Надёжное хранение ключей

"Драйвера Вашего CD-ROM'а на прилагаемом компакт-диске...". А если флешки полетит или того хуже посеяться иил кто-нить ей пиво откроет...

у меня за неделю 2 флешки убилось... до этого год работали нормально.

кому вообще нужно gpg? распространение публичных ключей ведь архисложное

1) флешку в сейфе хранить, рядом с компьютером
2) на случай "полетит" иметь 2 флешки (одна всегда в сейфе)

Да, и самое главное.. никогда, ни при каких обстоятельствах не открывать ими пиво и другие опасные продукты... :-)

а для надежности еще и зашифровать флэшку blowfish'em ,-)

> а для надежности еще и зашифровать флэшку blowfish'em ,-)
а потом немедленно сжечь!

Точно, RAID-1 из флешек :-)

> у меня за неделю 2 флешки убилось... до этого год работали нормально.

Говно не покупай, да. Мои апасЁровские живут уж года три. Прошли и огонь, и воду, и стиральную машину. Надежней флешки зверя нет.

> апасЁровские

Расшифруй, плз.

apacer.com handy steno

хорошие флешки, имхо.

А собственно что он такого предложил? Пользоваться скриптами симлинкающими ключи с его флешки? Фегня какая.

странный скрипт: у меня он не сможет определить владельца X'ов, может потому, что я не пользуюсь xdm/kdm/gdm, соответственно работать нормально не сможет... нет чтобы определить владельца xinit'а...

>кому вообще нужно gpg? распространение публичных ключей ведь архисложное

Вы бредите. Это с каких это пор кейринг - сложное дело?

>А если флешки полетит или того хуже посеяться иил кто-нить ей пиво откроет...

Надо хранить дома бэкап закрытого ключа

> Надо хранить дома бэкап закрытого ключа

Под матрацем.

> Под матрацем. На ламинированной перфокарте.

Не, упаси боже!
На ней опасно =)

1) Теряться любит
2) Ломается
3) еще что-нибудь

кейринг к обмену ключами не имеет отношения, это юзерское хранилище

вот, допустим, надо списаться с челом, живущим на другом конце планеты, возможности физически встретиться и обменяться ключами нет, что делать будем?

обменяться открытыми. себя заставить думать иногда.

> кому вообще нужно gpg? распространение публичных ключей ведь архисложное

если gpg --send-key - это архисложно, то мне вас жаль.

> кому вообще нужно gpg?

А что взамен? Плайнтекст?

> вот, допустим, надо списаться с челом, живущим на другом конце планеты, возможности физически встретиться и обменяться ключами нет, что делать будем?

про trust path анонимусы не знают, записываем.

Потом смотрим на http://webware.lysator.liu.se/jc/wotsap/wots/latest/paths/0xAC400D02-0x135EA6...

как ты безопасно обменяешься открытыми ключами гпг с челом из новой зеландии, с которым физически встретиться не можешь?

...или воспользоваться сертифицирующим правительственным центром кстати тоже :) если кому то нужна ЭЦП ко всему

взамен нормальную схему распространения ключей, а не это убожище

Значит ключ хранить надо на вольфрамовой перфокарте с тефлоновым покрытием :-) И закопать под старым дубом в безлунную ночь.

с какой стати мне доверять какому-то непонятному кейсерверу?

ну ты совсем плохой. тебе ж написал только что - обменяйся открытыми, если не доверяешь присланному по интернетеу. пусть пришлет заказным письмом. если хочешь воспользуйся трастом. или найди его ключ в Правительственном Сертификационном Центре или Зеландии или России, ну если он там есть :)

> ...или воспользоваться сертифицирующим правительственным центром кстати тоже :) если кому то нужна ЭЦП ко всему

Что я, дурак что ли - доверять правительственному центру сертификации, если наши государственные служащие даже базы данных налоговой сохранить не могут?

> с какой стати мне доверять какому-то непонятному кейсерверу?

ты не кейсерверу доверяешь, а подписантам ключа. иди, читай маны, они - рулез.

мне на любой чих гемороиться с поиском знакомых знакомых знакомых знакомых? так и вижу картину - перед передачей бизнес-партнеру ценных сведений предлагаю обменяться списком общих друзей

я не хочу гемороиться с заказными письмами, которые подделать как два пальца обоссать

если реципиент озаботился получением сертификата ключа, то гимор с гпг попросту не нужен

вопрос из разряда "а с какой стати мне доверять FedEx'у" если никому не веришь то езжай в Зеландию, встреться с человеком в парке когда будет побольше людей, сядьте на одну скамейку и незаментно обменяйтесь конвертами сделанными из кевлара, в котором лежит бумага с открытыми ключами написанными прозрачными черниалми и заокдированными блюфишем 1024 битности паролем который вы должны найти в газете Таймс за 1960 год на договоренной странице

а если партнер требует юридически верной ЭЦП то вы оба должны зарегистрироваться в Сертификационном Центре Гоударства, и получить там ключи (но по факту это почти то же ГПГ)

иди кури основы pki - доверие доказывается криптографически на основе сертификата корневого удостоверяющего центра, который распространен и общеизвестен

ну а если тебе кажется, что данный конкретный ca недостаточно известен, воспользуйся любым другим - их в мире множество

еще раз: доверять посторонним людям в здравом уме никто не будет

все гораздо проще - надо пользоваться публичными CA, чей сертификат лежит в каждой мурзилке

ну если наличие доверенной стороны это почти гпг, то я почти мать тереза

для надежного хранения ключей есть eToken/ruToken
1) ключ не покидает хранилища
2) на токен не записать случайно всякой хрени
3) гарантия работы после купания и более прочный корпус по сравнению с флехами

а вот работает ли он с gpg - вопрос

бред - поверь человеку с OID 1.2.643.3.хх http://www.ctel.msk.ru/x500/OIDS/inform.htm

Че мучаетесь - я запомнил просто ключ наизусь - всего то 2048 байт

Человек действительно стоящую заметку написал (хоть идея-то и лежит на поверхности, но вдруг кто сам не догадается), я вы пустой треп развели...

>Че мучаетесь - я запомнил просто ключ наизусь - всего то 2048 байт

И сразу же забыл свой ник на ЛОРе

> если реципиент озаботился получением сертификата ключа, то гимор с гпг попросту не нужен

ага, конечно. есть только маленькая проблема с доверием удостоверяющим центрам, а так все прекрасно. ;)

> а вот работает ли он с gpg - вопрос

с gpg - не проверял, пожалуй, что с учетом http://www.gnupg.org/(en)/howtos/card-howto/en/smartcard-howto-single.html может работать. PGP работает.

> Че мучаетесь - я запомнил просто ключ наизусь - всего то 2048 байт

бит. всего 256 байт.

>вот, допустим, надо списаться с челом, живущим на другом конце планеты, возможности физически встретиться и обменяться ключами нет, что делать будем?

Он возьмет публичный ключ из кейринга. Его аутичность будет подтверждена трастами других людей, которые уверены что это именно тот ключ. Почитайте про сеть доверия.

ключи имхо нафиг вообще не нужны - проще помнить пароли.. можно их удлиннять.

гблон

Тоже мне открытие.

У меня уже пару лет работает. Ключи на флешке. И без всяких udev, просто монтируется по UUID.