Como fazer backup de sua chave GPG no Linux com paperkey
Paperkey é um programa de linha de comando para Linux que permite exportar sua chave privada GPG em um formato legível por humanos. Ele funciona removendo as partes redundantes de uma chave privada e deixando apenas seus bits secretos críticos.
Este artigo o guiará pelo processo de instalação e configuração do paperkey no Ubuntu e mostrará como armazenar o backup do paperkey como um código QR e extraí-lo durante a recuperação.
Por que usar Paperkey para fazer backup de sua chave GPG
Uma das maiores vantagens do paperkey é que seu formato geralmente é menor do que um bloco de chave privada PGP regular. Isso facilita o gerenciamento e o armazenamento em vários formatos. Por exemplo, um backup paperkey é pequeno o suficiente para que você possa escrevê-lo em um pedaço de papel.
Como tal, paperkey oferece a você a oportunidade de remover sua chave privada PGP de qualquer dispositivo eletrônico. Embora alguns dispositivos hoje forneçam criptografia de “dados em repouso” estelar, manter seus dados off-line ainda é uma maneira confiável de tornar sua chave inacessível para pessoas mal-intencionadas.
Obtenção e instalação do Paperkey
- O primeiro passo para instalar o paperkey é atualizar todo o seu sistema. Isso garantirá que as informações do repositório do sistema tenham as informações de pacote corretas para paperkey.
sudo apt updatesudo apt upgrade
- Execute o seguinte comando para instalar o aplicativo paperkey:
sudo apt install paperkey
- Verifique se o paperkey foi instalado corretamente em seu sistema:
paperkey --version
Configurando seu backup Paperkey
Com o paperkey instalado, você pode começar a fazer backup de sua chave secreta GPG. Para este guia, vou fazer backup de uma chave RSA/RSA de 4096 bits que criei executando gpg --full-gen-key
.
- Para começar, liste todas as chaves disponíveis em seu chaveiro GPG:
gpg --list-keys
- Gere uma cópia binária da chave privada que você deseja exportar:
gpg --export-secret-keys --output private.gpg your-gpg@email.address
- Execute paperkey junto com o seu. gpg para extrair sua chave secreta principal em um arquivo de texto simples:
paperkey --secret-key private.gpg --output core-secret.asc
- Carregue sua chave pública em um servidor de chaves conhecido. Isso garantirá que você será capaz de reconstruir sua chave durante o processo de recuperação:
gpg --keyserver keyserver.ubuntu.com --send-key YOUR-KEY-FINGERPRINT
- Depois disso, apague completamente seu arquivo de chave privada:
shred -uvn 10. /private.gpg
Convertendo sua chave de papel em código QR
Além de exportar em um arquivo de texto, você também pode usar o paperkey para converter seu segredo em um formato legível por máquina. Por exemplo, você pode usar pipes UNIX básicos para redirecionar seu segredo principal para um gerador de código QR. Isso facilita a recuperação do seu segredo de maneira confiável e à prova de erros.
- Instale o
qrencode
programa a partir do seu gerenciador de pacotes:
sudo apt install qrencode
- Exporte sua chave privada GPG em um formato binário:
gpg --export-secret-key --output qr-private.gpg your-gpg@email.address
- Execute paperkey usando seu arquivo “qr-private.gpg” e redirecione sua saída diretamente para o qrencode:
paperkey --secret-key qr-private.gpg --output-type raw | qrencode --8bit --output /home/$USER/qr-private.png
- Abra o gerenciador de arquivos do seu sistema e verifique a imagem QR.
Restaurando seu backup do Paperkey
Neste ponto, você tem um backup paperkey adequado de sua chave privada GPG. Você pode escrever o arquivo de texto legível por humanos ou imprimir o código QR em um pedaço de papel e armazená-lo em algum lugar seguro.
Para recuperar sua chave GPG:
- Procure sua chave pública no servidor de chaves para o qual você a enviou:
gpg --keyserver keyserver.ubuntu.com --search your-gpg@email.address
- Selecione a chave que deseja recuperar na lista de resultados da pesquisa.
- Exporte sua chave pública para um formato binário:
gpg --export --output public.gpg your-gpg@email.address
- Reconstrua sua chave privada original usando os sinalizadores
--pubring
e--secrets
em paperkey:
paperkey --pubring public.gpg --secrets core-secret.asc --output private.gpg
- Importe sua chave secreta recém-reconstruída usando GPG:
gpg --import. /private.gpg
Restaurando um backup Paperkey de um código QR
Você também pode recuperar sua chave privada GPG combinando uma imagem QR paperkey com uma chave pública GPG existente para sua identidade.
- Instale o utilitário zbar para ativar a leitura de QR e código de barras em seu computador:
sudo apt install zbarcam-gtk zbar-tools
- Decodifique sua imagem QR usando zbarimg e canalize sua saída para um arquivo:
zbarimg --quiet --raw --oneshot -Sbinary. /qr-private.png > core-secret.bin
- Reconstrua sua chave privada GPG original usando paperkey:
paperkey --pubring public.gpg --secrets core-secret.asc --output private.gpg
- Importe sua chave privada para seu chaveiro GPG:
gpg --import. /private.gpg
perguntas frequentes
O backup do Paperkey é seguro?
Um backup paperkey, por padrão, não modifica nenhuma das propriedades inerentes de sua chave GPG. Isso significa que ele será tão seguro quanto sua chave de criptografia e o número de bits que estiver usando.
Uma das vantagens da chave de papel é que ela não depende de dispositivos eletrônicos para armazenar os dados da chave privada. Isso pode fornecer muita segurança, especialmente se você estiver usando um computador em rede que outros usuários possam acessar online.
Estou recebendo um erro de entrada corrompido quando faço backup da minha chave privada GPG.
Esse problema ocorre sempre que o paperkey lê um arquivo com um tipo de dados incorreto. A causa mais comum para esse tipo de dados incorreto é uma chave privada GPG protegida por ASCII. Para corrigir isso, você precisa remover a --armor
opção do comando de exportação GPG.
É possível converter meu paperkey em um formato de imagem diferente?
Como o paperkey fornece apenas dados binários brutos, é possível usar diferentes programas de geração de imagens para criar sua própria “imagem de backup do paperkey”.
Por exemplo, você pode instalar o código de barras GNU e executar: paperkey --secret-key qr-private.gpg --output-type raw | barcode -S > private.svg
para criar um código de barras SVG do seu arquivo secreto principal.
Crédito da imagem: Atenciosamente Media via Unsplash . Todas as alterações e screenshots por Ramces Red.
Deixe um comentário