J'aime stocker la mienne sur papier.

À l'aide d'un générateur de code QR JavaScript (lire: hors ligne), je crée une image de ma clé privée sous forme blindée ASCII, puis imprimez-le. Notez à côté de lui l'ID de clé et stockez-le dans un endroit physiquement sécurisé.

En voici quelques-uns qui devraient fonctionner pour vous quel que soit le système d'exploitation que vous utilisez, à condition que vous ayez un navigateur qui prend en charge JavaScript.

Pour les utilisateurs de Windows:

Cliquez ici pour télécharger le générateur de code QR JavaScript: https://github.com/davidshimjs/qrcodejs/archive/04f46c6a0708418cb7b96fc563eacae0fbf77674.zip

Extrayez les fichiers quelque part, puis continuez à éditer index.html en suivant les instructions ci-dessous.

Pour les utilisateurs de MacOS ou Unix:

  $ # Cette version spécifique est pour éviter le risque que si quelqu'un détourne le dépôt $ # de `davidshimjs` (ou s'il devient un voyou), vous utiliserez toujours la version que j'ai vérifiée. $ # Pour le vrai paranoïaque ne faites pas non plus confiance à GitHub et vous voudrez vérifier vous-même le code que vous téléchargez. ip $ cd qrcodejs-04f46c6a0708418cb7b96fc563eacae0fbf77674 / $ # Nous devons éditer index.html pour qu'il prenne en charge le collage de votre clé PGP $ # Ouvrez le fichier dans un éditeur de texte comme Notepad, vi ou nano $ vi index.html  

Changer la ligne 11 de:

  <input id = "text" type = "text" value = "http://jindo.dev.naver.com/collie" style = "width: 80%" / ><br / >  

to:

  <textarea id = "text" type = "text" value = "http: //jindo.dev.naver.com/collie "style =" width: 80% "/ >< / textarea><br / >  

Naviguez maintenant vers le répertoire que vous obtenez ici avec Explorer, Finder, ou Nautilus, etc.

Par exemple:

  $ pwd
/ Users / george / Documents / Code / qrcodejs / qrcodejs-04f46c6a0708418cb7b96fc563eacae0fbf77674 $ open.  

Maintenant, double-cliquez sur le fichier index.html que vous venez de modifier et d'enregistrer.

Vous devrez probablement rompre votre clé PGP en quatre ou même plus petit pour créer de beaux gros codes QR que vous pourrez facilement numériser plus tard. Après avoir collé dans la zone de texte, cliquez en dehors de la zone de texte et votre code QR devrait apparaître. Enregistrez chacun d'entre eux au fur et à mesure et nommez-les de manière appropriée afin de connaître leur commande!

Après avoir créé tous les codes, scannez-les avec, par exemple, une application de scanner de code QR pour téléphone portable. Pour les paranoïaques, gardez cet appareil hors ligne une fois que vous avez installé un lecteur de code-barres, puis effectuez un nettoyage complet et une réinitialisation d'usine de l'appareil avant de le remettre en ligne. Cela empêchera l'application de scanner QR de divulguer votre clé PGP.

Si vous avez une grande clé ou beaucoup de clés, je recommande paperbak, mais assurez-vous de noter des instructions sur la façon de récupérer les données ultérieurement. Tout aussi important que la façon dont vous le sauvegardez est la façon dont vous le restaurez à partir d'une sauvegarde. J'essaierais probablement ceci avec des données factices juste pour être sûr que vous savez exactement comment cela fonctionne.

Il convient de noter que vous pouvez protéger votre clé privée avec une phrase de passe, même si c'est hébergés chez un fournisseur de cloud, ils ne peuvent pas voir votre clé privée, mais alors toute la sécurité de votre mot de passe est réduite à cette phrase de passe plutôt qu'à la clé privée complète, sans oublier que les fournisseurs de cloud peuvent disparaître du jour au lendemain.

Les jours où ma paranoïa est comme une tomate mûre, me suppliant de la cueillir, je divise la clé privée (naturellement, elle est déjà protégée par mot de passe) en deux, puis fais une troisième chaîne en les XOR-ing ensemble. Ensuite, j'utilise un simple cryptage de mot de passe ( gpg --symmetric ) sur chaque chaîne, et je mets chacune sur un serveur distant sur un continent différent. Idéalement, chaque serveur distant est avec un FAI ou un fournisseur de cloud différent.

Mais comme le médicament fonctionnait - au moins jusqu'à ce que je réalise à quel point la NSA était ambitieuse - ce que j'ai fait dans le passé est simplement chiffré la clé privée (entière) (à nouveau en utilisant gpg --symmetric ) et la place sur mon smartphone.

Maintenant, après avoir lu les autres réponses, je suis trouver l'idée de trois codes QR, intégrés dans trois photos de famille, d'une beauté aveuglante. Temps pour une médecine plus forte?

Ce n'est pas ce que j'utilise actuellement, mais j'y pense:

1. Crypter la clé privée avec une très longue clé de cryptage symétrique
2. Utiliser Shamir's Secret Sharing pour diviser la clé de chiffrement symétrique en 7 morceaux (comme Voldemort), nécessite au moins 5 partages pour fusionner avec succès.
3. Déterminez où placer 7 sauvegardes secrètes, quelques idées:
   • carte multimédia dans un coffre-fort à la maison
   • papier imprimé dans mon portefeuille
   • dans Dropbox
   • coffre-fort à l'étranger
   • implants cutanés
   • enterrés dans la tombe d'un mec au hasard
   • tatoué sur un serpent venimeux de compagnie

De cette façon, je peux perdre l'accès à quelques partages et toujours pouvoir accéder à la clé; tandis qu'un attaquant devrait compromettre 5 différents endroits sécurisés individuellement où il est facile pour moi d'accéder mais difficile pour les sbires du seigneur des ténèbres maléfiques dans cette voiture noire devant la maison <puts sur tinfoil>.

Une option consiste à chiffrer votre clé à l'aide d'une phrase de passe et à stocker la clé chiffrée sur un service cloud.

J'ai la clé sur mon ordinateur portable (lecteur chiffré matériel) et sur un conteneur Truecrypt disque dur externe comme sauvegarde. Ok, ce n'est pas un risque nul de perte de données, mais c'est à un niveau qui m'est acceptable.

Vous pouvez conserver votre clé privée dans un lecteur flash et conserver ce lecteur dans un casier. Assurez-vous également de ne pas utiliser ce lecteur flash pour des activités susceptibles de l'infecter avec certains logiciels malveillants.

Je garde la clé (et d'autres données sensibles comme une liste de nom d'utilisateur / mot de passe) chiffrée dans un conteneur truecrypt. Ce conteneur est protégé par une phrase secrète massive. Le conteneur est également sauvegardé sur un stockage en nuage, de sorte que les modifications effectuées par l'un de mes ordinateurs seront synchronisées.

Ce n'est pas parfait, mais si le fournisseur de cloud meurt, je l'ai toujours synchronisé sur mes ordinateurs. Si le fichier lui-même est compromis, ils devront déchiffrer la phrase véritable et la phrase secrète clé.

J'utiliserais la stéganographie pour placer la clé cryptée dans une série de 100 photos que je télécharge sur plusieurs espaces de stockage cloud (box, dropbox et ovh) par exemple.
Vous devez donc d'abord savoir qu'il y a quelque chose sur ces images , découvrez quoi et décryptez-le.
C'est un peu extrême mais il résiste mieux au feu que le papier.

J'ai deux clés, une moins sécurisée stockée sur l'ordinateur et une autre dans une carte OpenPGP. Ce dernier est aussi sûr que possible car la clé privée ne laisse jamais la puce sur la carte (bien que, il y a des années, pour une meilleure sécurité, j'ai dû modifier légèrement gpg pour utiliser le clavier sécurisé de mon lecteur de carte au lieu d'obtenir le code PIN de la carte à partir du clavier du PC qui peut être sujet aux attaques de keylogger.)

Je stocke le mien dans un fichier crypté KeePassX, ce fichier est enregistré dans un référentiel git que je clone sur toutes les machines dont j'ai besoin pour utiliser les mots de passe.L'avantage supplémentaire est que je peux garder les mots de passe synchronisés alors que si le serveur pour une raison quelconque détruit le fichier Je peux toujours utiliser n'importe quel référentiel cloné.Si je suis paranoïaque, je peux mettre un volume TrueCrypt contenant le fichier crypté KeePassX.

Git me donne également le contrôle de version pour que je puisse toujours revenir aux versions précédentes de mon fichier de mots de passe, c'est preatty neet.

J'aime beaucoup l'idée d'avoir une sauvegarde de dernier recours à très long terme sur papier. (Parallèlement à un CD d'archivage crypté dans un emplacement sécurisé.) Je ne trouve tout simplement pas de générateur QR prenant en charge toute la longueur d'une clé privée, et je ne fais pas confiance à paperbak jusqu'à ce qu'ils corrigent la génération de clé AES (en plus, il semble être Windows uniquement).

J'ai trouvé optar qui encodera n'importe quelle longueur de données dans un format lisible par machine, mais pour l'instant vous devez le compiler à partir de C manuellement. [Il ne devrait pas être difficile de mettre quelque chose dans Homebrew pour les utilisateurs de Mac, et peut-être qu'un samaritain peut maintenir une version Windows, si cela s'avère bien fonctionner.]

paperkey devrait être idéal pour imprimer / utiliser l'OCR pour restaurer une clé privée et créer un minimum de caractères pour un générateur de code à barres / QR.

Procédez comme suit:

1. Choisissez deux nombres que vous aimez: R et C.
2. Allez à votre ligne de clé privée R et la colonne C et mémorisez le caractère X que vous y trouvez.
3. Remplacez ce caractère par un autre valeur aléatoire.
4. Stockez en toute sécurité votre clé privée modifiée sur plusieurs services cloud (emplacements géographiques différents.

La clé qui y est stockée est inutile sans R , C et X (étant donné que vous connaissez le truc, bien sûr). Si l'on peut se permettre le temps de trouver R , C et X , eh bien ... bonne chance maintenant pour deviner mon mot de passe.

Mémorisation également de R , C et X devraient être très faciles du point de vue de celui qui introduit le changement.

Astuce : ne le faites pas au tout début ou à la fin de la chaîne. Il y a des modèles à suivre ici, il serait très facile de deviner le changement.

Vous pouvez essayer de le mémoriser ...

Il pourrait être possible d'utiliser un algorithme de type gzip pour que les humains puissent le compresser et les mémoriser. Vous pouvez encoder dans une mélodie et mémoriser cela,

La clé privée est déjà chiffrée. Le chiffrer à nouveau symétriquement ne ferait pas de mal. Après cela, le souci devrait porter sur la sécurité physique. La durabilité des médias et la sécurité hors site devraient être les principales considérations. Une clé USB est probablement valide pendant au moins dix ans tant que des ports USB sont disponibles. Mettez la clé dans un endroit sûr. Un coffre-fort ou un bon coffre-fort hors site sont de bonnes possibilités. Cela devrait permettre une récupération dans le cas où le système que vous utilisez maintenant se rompt d'une manière irrécupérable. étiqueter et dater la clé USB. Une copie chiffrée du certificat de révocation de la clé doit également être stockée avec elle.Faites quelques doublons si vous craignez une défaillance de la clé USB.

avertissement: vous indique un morceau de code que j'écris / ma propre «petite» solution

Pour résoudre ce genre de problèmes (et plus généralement «archiver» important , trucs de taille moyenne sur papier) Je travaille sur qrdump , un moyen de

• 1) diviser automatiquement vos données en parties suffisamment petites pour tenir dans qr -codes
• 2) vider dans une série de codes qr
• 3) assembler les codes qr avec une mise en page prédéfinie dans un pdf.

Bien sûr, la transformation inverse est également implémentée.

Par exemple:

  bash-4.4 $ FOLDER_TESTS = $ (mktemp -d) bash-4.4 $ cd $ FOLDER_TESTS / bash-4.4 $ head -c 4096 < / dev / urandom > dummy.dat # créer un fichier aléatoire, 4096 bytesbash-4.4 $ sha256sum dummy.dat 02f2c6dd472f43e9187043271257c1bf87a2f43rc771d843edbf87a2f43rc771d843e.dump8_bf87a2f43b771d843e_bf87a2f43b771d843e.dumpbash / bump8 / $ 4,49rdbashbash qrdump.sh --create-A4 --base64 --safe-mode --output ./pdf_dump.pdf --input dummy.dat # crete un pdf imprimable de qr-codes de le fileSAFE à utiliser: réussite de la restauration de checkbash-4.4 $ rm dummy.dat # le fichier est supprimé, donc à partir de maintenant, le seul moyen de le récupérer est de restaurer à partir du pdfbash-4.4 $ bash ~ / Desktop / Git / qrdump / src /qrdump.sh --base64 --read-A4 --input pdf_dump.pdf --output ./ # restorebash-4.4 $ sha256sum dummy.dat # le résumé doit être le même que le premier pour confirmer une bonne restauration 

Si vous êtes intéressé, plus d'informations ici:

https://github.com/jerabaul29/qrdump

Encodez avec un mot de passe fort et utilisez-le comme signature sur chaque forum que vous utilisez. peut-être existe-t-il également des listes de diffusion pour ces clés.