a ataques de keylogger).

Almaceno el mío dentro de un archivo cifrado KeePassX, este archivo se guarda dentro de un repositorio git que cloné en todas las máquinas que necesito para usar las contraseñas. El beneficio adicional es que puedo mantener las contraseñas sincronizadas mientras que si el servidor destruye el archivo, siempre puedo usar cualquiera de los repositorios clonados. Si estoy paranoico, puedo poner un volumen de truecrypt que contiene el archivo cifrado KeePassX.

Git también me proporciona versiones, por lo que siempre puedo volver a las versiones anteriores de mi archivo de contraseñas, eso es muy importante.

Yo usaría la esteganografía para colocar la clave encriptada en una serie de 100 fotos que subo en varios almacenamiento en la nube (box, dropbox y ovh) por ejemplo.
Entonces, primero debes saber que hay algo en esa imagen, descubrir qué y descifrarlo.
Es un poco extremo, pero resiste el fuego mejor que el papel.

Realmente me gusta la idea de tener una copia de seguridad de último recurso en papel a muy largo plazo. (Junto con un CD de archivo encriptado en una ubicación segura). Simplemente no puedo encontrar un generador QR que admita la longitud completa de una clave privada, y no confío en paperbak hasta que corrigen la generación de claves AES (además, parece que ser solo para Windows).

Encontré optar que codificará cualquier longitud de datos en un formato legible por la máquina, pero por ahora tienes que compilar Es desde C manualmente. [No debería ser difícil poner algo en Homebrew para Mac, y quizás un samaritano pueda mantener una versión de Windows, si resulta que funciona bien.]

paperkey debe ser buena para imprimir / usar OCR para restaurar una clave privada y crear un mínimo de caracteres para un Código de barras / generador de código QR.

La clave privada ya está encriptada. Sin embargo, cifrarlo simétricamente una vez más no dolería. Después de eso la preocupación debe ser sobre la seguridad física. La durabilidad de los medios y la seguridad fuera del sitio deben ser las principales consideraciones. Una clave de USB probablemente esté bien durante al menos diez años, siempre y cuando los puertos USB estén disponibles. Ponga la llave en un lugar seguro. Una caja de seguridad o una buena caja de seguridad son buenas posibilidades. Esto debería permitir una recuperación en caso de que el sistema que está utilizando ahora se rompa de alguna manera irrecuperable. etiqueta y fecha de la memoria USB. También se debe almacenar una copia encriptada del certificado de revocación de la clave. haga un par de duplicados si le preocupa la falla de la memoria USB.

Puedes intentar memorizarlo ...

Podría ser posible usar un algoritmo similar a gzip para que los humanos comprimen y memoricen. Podría codificar en una melodía y memorizar eso,

Codifique con una contraseña segura y úsela como firma en todos los foros que use. quizás también haya listas de correo para esas claves.