Lubię przechowywać swój klucz na papierze.

Korzystając z generatora kodu QR JavaScript (czytaj: offline), tworzę obraz mojego klucza prywatnego w postaci opancerzonego ASCII, następnie wydrukuj to. Zanotuj obok niego identyfikator klucza i przechowuj go w fizycznie bezpiecznym miejscu.

Oto niektóre, które powinny działać niezależnie od używanego systemu operacyjnego, o ile masz przeglądarkę obsługującą JavaScript.

Dla użytkowników systemu Windows:

Kliknij tutaj, aby pobrać generator kodów QR JavaScript: https://github.com/davidshimjs/qrcodejs/archive/04f46c6a0708418cb7b96fc563eacae0fbf77674.zip

Wyodrębnij gdzieś pliki, a następnie kontynuuj edycję index.html zgodnie z poniższymi instrukcjami.

Dla użytkowników MacOS lub Unix:

  $ # Ta konkretna wersja ma na celu uniknięcie ryzyka, że ​​jeśli ktoś przejmie repozytorium $ # `davidshimjs` (lub stanie się nieuczciwy), nadal będziesz używać wersji, którą zweryfikowałem. $ # Dla naprawdę paranoicznych nie ufaj też GitHubowi i będziesz chciał zweryfikować kod, który sam pobierasz. $ wget https://github.com/davidshimjs/qrcodejs/archive/04f46c6a0708418cb7b96fc563eacae0fbf77674.zip$$ unzip qrcodejs-04f46c6b7ae ip $ cd qrcodejs-04f46c6a0708418cb7b96fc563eacae0fbf77674 / $ # Musimy edytować plik index.html, aby obsługiwał wklejanie klucza PGP $ # Otwórz plik w edytorze tekstu, takim jak Notatnik, vi lub nano $ vi index.html  

Zmień wiersz 11 z:

  <input id = "text" type = "text" value = "http://jindo.dev.naver.com/collie" styl = "szerokość: 80%" / ><br / >  

to:

  <textarea id = "text" type = "text" value = "http: //jindo.dev.naver.com/collie "style =" width: 80% "/ >< / textarea><br / >  

Teraz przejdź do katalogu, który tu dostałeś za pomocą Eksploratora, Findera, lub Nautilus itp.

Na przykład:

  $ pwd
/ Users / george / Documents / Code / qrcodejs / qrcodejs-04f46c6a0708418cb7b96fc563eacae0fbf77674 $ otwórz.  

Teraz kliknij dwukrotnie plik index.html , który właśnie edytowałeś i zapisałeś.

Najprawdopodobniej będziesz musiał przerwać klucz PGP na ćwiartki lub nawet mniejsze, aby utworzyć ładne, duże kody QR, które można łatwo zeskanować później. Po wklejeniu w obszarze tekstowym kliknij poza polem tekstowym, a powinien pojawić się kod QR. Zapisz każdy z nich na bieżąco i nazwij go odpowiednio, aby znać ich kolejność!

Po utworzeniu wszystkich kodów zeskanuj je na przykład za pomocą aplikacji do skanowania kodów QR w telefonie komórkowym. Dla paranoików pozostaw to urządzenie w trybie offline po zainstalowaniu czytnika kodów kreskowych, a następnie wykonaj pełne wyczyszczenie i przywrócenie ustawień fabrycznych urządzenia przed ponownym podłączeniem go do trybu online. Zapobiegnie to wyciekaniu klucza PGP przez aplikację skanera QR.

Jeśli masz duży klucz lub wiele kluczy, polecam papierowy, ale pamiętaj, aby zapisać instrukcje, jak później odzyskać dane. Równie ważne jak sposób tworzenia kopii zapasowej jest sposób jej przywracania z kopii zapasowej. Prawdopodobnie spróbuję tego z fikcyjnymi danymi, aby upewnić się, że wiesz dokładnie, jak to działa.

Warto zauważyć, że możesz chronić swój klucz prywatny hasłem, więc nawet jeśli jest hostowane przez dostawcę usług w chmurze nie widzą Twojego klucza prywatnego, ale wtedy całe bezpieczeństwo Twojego hasła ogranicza się do tego hasła, a nie do pełnego klucza prywatnego, nie wspominając o tym, że dostawcy usług w chmurze mogą zniknąć z dnia na dzień.

W dni, kiedy moja paranoja jest jak dojrzały pomidor, błagając mnie, żebym go podniósł, dzielę klucz prywatny (naturalnie jest już chroniony hasłem) na pół, a następnie tworzę trzeci ciąg, wykonując je razem przez XOR. Następnie używam prostego szyfrowania haseł ( gpg --symmetric ) na każdym łańcuchu i umieszczam każdy na zdalnym serwerze na innym kontynencie. Idealnie byłoby, gdyby każdy zdalny serwer miał innego ISP lub dostawcę chmury.

Ale ponieważ lek działał - przynajmniej do czasu, gdy zdałem sobie sprawę, jak ambitna jest NSA - co właściwie zrobiłem w przeszłość jest po prostu zaszyfrowaniem (całego) klucza prywatnego (ponownie za pomocą gpg --symmetric ) i umieszczeniem go na moim smartfonie.

Teraz, po przeczytaniu innych odpowiedzi, jestem znalezienie pomysłu na trzy kody QR osadzone na trzech rodzinnych zdjęciach, oślepiająco atrakcyjne. Czas na silniejsze lekarstwa?

Obecnie nie używam tego, ale myślę o tym:

1. Zaszyfruj klucz prywatny bardzo długim symetrycznym kluczem szyfrowania
2. Użyj Shamir's Tajne udostępnianie, aby podzielić symetryczny klucz szyfrowania na 7 części (jak Voldemort), wymaga co najmniej 5 udziałów, aby pomyślnie scalić.
3. Dowiedz się, gdzie umieścić 7 tajnych kopii zapasowych, kilka pomysłów:
   • karta multimedialna w sejfie w domu
   • wydrukowany papier w portfelu
   • w Dropbox
   • zagraniczna skrytka depozytowa
   • implanty skóry
   • zakopane w grobie jakiegoś przypadkowego kolesia
   • wytatuowane na jadowitego węża dla zwierząt

W ten sposób mogę stracić dostęp do kilku udziałów i nadal mieć dostęp do klucza; podczas gdy napastnik musiałby narażać 5 różnych indywidualnie zabezpieczonych miejsc, do których jest dla mnie łatwy dostęp, ale trudny dla popleczników złego ciemnego pana w tym czarnym samochodzie przed domem, który < umieszcza na folii aluminiowej>.

Jedną z opcji jest zaszyfrowanie klucza za pomocą hasła i przechowywanie zaszyfrowanego klucza w usłudze w chmurze.

Mam klucz na swoim laptopie (dysk zaszyfrowany sprzętowo) i na kontenerze Truecrypt na zewnętrzny dysk twardy jako kopia zapasowa. Ok, nie jest to zerowe ryzyko utraty danych, ale jest to poziom, który jest dla mnie akceptowalny.

Możesz przechowywać swój klucz prywatny na dysku flash i przechowywać ten dysk w szafce. Upewnij się również, że nie używasz tego dysku flash do działań, które mogą spowodować zainfekowanie go jakimś złośliwym oprogramowaniem.

Przechowuję klucz (i inne wrażliwe dane, takie jak nazwa użytkownika / lista haseł) w postaci zaszyfrowanej w kontenerze truecrypt. Ten kontener jest chroniony ogromnym hasłem. Kontener jest również zapisywany w kopii zapasowej w chmurze, więc zmiany wprowadzone na dowolnym z moich komputerów zostaną zsynchronizowane.

Nie jest idealne, ale jeśli dostawca chmury umrze, nadal mam go zsynchronizowany na moich komputerach. Jeśli sam plik zostanie przejęty, będą musieli złamać frazę TrueCyrpt i hasło klucza.

Użyłbym steganografii do umieszczenia zaszyfrowanego klucza w serii 100 zdjęć, które na przykład przesyłam do kilku pamięci w chmurze (skrzynki, skrzynki referencyjnej i OVH).
Najpierw musisz wiedzieć, że coś jest na tym zdjęciu , dowiedz się co i odszyfruj.
To trochę ekstremalne, ale jest odporniejsze na ogień niż papier.

Mam dwa klucze, jeden mniej bezpieczny przechowywany na komputerze, a drugi na karcie OpenPGP. Ta ostatnia jest tak bezpieczna, jak to tylko możliwe, ponieważ klucz prywatny nigdy nie opuszcza chipa na karcie (chociaż lata temu dla najlepszego bezpieczeństwa musiałem nieco zmodyfikować gpg, aby używać bezpiecznej klawiatury mojego czytnika kart zamiast pobierania kodu PIN karty z klawiatury komputera, która może być podatna na ataki keyloggerów.)

Przechowuję swój plik w zaszyfrowanym pliku KeePassX, ten plik jest zapisywany w repozytorium git, które klonuję na wszystkich komputerach, których potrzebuję, aby używać haseł.Dodatkową korzyścią jest to, że mogę synchronizować hasła, jeśli serwer z jakiegoś powodu niszczy plik Zawsze mogę użyć dowolnego sklonowanego repozytorium.Jeśli jestem paranoikiem, mogę umieścić wolumin TrueCrypt zawierający zaszyfrowany plik KeePassX.

Git daje mi również wersjonowanie, więc zawsze mogę wrócić do poprzednich wersji mojego pliku haseł, to jest całkiem neet.

Bardzo podoba mi się pomysł posiadania bardzo długoterminowej kopii zapasowej ostatniej szansy na papierze. (Oprócz zaszyfrowanej archiwalnej płyty CD w bezpiecznym miejscu). Po prostu nie mogę znaleźć generatora kodów QR, który obsługuje pełną długość klucza prywatnego i nie ufam Paperbak, dopóki nie naprawią generowania klucza AES (a ponadto wydaje się, że być tylko w systemie Windows).

Znalazłem optar, który zakoduje dowolną długość danych do formatu odczytywalnego maszynowo, ale na razie musisz skompilować go ręcznie z C. [Nie powinno być trudne umieszczenie czegoś w Homebrew dla ludzi Mac, a być może samarytanin może zarządzać wersją Windows, jeśli okaże się, że działa dobrze.]

Paperkey dobre do drukowania / używania OCR do przywracania klucza prywatnego i tworzenia minimalnej liczby znaków dla generatora kodów kreskowych / QR.

Wykonaj następujące czynności:

1. Wybierz dwie liczby, które lubisz: R i C.
2. Idź do wiersz klucza prywatnego R i kolumnę C i zapamiętaj znak X , który tam znajdziesz.
3. Zmień ten znak na dowolny inna losowa wartość.
4. Bezpiecznie przechowuj zmieniony klucz prywatny w więcej niż jednej usłudze w chmurze (w różnych lokalizacjach geograficznych.

Klucz tam przechowywany jest bezużyteczny bez R , C i X (oczywiście pod warunkiem, że znasz sztuczkę). Jeśli kogoś stać na znalezienie czasu na znalezienie R , C i X , no cóż ... powodzenia w zgadywaniu hasła.

Zapamiętywanie także R , C i X powinny być bardzo łatwe z perspektywy osoby wprowadzającej zmianę.

Wskazówka : nie rób tego na samym początku lub na końcu łańcucha. Są tam wzorce do naśladowania, bardzo łatwo byłoby odgadnąć zmianę.

Mógłbyś spróbować zapamiętać to ...

Możliwe byłoby użycie algorytmu podobnego do gzip do kompresowania i zapamiętywania przez ludzi. Możesz zakodować melodię i zapamiętać ją

Klucz prywatny jest już zaszyfrowany. Jednak ponowne zaszyfrowanie go symetrycznie nie zaszkodzi. Po tym należy martwić się o bezpieczeństwo fizyczne, a głównym czynnikiem powinny być trwałość mediów i bezpieczeństwo poza miejscem pracy. Klucz USB jest prawdopodobnie w porządku przez co najmniej dziesięć lat, o ile dostępne są porty USB. Odłóż klucz w bezpieczne miejsce. Sejf lub dobry sejf poza obiektem to dobre możliwości. Powinno to pozwolić na odzyskanie danych w przypadku, gdy system, którego używasz teraz, zepsuje się w nieodwracalny sposób. opatrzyć etykietą i datować pamięć USB. Zaszyfrowana kopia certyfikatu unieważnienia klucza powinna być również przechowywana razem z nim. Zrób kilka duplikatów, jeśli obawiasz się awarii pamięci USB.

zastrzeżenie: wskazuję ci fragment kodu, który piszę / moje własne „małe” rozwiązanie

Do rozwiązywania tego rodzaju problemów (i bardziej ogólnie „archiwizacji” ważne , średniej wielkości rzeczy na papierze) Pracuję nad qrdump , sposobem na automatyczne

• 1) podzielenie danych na części, które są wystarczająco małe, aby zmieścić się w qr -codes
• 2) zrzut do serii kodów QR
• 3) złożenie kodów QR z predefiniowanym układem do pliku PDF.

Oczywiście transformacja odwrotna jest również zaimplementowana.

Na przykład:

  bash-4.4 $ FOLDER_TESTS = $ (mktemp -d) bash-4.4 $ cd $ FOLDER_TESTS / bash-4.4 $ head -c 4096 < / dev / urandom > dummy.dat # utwórz losowy plik, 4096 bytesbash-4.4 $ sha256sum dummy.dat 02f2c6dd472f43e9187043271257c1bf87a2f43b77120d843e45 qrdump.sh --create-A4 --base64 --safe-mode --output ./pdf_dump.pdf --input dummy.dat # crete a printable qr-code pdf of the fileSAFE to use: success przywracanie checkbash-4.4 $ rm dummy.dat # plik jest usuwany, więc od teraz jedynym sposobem na odzyskanie go jest przywrócenie z pdfbash-4.4 $ bash ~ / Desktop / Git / qrdump / src /qrdump.sh --base64 --read-A4 --input pdf_dump.pdf --output ./ # restorebash-4.4 $ sha256sum dummy.dat # podsumowanie powinno być takie samo jak początkowe, aby potwierdzić dobre przywrócenie02f2c6dd472f43e9187043271257c1bf87a2f43b771d843e45 

Jeśli jesteś zainteresowany, więcej tutaj:

https://github.com/jerabaul29/qrdump

Koduj silnym hasłem i używaj go jako podpisu na każdym forum, z którego korzystasz. może są też listy mailingowe dla takich kluczy.