Я недавно рассматривал подобную установку. Прежде чем заняться вашим вопросом, позвольте мне указать, что беспокоит меня об этом. Это подробно объясняется здесь . Короче говоря, когда Pass вызывает GPG, он выполняет ненужную асимметричную (RSA / EC) криптографию под капотом. Ненужное - потому что здесь нет ненадежной стороны.
Это раздражает, потому что асимметричная криптография менее перспективна на будущее, чем симметричная криптография. Например, асимметричная криптография сегодня взломана достаточно большими квантовыми компьютерами, которых пока не существует. В более общем смысле, асимметричная криптография полагается на «математические задачи», которые мы не знаем, как решить, в гораздо большей степени, чем симметричная криптография.
Чтобы смягчить эту слабость, по крайней мере, вы могли бы сохранить открытый ключ GPG, используемый также с Pass private, потому что, например, (потенциальной) квантовой атаке нужен этот открытый ключ: см. Здесь .
Что касается вашего реального вопроса, неясно, намереваетесь ли вы хранить git-репо (с паролями) публично или в частном порядке. Если вы хотите сохранить его в тайне, вы можете делать то, что хотите, и снизить безопасность закрытого ключа GPG до среды, на которой вы создаете резервную копию репо. Однако это может стать проблемой для курицы и яйца: если репозиторий является частным, как вы получите его обратно в случае сбоя? Другими словами, в случае «плохого сбоя», сначала должно быть что-то, что вы извлекаете . Таким образом, вы можете захотеть сохранить конфиденциальность git-репо, но сделайте резервную копию ключа GPG таким образом, чтобы вы могли сначала получить его независимо от чего-либо еще.
Оффлайн-решения для резервного копирования многочисленны, юристы, подвалы и т. Д. См. Здесь . Но подвалы не для всех, поэтому позвольте мне предложить онлайн решение:
Создайте супер-сильную фразу-пароль, которую нельзя вводить годами. Предложение: длинное, запоминающееся неправильное написание фразы, имеющей какое-то личное значение, или из книги, у которой не останется копий, если вам нужно ее найти.
Создайте архив с вашим экспортированным секретным ключом GPG и, возможно, вашими учетными данными SSH.
Зашифровать его симметрично кодовую фразу: gpg --symmetric --armor
.
Создайте бесплатный аккаунт на git хостинге.
Создайте публичный репозиторий, который можно клонировать без учетных данных.
Поместите зашифрованный и бронированный тарный шарик туда.
Чтобы восстановить его после «плохого сбоя»:
Загрузите живую флешку.
Клон публичного репо.
gpg --decrypt
,
Симметричная ключевая фраза будет вашей основной защитой от зомби. Люди иногда не дают вам или анонимному читателю выгоды от сомнений, когда дело доходит до выбора парольных фраз. Но с хорошей парольной фразой симметричное шифрование должно быть твердым.
Когда вы экспортируете свой закрытый ключ GPG, он будет зашифрован собственной парольной фразой. Последние версии GPG не допускают незашифрованный экспорт. Вы можете использовать свою «обычную» парольную фразу GPG здесь. Просто помните, что в случае сбоя вам понадобятся обе парольные фразы, чтобы добраться до вашего закрытого ключа GPG.
Другой ответ на это «в автономном режиме», то есть хранить его в безопасном месте, не подключенном к какому-либо компьютеру. Я храню полную незашифрованную копию всех своих ключей на дискете (я делал это так давно, теперь это стало привычкой) в банковской ячейке. Причина, по которой я держу их незашифрованными в средствах массовой информации в банке, заключается в том, что один из возможных сценариев «потери» ключа - это забыть парольную фразу (мои парольные фразы, как правило, содержат много странных знаков препинания и орфографии, и если забыть только одну из них, это делает их непригодным для использования). Мне никогда не приходилось возвращаться из этой копии, но я планирую худшее.
Кроме того, в СМИ есть ключевой отзыв и записка с указанием моим наследникам, что делать с ним, на случай, если меня больше не будет в наличии.
источник