Qual é a melhor maneira de manter um arquivo de chave privada PGP gerado pelo GnuPG?
Vou apenas guardar a minha chave pública online, no Gmail, em muitos dos meus computadores. Onde / qual a melhor forma de proteger e armazenar o arquivo de chave privada?
TL; DR uma unidade flash ou um CD em um local seguro.
Como esta é uma questão de segurança, hesitaria em confiar minha chave privada ao Google ou a qualquer outro serviço em nuvem importante. Chame-me paranóico, mas sua chave PGP é sua assinatura . Eu odeio lembrar você do simples, mas com sua chave PGP eu "sou" você. Pessoalmente, eu faria o backup da minha chave em qualquer computador que possuísse e, por precaução, colocaria um CD rotulado ou uma unidade flash em algum lugar seguro. (como uma arma segura)
edite: oops, desculpe @soandos teve a mesma ideia primeiro.
Eu encontrei paperkey . Sua chave privada também contém uma cópia da chave pública. Como a chave pública é copiada para dezenas de servidores principais, você só precisa se preocupar com a chave privada sem a chave pública incluída. Paperkey extrai apenas esta informação essencial e fornece um hexdump de texto simples com checksums.
Em caso de emergência, quando tudo o mais falhar, você ainda pode manualmente (ou com scanner e OCR) digitar o despejo hexadecimal e recriar sua chave privada.
Além disso, há optar . Optar não está relacionado à criptografia. Ele apenas pega qualquer arquivo e fornece um código QR como uma codificação muito densa desses bytes. Você também pode alimentar a saída de paperkey através de optar para evitar que você digite manualmente ao recuperar sua chave. Mas certifique-se também de imprimir a saída paperkey simples, já que está condenado se tiver apenas a saída optar mas não o software optar .
Paperkey está disponível no Debian, optar ainda
Além dos backups em papel, você deve usar um pendrive com sua chave privada e as digitalizações dos documentos mais importantes (certidão de nascimento, seguro, referências de trabalho, certificados) e depositá-lo em um incêndio, roubo e imposição da lei. salvar lugar. (Eu pessoalmente não confiaria nos bancos com isso.)
Gostaria de armazená-lo em um formato criptografado em outro lugar. As opções incluem um volume TrueCrypt, em um banco de dados keepass , ou qualquer outra forma de criptografia que você preferir. Dependendo de quão nervoso você está, a segurança determinará se você armazenaria a chave na nuvem, mas se eu usasse criptografia strong para criptografar a chave privada e não estivesse protegendo dados extremamente confidenciais, provavelmente a armazenaria no gmail ou na caixa de depósito.
Embora outros recomendem o uso de software diferente, você não pode ter certeza de que ele ainda estará disponível em, por exemplo, 20 anos.
No entanto, você pode se beneficiar do fato de a chave estar presente em texto simples: imprimi-lo e armazená-lo em um local seguro. Texto simples significa simplesmente: não há necessidade de algum software especial. Ainda assim, você não precisa digitá-lo novamente, pois há uma grande variedade de softwares de reconhecimento de texto (gratuitos) disponíveis e provavelmente sempre serão.
Escusado será dizer que se tudo falhar , você ainda pode sentar e digitar a chave em (bit eu duvido que isso nunca vai ser o caso).
Se você for armazenar suas chaves privadas on-line em algum local não confiável, criptografar as próprias chaves, considere também um nível adicional de proteção como esteganografia (oculte as chaves em alguns arquivos de mídia, como imagens).