Ich speichere meine gerne auf Papier.

Mit einem JavaScript-Generator (lesen: offline) QR-Code erstelle ich ein Bild meines privaten Schlüssels in gepanzerter ASCII-Form. dann drucken Sie diese aus. Notieren Sie daneben die Schlüssel-ID und speichern Sie sie an einem physisch sicheren Ort.

Hier sind einige, die für Sie funktionieren sollten, unabhängig davon, welches Betriebssystem Sie verwenden, solange Sie einen Browser haben, der JavaScript unterstützt.

Für Windows-Benutzer:

Klicken Sie hier, um den JavaScript-QR-Codegenerator herunterzuladen: https://github.com/davidshimjs/qrcodejs/archive/04f46c6a0708418cb7b96fc563eacae0fbf77674.zip

Extrahieren Sie die Dateien irgendwo und bearbeiten Sie dann index.html gemäß den folgenden Anweisungen.

Für MacOS- oder Unix-Benutzer:

  $ # Diese spezielle Version soll das Risiko vermeiden, dass, wenn jemand das $ # -Repository von `davidshimjs` entführt (oder er Schurke wird), Sie weiterhin die Version verwenden, die ich überprüft habe. $ # Für die wirklich Paranoiden Vertrauen Sie GitHub auch nicht, und Sie möchten den Code, den Sie selbst heruntergeladen haben, überprüfen ip $ cd qrcodejs-04f46c6a0708418cb7b96fc563eacae0fbf77674 / $ # Wir müssen index.html so bearbeiten, dass das Einfügen Ihres PGP-Schlüssels unterstützt wird. $ # Öffnen Sie die Datei in einem Texteditor wie Notepad, vi oder nano $ vi index.html  

Ändern Sie Zeile 11 von:

  <input id = "text" type = "text" value = "http://jindo.dev.naver.com/collie" style = "width: 80%" / ><br / >  

bis:

  <textarea id = "text" type = "text" value = "http: //jindo.dev.naver.com/collie "style =" width: 80% "/ >< / textarea><br / >  

Navigieren Sie nun mit Explorer F zu dem Verzeichnis, das Sie hier erhalten. oder Nautilus usw.

Zum Beispiel:

  $ pwd
/ Users / george / Documents / Code / qrcodejs / qrcodejs-04f46c6a0708418cb7b96fc563eacae0fbf77674 $ open.  

Doppelklicken Sie jetzt auf Die Datei index.html , die Sie gerade bearbeitet und gespeichert haben.

Sie müssen sich höchstwahrscheinlich trennen Geben Sie Ihren PGP-Schlüssel in Viertel oder noch kleiner ein, um schöne große QR-Codes zu erstellen, die Sie später problemlos scannen können. Klicken Sie nach dem Einfügen in den Textbereich vom Textfeld weg und Ihr QR-Code sollte angezeigt werden. Speichern Sie jeden einzelnen und benennen Sie ihn entsprechend, damit Sie die Reihenfolge kennen!

Nachdem Sie alle Codes erstellt haben, scannen Sie sie beispielsweise mit einer QR-Code-Scanner-App für Mobiltelefone. Halten Sie dieses Gerät für Paranoide offline, sobald Sie einen Barcodeleser installiert haben, und führen Sie dann einen vollständigen Lösch- und Werksreset des Geräts durch, bevor Sie es wieder online stellen. Dadurch wird verhindert, dass die QR-Scanner-App Ihren PGP-Schlüssel verliert.

Wenn Sie einen großen Schlüssel oder viele Schlüssel haben, empfehle ich paperbak, obwohl Sie dies unbedingt notieren müssen Anweisungen zum späteren Wiederherstellen der Daten. Genauso wichtig wie das Sichern ist das Wiederherstellen aus einem Backup. Ich würde dies wahrscheinlich mit Dummy-Daten versuchen, nur um sicherzugehen, dass Sie genau wissen, wie es funktioniert.

Es ist erwähnenswert, dass Sie Ihren privaten Schlüssel mit einer Passphrase schützen können, selbst wenn dies der Fall ist Bei einem Cloud-Anbieter gehostet, können sie Ihren privaten Schlüssel nicht sehen, aber dann wird Ihre gesamte Passwortsicherheit auf diese Passphrase und nicht auf den vollständigen privaten Schlüssel reduziert, ganz zu schweigen davon, dass Cloud-Anbieter über Nacht verschwinden können.

An den Tagen, an denen meine Paranoia wie eine reife Tomate ist und mich bittet, sie zu pflücken, teile ich den privaten Schlüssel (natürlich ist er bereits durch Passphrasen geschützt) in zwei Hälften und mache dann eine dritte Saite, indem ich sie zusammen XOR-fache. Dann verwende ich eine einfache Passwortverschlüsselung ( gpg --symmetric ) für jede Zeichenfolge und stelle sie auf einen Remote-Server auf einem anderen Kontinent. Im Idealfall ist jeder Remote-Server bei einem anderen ISP oder Cloud-Anbieter.

Aber als die Medizin wirkte - zumindest bis mir klar wurde, wie ehrgeizig die NSA war -, was ich tatsächlich in der EU getan habe past verschlüsselt lediglich den (gesamten) privaten Schlüssel (wieder mit gpg --symmetric ) und legt ihn auf mein Smartphone.

Nachdem ich nun die anderen Antworten gelesen habe, bin ich Die Idee von drei QR-Codes, eingebettet in drei Familienfotos, zu finden, ist unglaublich attraktiv. Zeit für eine stärkere Medizin?

Dies ist derzeit nicht das, was ich verwende, aber ich denke darüber nach:

1. Verschlüsseln Sie den privaten Schlüssel mit einem sehr langen symmetrischen Verschlüsselungsschlüssel.
2. Verwenden Sie Shamir's Geheime Freigabe Um den symmetrischen Verschlüsselungsschlüssel in 7 Teile aufzuteilen (wie bei Voldemort), müssen mindestens 5 Freigaben erfolgreich zusammengeführt werden.
3. Finden Sie heraus, wo 7 geheime Sicherungen a abgelegt werden sollen >, einige Ideen:
   • Medienkarte in einem Safe zu Hause
   • gedrucktes Papier in meiner Brieftasche
   • in Dropbox
   • Übersee-Safe
   • Hautimplantate
   • begraben im Grab eines zufälligen Typen
   • tätowiert giftige Haustierschlange
ol>

Auf diese Weise kann ich den Zugriff auf einige Freigaben verlieren und trotzdem auf den Schlüssel zugreifen. Während ein Angreifer 5 verschiedene individuell sichere Orte kompromittieren müsste, an denen ich leicht Zugang habe, aber für die Handlanger des bösen dunklen Lords in diesem schwarzen Auto vor dem Haus schwer ist. <puts on tinfoil>.

Eine Möglichkeit besteht darin, Ihren Schlüssel mit einer Passphrase zu verschlüsseln und den verschlüsselten Schlüssel in einem Cloud-Dienst zu speichern.

Ich habe den Schlüssel auf meinem Laptop (Hardware-verschlüsseltes Laufwerk) und auf einem Truecrypt-Container auf einem externe Festplatte als Backup. Ok, es ist kein Null-Risiko für Datenverlust, aber es ist auf ein für mich akzeptables Niveau gesunken.

Sie können Ihren privaten Schlüssel in einem Flash-Laufwerk und dieses Laufwerk in einem Schließfach aufbewahren. Stellen Sie außerdem sicher, dass Sie dieses Flash-Laufwerk nicht für Aktivitäten verwenden, bei denen es möglicherweise mit Malware infiziert wird.

Ich behalte den Schlüssel (und andere vertrauliche Daten wie eine Liste mit Benutzernamen und Kennwort) in einem truecrypt -Container verschlüsselt. Dieser Container ist durch eine massive Passphrase geschützt. Der Container wird auch im Cloud-Speicher gesichert, sodass Änderungen von jedem meiner Computer synchronisiert werden.

Es ist nicht perfekt, aber wenn der Cloud-Anbieter stirbt, wird es immer noch auf meinen Computern synchronisiert. Wenn die Datei selbst kompromittiert wird, müssen sie die TrueChrpt-Phrase und die Schlüsselpassphrase knacken.

Ich würde Steganografie verwenden, um den verschlüsselten Schlüssel in einer Reihe von 100 Fotos zu platzieren, die ich beispielsweise in mehrere Cloud-Speicher (Box, Dropbox und OVH) hochlade.
Zuerst müssen Sie wissen, dass sich auf diesem Bild etwas befindet Finden Sie heraus, was und entschlüsseln Sie es.
Es ist ein bisschen extrem, aber es widersteht Feuer besser als Papier.

Ich habe zwei Schlüssel, einen weniger sicheren auf dem Computer und einen in einer OpenPGP-Karte. Letzteres ist so sicher wie es nur geht, da der private Schlüssel niemals den Chip auf der Karte belässt. (Vor Jahren musste ich jedoch aus Gründen der Sicherheit das gpg leicht modifizieren, um die sichere Tastatur meines Kartenlesers zu verwenden anstatt die PIN der Karte von der PC-Tastatur abzurufen, die für Keylogger-Angriffe anfällig sein kann.)

Ich speichere meine in einer KeePassX-verschlüsselten Datei. Diese Datei wird in einem Git-Repository gespeichert, das ich auf allen Computern klone, auf denen ich die Kennwörter verwenden muss. Der zusätzliche Vorteil besteht darin, dass ich Kennwörter synchronisieren kann, während der Server aus irgendeinem Grund zerstört die Datei Ich kann immer eines der geklonten Repositorys verwenden. Wenn ich paranoid bin, kann ich ein TrueCrypt-Volume mit der KeePassX-verschlüsselten Datei einfügen.

Git gibt mir auch eine Versionierung, damit ich immer zu früheren Versionen zurückkehren kann von meiner Passwortdatei ist das preatty neet.

Ich mag die Idee, ein sehr langfristiges Backup als letztes Mittel auf Papier zu haben. (Neben einer verschlüsselten Archivierungs-CD an einem sicheren Ort.) Ich kann einfach keinen QR-Generator finden, der die gesamte Länge eines privaten Schlüssels unterstützt, und ich vertraue Paperbak erst, wenn die AES-Schlüsselgenerierung behoben wurde (und es scheint, als ob nur Windows sein).

Ich habe optar gefunden, das Daten beliebiger Länge in ein maschinenlesbares Format codiert, aber jetzt müssen Sie es manuell aus C kompilieren. [Es sollte nicht schwer sein, etwas in Homebrew für Mac-Leute zu integrieren, und vielleicht kann ein Samariter einen Windows-Build beibehalten, wenn er sich als gut erweist.]

paperkey sollte es sein Gut zum Ausdrucken / Verwenden von OCR zum Wiederherstellen eines privaten Schlüssels und zum Erstellen minimaler Zeichen für einen Barcode- / QR-Code-Generator.

Gehen Sie wie folgt vor:

1. Wählen Sie zwei Zahlen aus, die Ihnen gefallen: R und C .
2. Gehen Sie zu Ihre private Schlüsselzeile R und Spalte C und merken Sie sich das Zeichen X , das Sie dort finden.
3. Ändern Sie dieses Zeichen in ein beliebiges anderer zufälliger Wert.
4. Speichern Sie Ihren geänderten privaten Schlüssel sicher in mehr als einem Cloud-Dienst (an verschiedenen geografischen Standorten.
ol>

Der dort gespeicherte Schlüssel ist ohne R unbrauchbar , C und X (vorausgesetzt, Sie kennen den Trick natürlich). Wenn man sich die Zeit leisten kann, R zu finden , C und X , nun ... viel Glück beim Erraten meines Passworts.

Auch das Speichern von R , C und X sollten aus der Sicht derjenigen, die die Änderung einführt, sehr einfach sein.

Hinweis : Tun Sie es nicht Ganz am Anfang oder Ende der Zeichenfolge. Dort müssen Muster befolgt werden. Es ist sehr einfach, die Änderung zu erraten.

Sie könnten versuchen, es auswendig zu lernen ...

Es könnte möglich sein, einen gzip-ähnlichen Algorithmus zu verwenden, mit dem Menschen komprimieren und auswendig lernen können. Sie könnten in eine Melodie kodieren und sich das merken,

Der private Schlüssel ist bereits verschlüsselt. Eine erneute symmetrische Verschlüsselung würde jedoch nicht schaden. Danach sollte die physische Sicherheit im Vordergrund stehen. Die Haltbarkeit und Sicherheit von Medien außerhalb des Standorts sollten die Hauptüberlegungen sein. Ein USB-Schlüssel ist wahrscheinlich für mindestens zehn Jahre in Ordnung, solange USB-Ports verfügbar sind. Bewahren Sie den Schlüssel an einem sicheren Ort auf. Ein Safe oder ein guter Safe außerhalb des Geländes sind gute Möglichkeiten. Dies sollte eine Wiederherstellung für den Fall ermöglichen, dass das von Ihnen verwendete System jetzt auf eine nicht wiederherstellbare Weise ausfällt. beschriften und datieren Sie den USB-Stick. Eine verschlüsselte Kopie des Sperrzertifikats des Schlüssels sollte ebenfalls darin gespeichert werden. Machen Sie ein paar Duplikate, wenn Sie sich Sorgen über einen USB-Stick-Fehler machen.

Haftungsausschluss: Verweis auf einen Code, den ich schreibe / meine eigene 'kleine' Lösung

Zur Lösung dieser Art von Problemen (und allgemeiner 'Archivierung' wichtig) Ich arbeite an qrdump , einer Möglichkeit,

Natürlich ist auch die inverse Transformation implementiert.

Zum Beispiel:

  bash-4.4 $ FOLDER_TESTS = $ (mktemp -d) bash-4.4 $ cd $ FOLDER_TESTS / bash-4.4 $ head -c 4096 < / dev / urandom > dummy.dat # Erstelle eine zufällige Datei, 4096 bytesbash-4.4 $ sha256sum dummy.dat qrdump.sh --create-A4 --base64 --safe-mode --output ./pdf_dump.pdf --input dummy.dat # crete ein druckbares qr-Codes-PDF von Die zu verwendende Datei SAFE: Erfolgreiche Wiederherstellung von checkbash-4.4 $ rm dummy.dat # Die Datei wird entfernt. Von nun an besteht die einzige Möglichkeit, sie wiederherzustellen, in der Wiederherstellung von pdfbash-4.4 $ bash ~ / Desktop / Git / qrdump / src /qrdump.sh --base64 --read-A4 --input pdf_dump.pdf --output ./ # restorebash-4.4 $ sha256sum dummy.dat # Der Digest sollte mit dem ursprünglichen identisch sein, um eine gute Wiederherstellung zu bestätigen  

Wenn Sie interessiert sind, hier mehr:

https://github.com/jerabaul29/qrdump

Codieren Sie mit einem sicheren Passwort und verwenden Sie es als Signatur in jedem Forum, das Sie verwenden. Vielleicht gibt es auch Mailinglisten für solche Schlüssel.