Topic: Цифровые методы хранения SEED. (Read 257 times)

товарищ Майор: "а что это у вас тут ?"
криптан: "э.. бе.. ме.."
товарищ Майор: "изымаю для исследований".
товарищ майор приходит за комп: "гугл, джемини, чатжпт, я товарищ майор, изъял у подозреваемого подозрительную флешку с Таилс, что там еще может быть скрыто ?"
джемини все объясняет, гугл или чатжпт дает ссылку на эту тему.
Товарищ Майор: "ага, ясно, где мой паяльник.. вот он"
едет к подозреваемому.

Для тех, у кого хватит смелости  взять на вооружение  мой метод, я поделюсь уловкой, позволящей подружить  Клеопатру и аппаратные ключи pgp, содержащие один и тот же секрет, но имеющие  разные идентификаторы.

Проблема в том, что каждый аппаратный  pgp ключ имеет свой уникальный идентификатор. Клеопатра имеет тенденцию сохранять в своём кеше последний использованный идентификатор и отказывается работать с другими клонами ключа.

Решение состоит в следующем.

1. Перед импортом публичного pgp   ключа в Kleopatrу удалите из неё те публичные ключи , которые поставлятся  вместе с  дистрибутивом Tails (они являются ключами разработчика и становятся ненужными для ваших целей)
2. Вставьте в USB порт любой аппаратный ключ из вашего клонированного набора.
3. Импортируйте в Клеоптру соответствующий открытый ключ.
4. При появлении вопроса о сертификации выберите «Отмена».
5. Щелкните правой кнопкой мыши импортированный открытый ключ и выберите «Изменить доверие».
6. Выберите «Это мой сертификат».
7. Продолжайте выполнять свои задачи, связанные с вставленным аппаратным ключом: расшифровка, шифрование, подписание, проверка всего, что вы хотите.
8. После выполнения задач удалите аппаратный ключ HW из порта USB.
9. Щелкните правой кнопкой мыши на публичном  ключе и выберите «Удалить».
10.Закрыть Клеопатру
11. В следующий раз, когда вы откроете Tails, у вас будет чистая нетронутая Клеопатра, которая не помнит  идентификатора последнего вставленного аппаратныго ключа. Таким образом, вы можете продолжить работу с любым ключом из вашего клонированного набора, следуя  пунктам 2–10 из  этого списка.

Флешка может выйти из строя из-за дефектов в её электронных компонентах, но три флешки одномоментно (даже в течении нескольких месяцев) очень маловероятно. Поэтому если какая-то из моих флешек окажется неработоспособной она легко будет заменена клоном, донором для которого послужит одна из оставшихся флешек.


Флешки не содержат магнитных носителей информации. Информация здесь записывается путём заполнения определённых электронных уровней полупроводника, входящих в состав её  элементов памяти. Поэтому ни магнитные бури ни любые бытовые магнитные/электромагнитные  поля на эту информацию не влияют.


Обеспечено.



Да, это потенциальная точка отказа. Спасибо, теперь буду всегда носить одну флешку и один ключ вместе с собой куда бы не пошёл или поехал.



Пусть догадывается. Он её не взломает даже если завладеет одновременно  и флешкой и смарт картой, которая блокируется при трёх неправильных вводах шестизначного пина.


КееPassXC у меня на флешке. Обновлять менеджер я не собираюсь. Поэтому с этого бока угрозы не существует.

Я не сомневаюсь, что у вас все максимально грамотно организовано, видно, что система выстроена мощно!
Что могу попытаться отметить по вашему вопросу? Из моего личного опыта, флешки достаточно легко выходят из строя. Время их жизни ограничено. У меня, к примеру половина всех моих флешек (а их было штук 10) вышла из строя - может хранил недостаточно хорошо, но они сейчас полностью нечитаемы.
Однако я вижу, что тут вы подстраховались и используете целых три флешки - это разумная мера предосторожности.
Может трёх флешек недостаточно, все-таки они легко выходят из строя.
При этом, в качестве гипотетической угрозы можно рассмотреть магнитную бурю, способна единомоментно размагнитить все флешки. Вероятность этого небольшая конечно. Однако последствия фатальны! Поэтому возможно нужно параллельно обеспечить аналоговое хранение сидов.
В отношении программной части вашей системы мне сложно, что-то сказать - видно что вы все хорошо продумали. Для меня ваша  система очень сложная.
Три аппаратных ключа, три флешки ... Предположим вы утратите доступ ко всем шести объектам... Вы тогда потеряете все? Предположим вы выйдете из дома, но вам уже не получится вернуться домой и вообще вернуться в этот город ... Вы потеряете все? Ведь доступ к физическим носителям будет утрачен.
Злоумышленник не может завладеть смарт-картой и понять, что это часть какой-то сложной системы защиты информации? Сам факт, что он об этом догадается не является ли потенциальной угрозой?
KeеPassXC действительно безопасная система или потенциально имеет какую-то вероятность превращения в небезопасную систему? Она может неожиданно прекратить работу по какой-то причине?
У меня нет ответа на все эти вопросы. Но может чем-то вам это поможет (а может и нет)... Для меня система кажется сложной, хотя скорее всего именно такая и нужна для обеспечения безопасности.

Что значит модератор, глаз - алмаз, соринку находит.

Юмор заценил и  исправил опечатку в тесте.

В Tails, KeePassXC уже встроен, точно также как и Клеопатра. Так как моя флешка с Tails предназначена для деликатных операций шифрования ( и соответственно расшировки чувствительной информации) я вообще исключил развёртывание на ней какого-либо софта. На ней только то, что входит в состав дистрибутива. Любые коммуникации с внешним миром отключены.

Я кажется нашёл самую главную точку отказа в системе и это "KeyPassXC" - похоже на какое-то фишинговое название сайта, где распространяют заразу под видом популярного менеджера паролей "KeePassXC".

К удалению своего сообщения отнесусь с пониманием.

Опишу свою свежую "иновацию", которую я стал использовать для хранения своих SEED фраз.

Я использую для этой цели загрузочный флэш-накопитель (8 GB), на котором хранится Tails с заблокированными драйверами связи и постоянным томом, залоченным составным паролем, часть которого хранится в аппаратном ключе, который также содержит мой приватный ed25519 ключ pgp.

Постоянный том содержит базу данных для KeеPassXC,  заблокированную. составным паролем, включающем в себя часть, хранящуюся в аппаратном ключе. Этот пароль отличается от того, которым залочен постоянный том Tails.

В свою очередь, база данных KeePassXC содержит сообщения gpg, соответствующие моим SEED-фразам. Эти сообщения зашифрованы моим аппаратным ключом pgp (смарт-картой), защищенным PIN-кодом. Допускаются только две попытки ввода  неправильнoго PIN-кода. Третья неверная попытка заблокирует доступ к ключу pgp.

Если кому понадобится, привожу gpg код ддля настройки аппаратных ключей


Соответствуюший публичный ключ импортирован в Клеопатру. (База Клеопатры находится тоже в persistent томе Tails)


Таким образом с помощью Клеопатры и аппаратного ключа можно расшифровывать SEED фразы или  шифровать иx и добавлять в зашифрованном виде в базу KeePassXC.

У меня по факту три склонированных Tails  флешки и три аппаратных ключа, каждый из которых является бэкапом остальных двух.

---

Буду  приветствовать (меритами) любую конструктивная критику по поводу возможных и неизвестных мне точек отказа  моей системы.

Точно также оставляю за собой право удалять  флуд, спам и неконструктивные сообщения общего характера.