Jak zálohujete privátní klíče?

[_Tomáš_]

K čemu je šifrování, když v zápětí udělám tu největší hloupost a manipuluji s privátním klíčem?

- SSH klíč máma na každém svém zařízení jiný a nikdy s ním nemanipuji
- GPG opět na každém zařízení vlastní, osobním mám na několika HSM
- ten zbytek (klíče do bankovnictví, I.CA atd.) mám buď na yubikey nebo šifrované pomocí GPG, stejně jako hesla. Řadu z téhle kategorie mám také v cloudu, většinu hesel mám v keepass, tada vítězí jednoduchost

[Reklama]

[?]

Uložit na flashku a tu následně zabezpečit odpovídajícím způsobem vzhledem k hodnotě obsahu.

Cloudy mají bugy, jsou hacknutelné, spolupracují s  třípísmenkovými agenturami a vždy je zde možnost, že se k datům dostane zaměstnanec.

[lllw]

Uložit na flashku...

Tak to hodně štěstí.

[JardaP .]

Zasifrovane pomoci gpg (aes 256) a ulozene na google drive.

Coz nabizi otazku: Jak zalohujete klice gpg a prihlasovaci udaje Guugle drive?

[JardaP .]

Uložit na flashku...

Tak to hodně štěstí.

Proc? Zaznam na flashi vydrzi par let a pro sichr jich lze mit nekolik a obcas je lze prehrat novym zaznamem, aby data nevysumela. Paranoidni jedinci pak flashky muzou nosit v hermetickem pouzdre v riti.

[Reklama]

[Czlovek]

Já teda nemám klíče vyloženě kritické, ale mám např. jeden SSH klíč kterým se mohu nalogovat na všechny PC v rámci rodiny, o která se starám. Klíč je na více místech, a všude zašifrovaný dlouhým heslem. Měl jsem za to, že zašifrovaná klíč je (téměř) neprůstřelný?

[JardaP .]

Měl jsem za to, že zašifrovaná klíč je (téměř) neprůstřelný?

To asi je, ale prostrelovani hesla je jednodussi nez prostrelovani klice. Pokud tedy nepouzivate hesla o slozitosti vyssi nez klic sam.

Zalezi na tom, kdo po vas jde. Je rozdil mezi tchyni, ktera ma nanejvyse mensi farmu z Playstation ve spajzu a NSA s jejich superpocitaci. Je vase heslo dost dobre, aby odolalo NSA? :-)

[Zopper]

Papír (s QR code na dlouhé klíče) a sejf. Možná trochu staromódní, ale když budu mít úraz hlavy a zapomenu všechna hesla a ztratím klíče, pořád se do toho dá dostat rozbrušovačkou.

[Jenda]

Coz nabizi otazku: Jak zalohujete klice gpg a prihlasovaci udaje Guugle drive?

gpg -c a jedno/dvě hesla si snad zapamatuješ (stejně musíš kvůli šifrovanému disku).

Já teda nemám klíče vyloženě kritické, ale mám např. jeden SSH klíč kterým se mohu nalogovat na všechny PC v rámci rodiny, o která se starám.

A má tohle cenu zálohovat? V případě ztráty nejhorší co se ti stane bude, že ty počítače budeš muset fyzicky obejít a authorized_keys vyměnit…

[?]

Uložit na flashku...

Tak to hodně štěstí.

Proc? Zaznam na flashi vydrzi par let a pro sichr jich lze mit nekolik a obcas je lze prehrat novym zaznamem, aby data nevysumela. Paranoidni jedinci pak flashky muzou nosit v hermetickem pouzdre v riti.

Asi tak, navíc se tak nějak předpokládá, že ty klíče jsou občas potřeba, případně se k nim občas nějaký klíč přidává.

Pokud budu chtít šifrovací klíče uchovat po generace, můžu si s QR kódy třeba vykachličkovat koupelnu. :-)

[Petr]

Hoj,
chtěl bych si zálohovat svoje privátní klíče (SSH, GPG, cert od I.CA...) na papír, ale nepřijde mi úplně user-friendly prostě vytisknout obsah souboru a v případě ztráty to celé přepisovat/projet OCRkem a jak blázen hledat ve změti znaků chyby. Existuje nějaký 2D kód, který pojme celý klíč (QR, Aztec ani DataMatrix nefungují, klíče jsou moc dlouhé), nebo přímo nějaká utilita na to?

Mam pocit ze tady vsichni tak nejak vymysli kolo .... 2x usb token. Jeden na klicich , druhej doma. Mam to takhle uz 10 let a naprosta spokojenost.

[JardaP .]

2x usb token. Jeden na klicich , druhej doma. Mam to takhle uz 10 let a naprosta spokojenost.

Predpokladam, ze alespon ten na klicich mate sirovany, kdyz ho tedy mate na tech klicich a ne v riti. Prinejmensim EncFS, ktery sice ma sve mouchy, ale tady by mel stacit a ma vyhodu v jednoduchosti.

[sudoguy]

Keepass + VeraCrypt. Přes Syncthing pak synchronizuji na další počítače.

[Petr]

2x usb token. Jeden na klicich , druhej doma. Mam to takhle uz 10 let a naprosta spokojenost.

Predpokladam, ze alespon ten na klicich mate sirovany, kdyz ho tedy mate na tech klicich a ne v riti. Prinejmensim EncFS, ktery sice ma sve mouchy, ale tady by mel stacit a ma vyhodu v jednoduchosti.

Jsou to HW tokeny .... zadny obycejny usb flash disk :-D . Klice jsou neexportovatelne, generovane primo na tom tokenu. Pri kazdem pristupu si token zada heslo (jde nastavit timeout) a po tretim spatne zadanem hesle je mozna pouze inicializace takze prijdete o vse.

Fakt nevymyslejte kolo, jiz bylo vynalezeno.