claves de gnupg y base de datos de paso - Protegiendo tanto de pérdidas y accesos no autorizados

Navega tus respuestas
3

Mi objetivo es usar pass para almacenar una gran cantidad de contraseñas y poder acceder a esas contraseñas desde donde las necesite, posiblemente utilizando solo una pass-thing (contraseña, frase de contraseña, Mi voz, mi huella digital, mis ojos, ...), por lo que la pregunta corta podría ser

¿Cuál es la forma correcta de usar pass ?

He leído varias guías sobre eso, pero ninguna de ellas (en realidad ninguna de las que entendí) analiza en profundidad la relación de esta herramienta con gpg (que se requiere), ya que tiene varias implicaciones relacionadas con la hecho de que los archivos / unidades pueden ser robados y rotos, y uno debe procesar esos objetos del primero, el último o ambos riesgos.

En la pregunta original, describí lo que he entendido hasta ahora.

Le pido que me ayude a comprender si las conclusiones que saqué en la lista final de viñetas son correctas.

Publicación original

Nunca había usado GnuPG intencionalmente cuando ayer creé un par de llaves, eligiendo una frase de contraseña a prueba de balas.

Hice esto para tener una identificación para usar con pass , con la que quiero almacenar la cada vez más larga lista de contraseñas inmanejablemente relacionadas con este y ese sitio. Así que instalé pass y también lo configuré, luego inserté todas las contraseñas en la tienda, y también mi gato.

Después de esto, todo lo que tengo son básicamente dos árboles de directorios, a saber, ~/.gnupg configurado por los comandos gpg que usé para crear las claves, y ~/password-store , que configuré y completé mediante los comandos pass .

Ahora, mi computadora puede ser dañada (por alguien que necesita mis recetas de cocina secretas) o explotar, así que me gustaría que me ayudes a entender qué hacer a continuación.

Con respecto a la protección de personas malintencionadas y de fallas físicas, ¿son ciertas las siguientes afirmaciones?

  1. Tengo que mantener el directorio ~/password-store en los dispositivos que uso, siempre y cuando tenga que acceder a las contraseñas desde allí todos los días.
  2. También tengo que mantener el ~/password-store en un dispositivo externo (ya sea uno, indestructible o más, redundante).
  3. No tengo que tener miedo de 1., siempre y cuando no se viole la frase de contraseña.
  4. Tampoco es necesario que yo exporte y cargue mi clave pública en otro lugar, siempre que no tenga que firmar mensajes, pero puedo (punto 6).
  5. La clave privada (al igual que la pública) no se puede robar de mi sistema, pero no se puede usar siempre que la frase de contraseña no se viola, y no la he exportado (la clave privada) en un archivo en ese sistema unidad / disco / etc accesible por otros .

  6. Para no perder la clave pública, tengo que exportarla y (ya sea 6.1 o 6.2 es suficiente)

    6.1. cópielo en un dispositivo externo (bla bla), o

    6.2. subirlo en un servidor de claves.

  7. Tengo que exportar y copiar la clave privada en una unidad externa.
  8. La frase de contraseña también puede estar solo en mi mente, siempre que mi memoria me ayude.

Más sintéticamente creo que tengo que

  • recuerda la frase de contraseña (1 cadena);
  • almacene la clave privada exportada (1 archivo) en una unidad a salvo de los ladrones;
  • como alternativa, almacene la clave pública exportada (1 archivo) en una unidad a salvo de daños físicos, o en un servidor de llaves;
  • almacene ~/.password-store (1 directorio) en una unidad a salvo de fallas físicas, y la tengo disponible desde cualquier lugar donde necesito acceso a una contraseña (subirla a GitHub sería ideal, ¿no?) .
pregunta Enrico Maria De Angelis 19.09.2018 - 17:32
fuente

1 respuesta

1

Aunque no estoy seguro de que pueda haber una forma concreta "correcta" de usar el pase, lo que ha descrito es una configuración razonablemente segura y creo que sus suposiciones (excepto quizás el número 5) son precisas.

Para usar el pase para administrar las contraseñas a las que necesita acceder (desde cada PC que pueda usar)

  1. Una copia de su / password-store / directory
  2. Su clave privada gpg

Para proteger la disponibilidad de sus contraseñas, debe hacer una copia de seguridad

  1. Su clave privada gpg (el público está incluido en el gpg --export-secret-secret process iirc)
  2. su / directorio / tienda de contraseñas

Si bien los archivos de contraseña están cifrados y es (teóricamente) seguro dejarlos a la vista, yo personalmente no los dejaría en un repositorio abierto de GitHub. Si no tiene una suscripción pagada con ellos, hay otros proveedores que ofrecen repositorios privados de forma gratuita (o podría utilizar uno en su propio hardware / VPS).

Otro pensamiento que agregaría es considerar el uso de una tarjeta inteligente para transportar su clave secreta. Es una forma conveniente de obtener la clave entre diferentes máquinas. Puede usarla desde esa

  1. No se puede copiar tan fácilmente como podría ser desde una unidad flash normal.
  2. No deja la llave en la caja cuando no la estás usando (está en la tarjeta).
respondido por el user8675309 11.10.2018 - 00:02
fuente

Lea otras preguntas en las etiquetas

dudas técnicas WPA3 (2) Cómo evitar que los participantes hagan trampas al establecer una estructura similar a OpenPGP