Uso adequado do GPG

Eu não me preocuparia com o nome do arquivo e o possível conhecimento dos primeiros bytes. mas se você estiver incomodado com isso, considere isto:

• você pode usar um contêiner, ou .7z ou .zip com criptografia aes
• você pode usar um programa contêiner como o truecrypt

tenha em mente:

• O gpg criptografa seu arquivo no modo misto, o que significa: ele usa a chave assimétrica para criptografar uma "chave de sessão" e usar essa chave de sessão para criptografar os dados reais. então, você não ganha nada usando chaves assimétricas para criptografar coisas que só você se importa (lembre-se: a criptografia assimétrica só é útil para algo como troca de chaves quando a quantidade de dados é relativamente pequena)

• não há motivo para não usar a criptografia simétrica, pois você deseja memorizar a senha dos seus arquivos / contêiner de qualquer maneira: gpg --symmetric -e

desde que você se descreveu como um novato no tópico: leia um pouco sobre isso no manual do gnupg:

link

O GPG compactará o arquivo antes de criptografá-lo, o que reduz as chances de um ataque de texto sem formatação, independentemente do tipo de arquivo. Além disso, caso ocorra um caso raro de mensagem comprometida, não é indicativo de uma chave comprometida entre os destinatários dessa mensagem.

O motivo da última parte refere-se ao processo pelo qual o GPG criptografa mensagens e arquivos. Primeiro o conteúdo é compactado, geralmente usando o zlib. Em seguida, os dados compactados são simetricamente criptografados com uma senha única chamada de chave de sessão. Em seguida, a chave de sessão é criptografada assimetricamente com as chaves públicas dos destinatários. Quando a mensagem é descriptografada, o processo é revertido: o destinatário desbloqueia a chave de sessão usando sua chave secreta e senha; o GPG usa a chave de sessão para descriptografar os dados simetricamente criptografados e, finalmente, ela é descompactada.

Um ataque a uma única mensagem é mais provável de resultar na determinação da chave de sessão do que comprometer qualquer uma das chaves públicas.

Se você ainda quiser ocultar os tipos de arquivo, faça o seguinte:

gpg -ear $RECIPIENT_ID -o filename.asc filename.odt

Para restaurar o nome do arquivo original ao descriptografar, faça o seguinte:

gpg --use-embedded-filename filename.asc

O GPG gravará os dados descriptografados no nome do arquivo original, que é armazenado nos dados simetricamente criptografados, junto com outras informações necessárias para reconstruir os dados.

Observação: não use o sinalizador de nome de arquivo incorporado acima se descriptografar manualmente o texto cifrado de um programa de e-mail, especialmente se estiver usando o Thunderbird e o Enigmail. Muitos programas de criptografia de e-mail (incluindo o Thunderbird e o Enigmail) não atribuem um nome de arquivo original a partir do rascunho e a descriptografia dessa maneira pode causar problemas, como tentar gravar dados em um nome de arquivo nulo.

AFAIK, sabendo que o tipo de dados que um arquivo criptografado contém, não tem nenhum uso para quebrar, já que a criptografia não se importa com o tipo de dado. Para criptografia, eles são meros bits (números) sem significado algum.

Sobre sua chave, a opção mais segura é lembrar porque sua mente não pode ser acessada;)

Para responder à segunda parte da sua pergunta:

Also, what steps should I take to backup my key (print it on paper...)?

Vamos falar primeiro sobre o Certificado de Revogação. Você deve definitivamente criar e fazer o backup do Certificado de Revogação da sua chave mestra. Muitas pessoas fazem uma cópia em papel (com blindagem ascii ou código QR) e a armazenam em um local seguro, como um cofre, uma caixa à prova de fogo ou um cofre em um banco. Se a sua chave mestra (a chave de Certificação) ficar comprometida, você terá um backup que poderá revogá-la caso o Certificado de Revogação desapareça do seu dispositivo ou o dispositivo seja perdido, etc.

Se você não tiver um Certificado de Revogação, faça-o com o comando abaixo. "mykey" é o nome da chave, que podem ser os últimos 8 caracteres da impressão digital.

gpg--outputrevoke.asc--gen-revokemykey

Ocertificadoderevogaçãoseráparecidocomeste,queéfácildeimprimir.Masvocêdevetercuidado.Aimpressãopodeexpô-loaumcompromisso.

-----BEGINPGPPUBLICKEYBLOCK-----

Comment:Thisisarevocationcertificate

iQG2BCABCAAgFiEEiz1thFzdqmEJkNsdNgBokN1gxcwFAlsrcOsCHQAACgkQNgBokN1gxczZ1Qv/aUNZgG0Sjasbu2sDMcX+rjEUNpIGUB6zjcTsPwpXfFo11aM3yefbk0FgMohA8HUwmN4ka+P31jYuNuLNCqFdT8DKKuQk6XgKnX3NieahG/dFaVANXyHR.....................................thisismerelyanexamplerevocationcert...................................................=4lcB

-----ENDPGPPUBLICKEYBLOCK-----

Agora,sobreobackupdesuachavemestra:

Solução1:fazerobackupdachavemestrapodesertãofácilquantocopiartodooarquivo.Soluçãodois:terumachavemestraoff-line(C)aumentasuasegurançaepodevalerapena,dependendodaavaliaçãoderisco.Sevocêestiverusandoumlaptopounetbookparaarmazenarsuaschaves,podeserumaboaideiamoversuachavemestraparaomodooff-line.

Existemduasmaneirasdeterumachavemestraoff-line: a maneira difícil e o caminho mais difícil .

Depois de remover a chave secreta da sua chave mestra (C) e executar

gpg2 -K

O resultado deve ser assim:

Observe o # ao lado de sec - que indica que a chave secreta não está mais lá.