Fórum Root.cz
Ostatní => Odkladiště => Téma založeno: MekliCZ 17. 03. 2018, 14:32:15
-
Hoj,
chtěl bych si zálohovat svoje privátní klíče (SSH, GPG, cert od I.CA...) na papír, ale nepřijde mi úplně user-friendly prostě vytisknout obsah souboru a v případě ztráty to celé přepisovat/projet OCRkem a jak blázen hledat ve změti znaků chyby. Existuje nějaký 2D kód, který pojme celý klíč (QR, Aztec ani DataMatrix nefungují, klíče jsou moc dlouhé), nebo přímo nějaká utilita na to?
-
https://github.com/bitcoin/bips/blob/master/bip-0039.mediawiki
-
https://www.dlitz.net/software/python-pbkdf2/
-
Do QR kodu se to vejde, nevim, jestli to je podle specifikace, ale moje "Barcode scanner" ctecka to v klidu precetla.
-
QR, Aztec ani DataMatrix nefungují, klíče jsou moc dlouhé
Ve skutečnosti nepotřebuješ zálohovat celý ten soubor, což je typicky ASN.1 zakódované pomocí base64 a je tam spousta „zbytečných“ věcí a metadat. Třeba u RSA ti stačí jenom jedno prvočíslo (dvě a "e" pokud chceš i veřejný), u EC bod na křivce… a to se do QR kódu vejde. Existoval projekt, který přesně tohle dělal (extrakci a obnovu), ale neumím ho teď najít.
No a taky těch QR kódů může být víc, že.
-
http://ronja.twibright.com/optar/ – něco jako QR kód, ale vhodnější pro větší objemy dat.
-
QR má limit cca 4 KiB, privátní klíč RSA se mi do něj s přehledem vešel.
-
http://ronja.twibright.com/optar/ – něco jako QR kód, ale vhodnější pro větší objemy dat.
"Dokáže zaznamenat 200 kB na stránku A4."
https://www.root.cz/clanky/zaloha-dat-tiskarnou-na-papir/
-
http://ronja.twibright.com/optar/ – něco jako QR kód, ale vhodnější pro větší objemy dat.
"Dokáže zaznamenat 200 kB na stránku A4."
https://www.root.cz/clanky/zaloha-dat-tiskarnou-na-papir/
Bohužel to vypadá, že tam jsou data-corruption bugy: https://www.abclinuxu.cz/blog/bystroushaak/2016/4/optar
-
BTW: u „moderních“ tiskáren bych sí dával pozor, jestli neposílá tištěná data někam do cloudu. Tiskárna by měla být ideálně offline, bez WiFi a dalších postranních kanálů. A pokud je to síťová (ethernet) tiskárna, tak by měla být minimálně ve vlastní VLAN izolovaná od internetu.
-
Nakonec ještě vytáhneme diskety 5¼", které by se na tohle docela hodily.
-
To spíš kinofilm, ne? Osvítit ho QR kódem nebo tím Optarem a schovat si negativ. Bylo by to odolnější než papír, odolné proti magnetismu… Nezkoušel jste to někdo?
-
Normálně, mám ho zamknutý heslem v Dropboxu :)
-
V podstate nijak alebo nijak specialne. Bud
a) mam kluce na smartkarte a zalohovat ich neviem lebo su na nej generovane a nedaju sa exportovat, alebo
b) mam kluce na HSM a zalohovat ich neviem lebo su nom generovane a nedaju sa exportovat, alebo
c) mam kluce na HSM, ale HSM ich dava na disk a zalohuju sa teda z obsahom disku (samotny kluc nie je nikdy v otvorenej forme, je chraneny AES-om a na pristup potrebujem kartu)
d) su to soft-tokeny a vtedy, bud system ani kluc nie je kriticky a v pripade poruchy vybavim druhy za naklady, ktore tvoria zlomok nakladov na obnovu system, alebo
e) je system je redundatny a aj ked vsetko zhori, kluce nie su kriticke (pre dolezitejsie systemy je vacsinou c)
-
Zasifrovane pomoci gpg (aes 256) a ulozene na google drive.
-
K čemu je šifrování, když v zápětí udělám tu největší hloupost a manipuluji s privátním klíčem?
- SSH klíč máma na každém svém zařízení jiný a nikdy s ním nemanipuji
- GPG opět na každém zařízení vlastní, osobním mám na několika HSM
- ten zbytek (klíče do bankovnictví, I.CA atd.) mám buď na yubikey nebo šifrované pomocí GPG, stejně jako hesla. Řadu z téhle kategorie mám také v cloudu, většinu hesel mám v keepass, tada vítězí jednoduchost
-
Uložit na flashku a tu následně zabezpečit odpovídajícím způsobem vzhledem k hodnotě obsahu.
Cloudy mají bugy, jsou hacknutelné, spolupracují s třípísmenkovými agenturami a vždy je zde možnost, že se k datům dostane zaměstnanec.
-
Uložit na flashku...
Tak to hodně štěstí.
-
Zasifrovane pomoci gpg (aes 256) a ulozene na google drive.
Coz nabizi otazku: Jak zalohujete klice gpg a prihlasovaci udaje Guugle drive?
-
Uložit na flashku...
Tak to hodně štěstí.
Proc? Zaznam na flashi vydrzi par let a pro sichr jich lze mit nekolik a obcas je lze prehrat novym zaznamem, aby data nevysumela. Paranoidni jedinci pak flashky muzou nosit v hermetickem pouzdre v riti.
-
Já teda nemám klíče vyloženě kritické, ale mám např. jeden SSH klíč kterým se mohu nalogovat na všechny PC v rámci rodiny, o která se starám. Klíč je na více místech, a všude zašifrovaný dlouhým heslem. Měl jsem za to, že zašifrovaná klíč je (téměř) neprůstřelný?
-
Měl jsem za to, že zašifrovaná klíč je (téměř) neprůstřelný?
To asi je, ale prostrelovani hesla je jednodussi nez prostrelovani klice. Pokud tedy nepouzivate hesla o slozitosti vyssi nez klic sam.
Zalezi na tom, kdo po vas jde. Je rozdil mezi tchyni, ktera ma nanejvyse mensi farmu z Playstation ve spajzu a NSA s jejich superpocitaci. Je vase heslo dost dobre, aby odolalo NSA? :-)
-
Papír (s QR code na dlouhé klíče) a sejf. Možná trochu staromódní, ale když budu mít úraz hlavy a zapomenu všechna hesla a ztratím klíče, pořád se do toho dá dostat rozbrušovačkou.
-
Coz nabizi otazku: Jak zalohujete klice gpg a prihlasovaci udaje Guugle drive?
gpg -c a jedno/dvě hesla si snad zapamatuješ (stejně musíš kvůli šifrovanému disku).
Já teda nemám klíče vyloženě kritické, ale mám např. jeden SSH klíč kterým se mohu nalogovat na všechny PC v rámci rodiny, o která se starám.
A má tohle cenu zálohovat? V případě ztráty nejhorší co se ti stane bude, že ty počítače budeš muset fyzicky obejít a authorized_keys vyměnit…
-
Uložit na flashku...
Tak to hodně štěstí.
Proc? Zaznam na flashi vydrzi par let a pro sichr jich lze mit nekolik a obcas je lze prehrat novym zaznamem, aby data nevysumela. Paranoidni jedinci pak flashky muzou nosit v hermetickem pouzdre v riti.
Asi tak, navíc se tak nějak předpokládá, že ty klíče jsou občas potřeba, případně se k nim občas nějaký klíč přidává.
Pokud budu chtít šifrovací klíče uchovat po generace, můžu si s QR kódy třeba vykachličkovat koupelnu. :-)
-
Hoj,
chtěl bych si zálohovat svoje privátní klíče (SSH, GPG, cert od I.CA...) na papír, ale nepřijde mi úplně user-friendly prostě vytisknout obsah souboru a v případě ztráty to celé přepisovat/projet OCRkem a jak blázen hledat ve změti znaků chyby. Existuje nějaký 2D kód, který pojme celý klíč (QR, Aztec ani DataMatrix nefungují, klíče jsou moc dlouhé), nebo přímo nějaká utilita na to?
Mam pocit ze tady vsichni tak nejak vymysli kolo .... 2x usb token. Jeden na klicich , druhej doma. Mam to takhle uz 10 let a naprosta spokojenost.
-
2x usb token. Jeden na klicich , druhej doma. Mam to takhle uz 10 let a naprosta spokojenost.
Predpokladam, ze alespon ten na klicich mate sirovany, kdyz ho tedy mate na tech klicich a ne v riti. Prinejmensim EncFS, ktery sice ma sve mouchy, ale tady by mel stacit a ma vyhodu v jednoduchosti.
-
Keepass + VeraCrypt. Přes Syncthing pak synchronizuji na další počítače.
-
2x usb token. Jeden na klicich , druhej doma. Mam to takhle uz 10 let a naprosta spokojenost.
Predpokladam, ze alespon ten na klicich mate sirovany, kdyz ho tedy mate na tech klicich a ne v riti. Prinejmensim EncFS, ktery sice ma sve mouchy, ale tady by mel stacit a ma vyhodu v jednoduchosti.
Jsou to HW tokeny .... zadny obycejny usb flash disk :-D . Klice jsou neexportovatelne, generovane primo na tom tokenu. Pri kazdem pristupu si token zada heslo (jde nastavit timeout) a po tretim spatne zadanem hesle je mozna pouze inicializace takze prijdete o vse.
Fakt nevymyslejte kolo, jiz bylo vynalezeno.