Quelle est la meilleure façon de conserver un fichier de clé privée PGP généré par GnuPG?

15

Quelle est la meilleure façon de conserver un fichier de clé privée PGP généré par GnuPG?

Je vais simplement stocker ma clé publique en ligne, dans Gmail, sur plusieurs de mes ordinateurs. Où / comment protéger et stocker au mieux le fichier de clé privée?

Informaticien
la source

Réponses:

4

Utilisez votre logiciel de chiffrement préféré, ou laissez-le simplement sur votre bureau, quelque part ou n'importe où sur votre ordinateur (en supposant que l'accès physique à votre ordinateur est sécurisé, il y a peu ou pas de chance que quelqu'un puisse obtenir la clé).

soandos
la source
5
Ma question était en fait de savoir comment protéger ma clé privée, contre les catastrophes naturelles, les pannes matérielles, le vol de données, etc., afin que je puisse garder la paire de clés sûre et utile, et pouvoir restaurer la clé ailleurs. Je ne peux donc pas vraiment supposer que mon ordinateur est physiquement sûr.
Computist
1
Désolé, je n'ai pas vu ça. La façon de le faire est soit de vous l'envoyer dans un e-mail (chiffré de préférence), soit de le mettre sur un CD / USB / disquette quelque part.
soandos
6

TL; DR un lecteur flash ou un CD dans un endroit sûr.

Étant donné qu'il s'agit d'une question de sécurité, je serais très hésitant à confier ma clé privée à Google ou à tout autre service cloud majeur. Appelez-moi paranoïaque, mais votre clé PGP est votre signature . Je déteste vous rappeler le simple, mais avec votre clé PGP je vous "suis". Personnellement, je sauvegarderais ma clé sur tous les ordinateurs que je possède et, pour faire bonne mesure, mettrais un CD ou un lecteur flash étiqueté dans un endroit sûr. (comme un coffre-fort)

edit: oups, désolé @soandos a d'abord eu la même idée.

rmckenzie
la source
1
en supposant que vous ayez un mot de passe suffisamment fort, la clé privée ne vaut rien, n'est-ce pas?
Jason Coyne
La sagesse conventionnelle est que les «lecteurs flash» ne sont pas fiables pour le stockage à long terme.
Scott
4

J'ai trouvé paperkey . Votre clé privée contient également une copie de la clé publique. Étant donné que la clé publique est sauvegardée sur des dizaines de serveurs de clés, il vous suffit de vous soucier de la clé privée sans la clé publique incluse. Paperkey extrait uniquement ces informations essentielles et vous donne un vidage hexadécimal en texte brut avec des sommes de contrôle.

En cas d'urgence, lorsque tout le reste échoue, vous pouvez toujours manuellement (ou avec scanner et OCR) taper le vidage hexadécimal et recréer votre clé privée.

En plus de cela, il y a optar . Optar n'est pas lié à la cryptographie. Il prend n'importe quel fichier et vous donne un code QR comme un encodage très dense de ces octets. Vous pouvez également alimenter la sortie de paperkey via optar pour vous éviter de taper manuellement lors de la récupération de votre clé. Mais assurez-vous d'imprimer également la sortie de la clé papier car vous êtes condamné si vous n'avez que la sortie optar mais plus le logiciel optar .

Paperkey est disponible dans Debian, optar pas encore .

En plus de ces sauvegardes sur papier, vous devez prendre une clé USB avec votre clé privée et les numérisations des documents les plus importants (certificat de naissance, assurances, références professionnelles, certificats) et la déposer dans un lieu sûr en cas d'incendie, de vol et d'application de la loi. (Personnellement, je ne ferais pas confiance aux banques avec ça.)

Thomas Koch
la source
1

Je voudrais le stocker ailleurs dans un format crypté. Les options incluent sur un volume Truecrypt, dans une base de données Keepass ou toute autre forme de cryptage que vous préférez. En fonction de votre nervosité à propos de la sécurité, vous déterminerez si vous stockerez la clé dans le cloud, mais si j'utilisais un cryptage fort pour crypter la clé privée et que je ne protégeais pas les données extrêmement sensibles, je les stockerais probablement dans gmail ou dropbox.

Jared
la source
1

Bien que d'autres recommandent d'utiliser un logiciel différent, vous ne pouvez pas être sûr qu'il sera toujours disponible, par exemple dans 20 ans.

Cependant, vous pouvez bénéficier du fait que la clé est présente en texte brut: imprimez-la et conservez-la en lieu sûr. Le texte brut signifie simplement: pas besoin de logiciel spécial. Cependant, vous n'avez pas besoin de le saisir à nouveau, car il existe une grande variété de logiciels de reconnaissance de texte (gratuits) disponibles et le seront très probablement toujours.

Inutile de dire que si tout échoue , vous pouvez toujours vous asseoir et taper la clé (mais je doute que ce soit le cas).

MrD
la source
0

Si vous optez pour le stockage de vos clés privées en ligne dans un emplacement non fiable, cryptez les clés elles-mêmes, envisagez également un niveau de protection supplémentaire comme la stéganographie (masquez les clés dans certains fichiers multimédias comme des images).

vtest
la source