Paperkey er en rimelig måde at opnå en langsigtet backup af OpenPGP (GnuPG, PGP osv) nøgler er at printe dem ud på papir. På grund af metadata og redundans, OpenPGP hemmelige nøgler er væsentligt større end blot de "hemmelige bits". Faktisk den hemmelige nøgle indeholder en komplet kopi af den offentlige nøgle.
Da den offentlige nøgle generelt ikke behøver at sikkerhedskopieres på denne måde (de fleste mennesker har mange kopier af det på forskellige nøgle-servere, websider osv), kun at udtrække de hemmelige dele kan være en reel fordel.
Paperkey ekstrakter kun de hemmelige bytes og udskriver dem. At rekonstruere, du indtaste disse bytes (uanset i hånden eller via OCR), og paperkey kan bruge dem til at omdanne dit eksisterende offentlige nøgle til en hemmelig nøgle.
Papir? Alvorligt?
Målet med papir er ikke sikker opbevaring. Der er utallige måder at gemme noget sikkert. Et papir backup også er ikke en erstatning for den sædvanlige maskinlæsbare (tape, CD-R, DVD-R osv) backups, men snarere som en if-all-andet-mislykkes metode til at genoprette en nøgle. Det meste af lagringsmedier i brug i dag ikke har særlig god langsigtet (målt i år til årtier) lagring af data. Hvis og når CD-R og / eller tape kassette og / eller USB-nøgle og / eller harddisk den hemmelige nøgle er lagret på bliver ubrugelig, kan papirkopi bruges til at gendanne den hemmelige nøgle.
Hvad paperkey gør
På grund af metadata og redundans, OpenPGP hemmelige nøgler er væsentligt større end blot de "hemmelige bits". Faktisk den hemmelige nøgle indeholder en komplet kopi af den offentlige nøgle. Da den offentlige nøgle generelt ikke nødvendigt at spærrede (de fleste mennesker har mange kopier af det på forskellige nøgle-servere, websider osv), kun at udtrække de hemmelige dele kan være en reel fordel.
Paperkey ekstrakter kun de hemmelige bytes og udskriver dem. At rekonstruere, du indtaste disse bytes (uanset i hånden eller via OCR) og paperkey kan bruge dem til at omdanne dit eksisterende offentlige nøgle til en hemmelig nøgle.
For eksempel den regelmæssige DSA + Elgamal hemmelige nøgle jeg lige afprøvet kommer ud til 1281 bytes. De hemmelige dele af dette (plus nogle mindre pakke struktur) kommer til kun 149 bytes. Det er meget nemmere at genindtræde 149 bytes korrekt.
Er ikke CD-R'er skulle vare lang tid?
De er helt sikkert annonceret til (jeg har set nogle ret utrolige påstande om 100 år eller mere), men i praksis er det ikke virkelig arbejde ud på den måde. Fremstillingen af medierne, brænde kvalitet, brænderen kvalitet, opbevaring mv, har alle en betydelig indvirkning på, hvor længe en optisk disk vil vare. Nogle forsøg viser, at du er heldig at få 10 år.
For papir, på den anden side, til at kræve det vil vare i 100 år er ikke engang vagt imponerende. Høj kvalitet papir med god blæk holder jævnligt mange hundrede år selv under mindre end optimale betingelser.
En anden bonus er, at blæk på papir kan læses af mennesker. Ikke alle backup metoder vil kunne læses 50 år senere, så selvom du har backup, kan du ikke nemt købe et drev til at læse den. Jeg tvivler på det vil ske når som helst snart med CD-R, som der er lige så mange af dem derude, men opbevaring branchen er fyldt med gamle nu-døde måder at lagre data.
Eksempler:
Tag den hemmelige nøgle i key.gpg og generere en tekstfil til-være-printed.txt der indeholder den hemmelige data:
$ Paperkey --secret-nøgle min-hemmelige-key.gpg --output til-være-printed.txt
Tag de hemmelige nøgledata i min-nøgle-tekst-file.txt og kombinere det med min-offentligt-key.gpg at rekonstruere min-hemmelige-key.gpg:
$ Paperkey --pubring min-public-key.gpg --secrets min-nøgle-tekst-file.txt --output min-hemmelige-key.gpg
Hvis --output ikke er angivet, går udgangen til stdout. Hvis --secret-nøgle ikke er angivet, er data læses fra stdin, så du kan gøre ting som:
$ Gpg --export-hemmelige-nøgle min-nøgle | paperkey --output min-nøgle-tekst-file.txt
Nogle andre nyttige muligheder er:
--output-typen
kan være "base16" eller "rå". "Base16" er læsbar, og "rå" er nyttigt, hvis du ønsker at videregive output til et andet program som en stregkode generator (selvom opmærksom på, at stregkoder har mange af de ulemper, der er beskrevet ovenfor).
--inputtet-typen
samme som --output-type, men for at genoprette side af tingene. Som standard input type udledes automatisk fra input-data.
--output bredde
angiver bredden af base16 output
--ignore-crc-fejl
tillader paperkey at fortsætte, når rekonstruere selvom den registrerer data korruption i input.
--verbose (eller -v)
være snakkesalig om, hvad der sker. Gentag dette flere gange for at få flere informationsmængde.
Sikkerhed
Bemærk at paperkey ændrer ikke kravene til lagring af en hemmelig nøgle sikkerhed. Hvis din nøgle har en adgangskode på det (dvs. er krypteret), er papirkopi på lignende krypteret. Hvis tasten ingen løsen, heller ikke det papirkopi. Uanset passphrase (eller mangel på samme) var på den oprindelige hemmelige nøgle vil være den samme på den rekonstruerede tast
Hvad er nyt i denne udgivelse:.
- Dette versiob tilføjer understøttelse for OpenPGP elliptisk kurve nøgler (ECDH og ECDSA) som specificeret i RFC 6637.
- Det bruger minimal OpenPGP pakke kodning.
- Dette påvirker ikke funktionaliteten, men gør det mere sandsynligt, at en given nøgle vil matche byte-for-byte den samme nøgle efter at have kørt gennem paperkey.
Hvad er nyt i version 1.2:.
- Output filer er nu genereret med mere restriktive tilladelser
- Mindre dokumentation ændringer blev foretaget.
- gnulib var opdateret.
Hvad er nyt i version 1.1:.
- En mindre bugfix for Windows-platforme
- vejledning i at gendanne en nøgle uden paperkey program er lidt klarere.
Hvad er nyt i version 1.0:.
- Minor dokumentation og bygge ændringer blev foretaget
- Programmet kan nu cross udarbejdes for Win32.
- En gnulib refresh blev gjort.
Kommentarer ikke fundet