Wie kann eine von GnuPG generierte private PGP-Schlüsseldatei am besten aufbewahrt werden?

15

Wie kann eine von GnuPG generierte private PGP-Schlüsseldatei am besten aufbewahrt werden?

Ich speichere meinen öffentlichen Schlüssel nur online in Google Mail auf vielen meiner Computer. Wo / wie kann die private Schlüsseldatei am besten geschützt und gespeichert werden?

gnupg pgp security Computist
quelle

Antworten:

4

Verwenden Sie Ihre bevorzugte Verschlüsselungssoftware oder lassen Sie sie einfach auf Ihrem Desktop an einem beliebigen Ort auf Ihrem Computer in Ruhe (vorausgesetzt, der physische Zugriff auf Ihren Computer ist gesichert, besteht nur eine geringe oder keine Chance, dass jemand den Schlüssel erhält).

soandos
quelle
5
Meine Frage war eigentlich, wie ich meinen privaten Schlüssel vor Naturkatastrophen, Hardwarefehlern, Datendiebstahl usw. schützen kann, damit ich das Schlüsselpaar sicher und nützlich aufbewahren und den Schlüssel an einem anderen Ort wiederherstellen kann. Ich kann also nicht wirklich davon ausgehen, dass mein Computer physisch sicher ist.
Computist
1
Entschuldigung, das habe ich nicht gesehen. Sie können es entweder per E-Mail (vorzugsweise verschlüsselt) an sich selbst senden oder auf eine CD / USB / Floppy legen.
Soandos
6

TL; DR ein Flash-Laufwerk oder eine CD an einem sicheren Ort.

Da dies eine Sicherheitsfrage ist, zögere ich sehr, meinen privaten Schlüssel Google oder einem anderen wichtigen Cloud-Dienst anzuvertrauen. Nennen Sie mich paranoid, aber Ihr PGP-Schlüssel ist Ihre Signatur . Ich hasse es, Sie an das Einfache zu erinnern, aber mit Ihrem PGP-Schlüssel "bin" ich Sie. Persönlich würde ich meinen Schlüssel auf jedem meiner Computer sichern und eine beschriftete CD oder ein Flash-Laufwerk an einem sicheren Ort ablegen. (wie ein Waffensafe)

edit: oops, sorry @soandos hatte zuerst die gleiche Idee.

rmckenzie
quelle
1
vorausgesetzt, Sie haben eine ausreichend starke Passphrase, ist der private Schlüssel wertlos, nicht wahr?
Jason Coyne
Es ist allgemein bekannt, dass „Flash-Laufwerke“ für die Langzeitspeicherung unzuverlässig sind.
Scott
4

Ich habe Papierschlüssel gefunden . Ihr privater Schlüssel enthält auch eine Kopie des öffentlichen Schlüssels. Da der öffentliche Schlüssel auf Dutzenden von Schlüsselservern gesichert ist, müssen Sie sich nur um den privaten Schlüssel ohne den enthaltenen öffentlichen Schlüssel kümmern. Paperkey extrahiert nur diese wesentlichen Informationen und gibt Ihnen einen Hexdump im Klartext mit Prüfsummen.

Im Notfall, wenn alles andere fehlschlägt, können Sie den Hex-Dump immer noch manuell (oder mit Scanner und OCR) eingeben und Ihren privaten Schlüssel neu erstellen.

Darüber hinaus gibt es optar . Optar hat nichts mit Kryptographie zu tun . Es braucht nur eine beliebige Datei und gibt Ihnen einen QR-Code wie sehr dichte Codierung dieser Bytes. Sie können die Ausgabe von paperkey auch über optar einspeisen , damit Sie beim Wiederherstellen Ihres Schlüssels nicht manuell tippen müssen. Stellen Sie jedoch sicher, dass Sie auch die normale Papierschlüsselausgabe drucken, da Sie zum Scheitern verurteilt sind, wenn Sie nur die optar- Ausgabe, aber nicht mehr die optar- Software haben.

Paperkey ist in Debian verfügbar, optar noch nicht .

Zusätzlich zu diesen papierbasierten Backups sollten Sie einen USB-Stick mit Ihrem privaten Schlüssel und den Scans der wichtigsten Dokumente (Geburtsurkunde, Versicherungen, Arbeitszeugnisse, Zertifikate) mitnehmen und an einem sicheren Ort für Feuer-, Raub- und Strafverfolgungsbehörden aufbewahren. (Ich persönlich würde den Banken das nicht anvertrauen.)

Thomas Koch
quelle
1

Ich würde es in einem verschlüsselten Format an einem anderen Ort speichern. Zu den Optionen gehören ein TrueCrypt-Volume, eine Keepass- Datenbank oder eine andere von Ihnen bevorzugte Verschlüsselungsart. Abhängig davon, wie nervös Sie in Bezug auf die Sicherheit sind, wird bestimmt, ob Sie den Schlüssel in der Cloud speichern. Wenn ich den privaten Schlüssel jedoch stark verschlüsselt habe und keine extrem sensiblen Daten schütze, würde ich ihn wahrscheinlich in Google Mail oder Dropbox speichern.

Jared
quelle
1

Obwohl andere empfehlen, andere Software zu verwenden, können Sie nicht sicher sein, dass diese beispielsweise in 20 Jahren noch verfügbar sein wird.

Sie können jedoch davon profitieren, dass der Schlüssel im Klartext vorliegt: Drucken Sie ihn aus und bewahren Sie ihn an einem sicheren Ort auf. Klartext bedeutet einfach: Keine spezielle Software erforderlich. Sie müssen es jedoch nicht erneut eingeben, da eine Vielzahl von (kostenlosen) Texterkennungsprogrammen zur Verfügung steht und höchstwahrscheinlich immer zur Verfügung stehen wird.

Es erübrigt sich zu erwähnen, dass Sie sich immer noch hinsetzen und den Schlüssel eingeben können, wenn alles fehlschlägt (ich bezweifle, dass dies jemals der Fall sein wird).

MrD
quelle
0

Wenn Sie Ihre privaten Schlüssel online an einem nicht vertrauenswürdigen Speicherort speichern möchten, verschlüsseln Sie die Schlüssel selbst. Berücksichtigen Sie auch eine zusätzliche Schutzstufe wie Steganografie (verbergen Sie die Schlüssel in einigen Mediendateien, z. B. Bildern).

vtest
quelle