GPG Private Keys sind zu groß

[Kamikaze]

Schon seit einer Weile denke ich darüber nach, wie ich Backups von Private keys mache. Mein PK hält zum Verschlüsseln der Passwortsammlung hin. Aber auch meine Backups sollen in Zukunft verschlüsselt sein. Da bietet es sich doch eigentlich an die AES Schlüssel für's Backup mit dem PK zu verschlüsseln.

Das Problem ist, dass der Key dann ein Single Point of Failure ist. Deshalb hätte ich gerne wirklich sichere Backups.

Die Idee war den Schlüssel als 2D Code zu drucken, weil ordentliches Papier, mit Laserdrucker Bedruckt länger hält als Flash oder Magnetspeicher.

Mit zbar funktioniert das Einscannen (restore) direkt mit der im Laptop integrierten Webcam. Versuchsweise habe ich mit zint einen QR-Code aus meinem SSH Public Key gemacht und mit zbar wieder eingescannt. Geht super!

Mit Data Matrix Codes sollten sich so ca. 2k ASCII Zeichen kodieren lassen. Jedoch ist mein Private Key zu lang.

Meine Rechnung
Schlüssel: 4096 Schlüsselbits / 8 = 512 byte
Base64: ceil(512 byte * 4 / 3) = 683 Zeichen

Jetzt noch ein bisschen Meta-Overhead … sollte auf jeden Fall passen. Was jedoch rauskommt:

Binärdaten:
> gpg --export-secret-key 06E438C8 | wc -c
4807

Base64
> gpg -a --export-secret-key 06E438C8 | wc -c
6627

Davon sind 108 Zeichen GPG Header und Footer. Also warum zum Fallera ist das so riesig? Mehr als Faktor 8! Sind das etwa Schlüsselbytes und nicht Bits?

 

[m4rkus]

Um es technisch zu halten:

1. Smartcard als zusätzliches Backup
2. Yubikey, bei dem du den Key als festen Slot programmierst.

Ich persönlich habe 2 USB-Sticks, die eine regelmäßig gesicherte Version meiner Passwortmanager-DB haben, deren Passphrase auf 2 Yubikeys gespeichert ist.
Hat den Vorteil, dass im Fall der Fälle auch meine Frau an die Daten käme (Dokumentation liegt bei).

Gruß
Markus

 

[FreeBSDuser]

ECDSA? Der private teil hat ja einige komponenten: http://etherhack.co.uk/asymmetric/docs/rsa_key_breakdown.html

Was spricht dagegen den key aufzuteilen?

 

[Kamikaze]

1. Smartcard als zusätzliches Backup

Da brauche ich ein Extra Lesegerät. Optisch finde ich besser.ea

2. Yubikey, bei dem du den Key als festen Slot programmierst.

Das Prinzip dass die sich als Tastatur anmelden sieht cool aus. Aber wie bekommt man sein Passwort auf das Ding drauf? Darüber habe ich auf der HP gar nichts gefunden.

ECDSA? Der private teil hat ja einige komponenten: http://etherhack.co.uk/asymmetric/docs/rsa_key_breakdown.html

Ah danke! Das beantwortet meine Fragen.

Was spricht dagegen den key aufzuteilen?

Prinzipiell nichts. Ich dachte bloß, das kann so nicht stimmen.

 

[foxit]

2. Yubikey, bei dem du den Key als festen Slot programmierst.

Was passiert, wenn du einen Editor öffnest und dann den Knopf auf dem Stick drückst?

 

[Crest]

Ist der Key schon ohne ASCII Armor zu lang? Was spricht dagegen ihn auf mehrere QR Codes zu verteilen und den Index dran zu schreiben oder in der Position auf dem Träger zu kodieren?

 

[m4rkus]

@Kamikaze:
Bzgl. Smartcard dachte ich, du hättest evtl. ein Lesegerät im Laptop, daher der Vorschlag.
Es gibt ein Tool, mit dem du den Yubikey "befüllen" kannst (http://www.yubico.com/products/services-software/personalization-tools/use/).

@foxit:
Der Yubikey hat mehrere Betriebsmodi. Du kannst One-Time-Passwörter generieren, oder aber einen fixen Text auf Knopfdruck generieren.
Ich verwende den Key als "Speicher" einer fixen Passphrase für meine Passwort-DB, wobei ich einen Teil der Passphrase manuell eingebe, so dass bei Diebstahl nicht direkt "per Knopfdruck" das Passwort bekannt ist.

Gruß
Markus

 

[foxit]

Der Yubikey hat mehrere Betriebsmodi. Du kannst One-Time-Passwörter generieren, oder aber einen fixen Text auf Knopfdruck generieren.

Das habe ich gelesen. Kann man dies jederzeit umstellen z.B. mit länger den Knopf drücken oder braucht es dazu eine Software?

Ich verwende den Key als "Speicher" einer fixen Passphrase für meine Passwort-DB, wobei ich einen Teil der Passphrase manuell eingebe, so dass bei Diebstahl nicht direkt "per Knopfdruck" das Passwort bekannt ist.

Das ist eine gute Idee

 

[Kamikaze]

Ja, blöderweise ist die Software Windows-Only. Nun. Ich schätze das kriegt man auch über eine VM gefrickelt.

 

[m4rkus]

@Kamikaze: Es gibt ein Multiplattform Tool (YubiKey Cross Platform Personalization Tool).

Leider scheinen lediglich 64 Zeichen zu gehen, daher für den Key doch nicht ausreichende Kapazität - Sorry für die falsche "Fährte"
http://www.yubico.com/products/services-software/personalization-tools/static-password/ - Also maximal 2 Slots x 64 Zeichen * 4 = 512 Bit
@foxit:
Du kannst die Slots im Tool frei belegen und durch langes oder kurzes Drücken auf die zwei Slots zugreifen.

Gruß
Markus

 

[foxit]

Du kannst die Slots im Tool frei belegen und durch langes oder kurzes Drücken auf die zwei Slots zugreifen.

Ah perfekt danke für die Antwort.

 

[FreeBSDuser]

Als Langzeitarchiv taugt das vermutlich auch nichts, da ist Papier ggf. doch besser.
Das gibt auch schon länger http://en.wikipedia.org/wiki/Paper_key

Ggf. ist noch eine RFID Karte gut, die meisten Smartphones haben das ja jetzt auch und darin lassen sich so um die 8KiB speichern. Viele können auch AES etc.

 

[Yamagi]

Das selbstzerstörerische Kind von heute lässt sich den RFID doch gleich in die Hand implantieren. Kostet auch nur 40 Euro für einen einfachen Chip: http://lines-and-dots.com/bodymod/rfid/technik.html