Опишу свою свежую "иновацию", которую я стал использовать для хранения своих SEED фраз.
Я использую для этой цели загрузочный флэш-накопитель, на котором хранится Tails с заблокированными драйверами связи и постоянным томом, залоченным составным паролем, часть которого находится на аппаратном ключе, который также содержит мой приватный ключ pgp.
Постоянный том содержит базу данных для KeyPassXC, которая заблокированная составным паролем, включающем в себя часть, хранящуюся на аппаратного ключе. Этот пароль отличается от того, которым залочен постоянный том Tails.
В свою очередь, база данных KeyPassXC содержит сообщение gpg, соответствующее моей SEED-фразе. Это сообщение зашифровано моим аппаратным ключом pgp (смарт-картой), защищенным PIN-кодом. Допускаются только две попытки ввода неправильныго PIN-кода. Третья неверная попытка заблокирует доступ к ключу pgp.
Если кому понадобится, привожу pgp код ддля настройки аппаратных ключей
У меня по факту три склонированных Tails флешки и три аппаратных ключа, каждый из которых является бэкапом остальных двух.
Буду приветствовать (меритами) любую конструктивная критику по поводу возможных и неизвестных мне точек отказа моей системе.
Точно также оставляю за собой право удалять флуд и спам сообщения
Я использую для этой цели загрузочный флэш-накопитель, на котором хранится Tails с заблокированными драйверами связи и постоянным томом, залоченным составным паролем, часть которого находится на аппаратном ключе, который также содержит мой приватный ключ pgp.
Постоянный том содержит базу данных для KeyPassXC, которая заблокированная составным паролем, включающем в себя часть, хранящуюся на аппаратного ключе. Этот пароль отличается от того, которым залочен постоянный том Tails.
В свою очередь, база данных KeyPassXC содержит сообщение gpg, соответствующее моей SEED-фразе. Это сообщение зашифровано моим аппаратным ключом pgp (смарт-картой), защищенным PIN-кодом. Допускаются только две попытки ввода неправильныго PIN-кода. Третья неверная попытка заблокирует доступ к ключу pgp.
Если кому понадобится, привожу pgp код ддля настройки аппаратных ключей
Code:
gpg --allow-secret-key-import --import <path to secret key file>
gpg --expert --edit-key <KeyID>
gpg> toggle
gpg> keytocard
(answer Yes and then choose 1)
gpg> key 1
gpg> keytocard
(answer Yes and then choose 2)
gpg> key 1
gpg> key 2
gpg> keytocard
(answer Yes and then choose 3)
gpg> quit
Choose No ( Если выбрать Yes, то приватный ключ, импортируемый в аппартный ключ исчезнет из системы и вы не сможете использовать его для импорта в другие аппартные ключи с целью бэкапа. Это вообщем не страшно, если этот приватный ключ каким-то образом задублирован. У меня именно так).
gpg --expert --edit-key <KeyID>
gpg> toggle
gpg> keytocard
(answer Yes and then choose 1)
gpg> key 1
gpg> keytocard
(answer Yes and then choose 2)
gpg> key 1
gpg> key 2
gpg> keytocard
(answer Yes and then choose 3)
gpg> quit
Choose No ( Если выбрать Yes, то приватный ключ, импортируемый в аппартный ключ исчезнет из системы и вы не сможете использовать его для импорта в другие аппартные ключи с целью бэкапа. Это вообщем не страшно, если этот приватный ключ каким-то образом задублирован. У меня именно так).
Quote from: satscraper
У меня по факту три склонированных Tails флешки и три аппаратных ключа, каждый из которых является бэкапом остальных двух.
Буду приветствовать (меритами) любую конструктивная критику по поводу возможных и неизвестных мне точек отказа моей системе.
Точно также оставляю за собой право удалять флуд и спам сообщения