mboost-dp1
Lagermedie til offline lagring af kryptonøgler
Jeg har brug for at lagre nogle kryptonøgler offline for at reducere risikoen for at de lækkes mest muligt. Nu spekulerer jeg så på hvilket medie er pålideligt nok til at jeg kan stole på at jeg kan læse det når jeg skal bruge det og billigt nok til at jeg kan tillade mig at bruge et separat medie til hver nøgle?
Der er intet behov for stor lagerkapacitet. Den største fil jeg har brug for at lagre på den måde er 4KB. Så ethvert medie på 4KB eller mere er stort nok.
Der er intet behov for stor lagerkapacitet. Den største fil jeg har brug for at lagre på den måde er 4KB. Så ethvert medie på 4KB eller mere er stort nok.
Hvad med noget lidt utraditionelt?:
http://www.jabberwocky.com/software/paperkey/
Det er måske ikke super handy, men print nøglerne ud på syrefrit papir og du har en bestandig løsning der burde holde noget bedre end så mange andre lagringsmedier. Du kan evt. vælge at printe nøglen i en data matrix på bagsiden. Opbevar kopier i hjemmet og i en bankboks, og hvis nogen skulle få fysisk adgang til dem, så har du jo nok større problemer :)
http://www.jabberwocky.com/software/paperkey/
Det er måske ikke super handy, men print nøglerne ud på syrefrit papir og du har en bestandig løsning der burde holde noget bedre end så mange andre lagringsmedier. Du kan evt. vælge at printe nøglen i en data matrix på bagsiden. Opbevar kopier i hjemmet og i en bankboks, og hvis nogen skulle få fysisk adgang til dem, så har du jo nok større problemer :)
Det er ikke pgp nøgler jeg har brug for at gemme, så lige netop det stykke software er måske ikke det mest relevant for mig. Men idéerne er værd at overveje.nlsn (2) skrev:Det er måske ikke super handy, men print nøglerne ud på syrefrit papir og du har en bestandig løsning der burde holde noget bedre end så mange andre lagringsmedier.
Jeg har overvejet papir. Jeg har allerede et værktøj installeret som kan kode data som QR kode (bruger det til andre formål). Og jeg kunne få en udskrift af en QR kode digitaliseret ved at bruge en af mine telefoner.
Min bekymring ved papir er mest at jeg ikke har overblik over hvor der kan komme til at ligge kopier af det undervejs når jeg sender udskriften gennem printerspoolen og når jeg scanner den ind igen.
I stedet for at bruge en telefon til at scanne QR koden, så er kunne jeg bruge et almindeligt digitalkamera. Med sådan et kamera ved jeg bedre hvor data kommer til at ligge undervejs. Desværre er det på et flash medie hvor man ikke nemt kan garantere at det er destrueret igen.
Dog er personer med fysisk adgang til et flash medie der på et tidspunkt har indeholdt et eksemplar af nøglen ikke en del af det trusselsscenarie jeg vil beskytte mig imod. Jeg er mest bekymret for personer som kan få online adgang til en computer der har nøglerne. Er der nogen måde at omgå wear leveling i et SD kort og læse data der er blevet skrevet igennem det normale interface på en computer?
En anden mulighed jeg overvejede var at kryptere nøglerne med et password (det kan gpg gøre) og så opbevare passwordet på papir men have den krypterede nøgle online.
En af nøglerne kommer jeg til at skulle bruge gentagende gange. Så jeg vil blive træt af at skulle taste hele nøglen en hver gang, hvis jeg kun har den på papir.
Paperkey er vist også mest ment som en backupløsning for en nøgle man har et enkelt digitalt eksemplar af.
Du opbevarer en binær kopi ved at købe x antal sorte og x antal hvide marmorkugler.
Hvid repræsenterer 1 og sort 0.
Derefter skriver du sekvensnummeret (altså 1, 2, 3, 4...) på hver bit (marmorkuglen). Dette gør du selvfølgelig med en syretush som ætser nummeret ind i kuglen.
Alle kuglerne graver du ned i din nabos baghave i en stålkasse med en stor fed hængelås på.
Når du skal bruge din "offlajn" kopi, graver du bare kassen op (husk at spørg naboen om lov).
Sikkerheden består i at marmorkugler altid triller væk. Så hvis der mangler en, er det fordi nogen har nuppet din nøgle.
Hvid repræsenterer 1 og sort 0.
Derefter skriver du sekvensnummeret (altså 1, 2, 3, 4...) på hver bit (marmorkuglen). Dette gør du selvfølgelig med en syretush som ætser nummeret ind i kuglen.
Alle kuglerne graver du ned i din nabos baghave i en stålkasse med en stor fed hængelås på.
Når du skal bruge din "offlajn" kopi, graver du bare kassen op (husk at spørg naboen om lov).
Sikkerheden består i at marmorkugler altid triller væk. Så hvis der mangler en, er det fordi nogen har nuppet din nøgle.
Der findes industri-versioner af SD-flash, der langt overstiger levetiden på almindeligt flash. Faktisk så findes der også en industri-version *over* industri-versionen. Den almindelige industri-version burde dog have specifikationer på ca. 500k skrivninger og en integritetstid på 20+ år. Hvis du kan finde en usb-nøgle med den slags flash, så burde dit data være sikkert (for korruption) i ganske mange år.
Industri-flash er ca. 3 gange så dyrt som almindeligt. (Men usb-nøgler er jo ikke verdens dyreste medie i sig selv.)
Hvis du vil være helt sikker, så kan du jo altid gemme flere kopier på samme flash, samt md5-summer. (Så burde du være sikker i de næste 50-60 år.)
Industri-flash er ca. 3 gange så dyrt som almindeligt. (Men usb-nøgler er jo ikke verdens dyreste medie i sig selv.)
Hvis du vil være helt sikker, så kan du jo altid gemme flere kopier på samme flash, samt md5-summer. (Så burde du være sikker i de næste 50-60 år.)
Opret dig som bruger i dag
Det er gratis, og du binder dig ikke til noget.
Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.
- Forside
- ⟨
- Forum
- ⟨
- Hardware
Gå til bund