Как гласит заголовок, мне интересно, как я могу безопасно, физически удалить свои личные ключи с моего компьютера. Я не могу найти способ сделать это на Kleopatra. Эти ключи, о которых я говорю, используются только для операций с высокой степенью безопасности. Поэтому я бы предпочел хранить свои личные ключи только на моем доверенном USB-накопителе и нигде больше. Если компьютер, на котором у меня были ключи, был бы скомпрометирован, то моя парольная фраза была бы моей единственной оставшейся линией защиты. Поэтому было бы удобно, если бы я мог безопасно удалить личные ключи, хранящиеся на моем компьютере, и считывать их с моего USB-накопителя, когда они мне понадобятся. Есть ли какие-нибудь предложения, как это сделать?
решение1
На самом деле вы не можете переместить только закрытые ключи, было бы проще переместить весь домашний каталог GnuPG, который обычно является скрытой папкой ~/.gnupg(в Windows — где-то глубоко в скрытой папке AppData).
Если вы переместите эту папку на USB-накопитель, либо используйте параметр GnuPG, --homedirчтобы GnuPG использовал каталог на USB-накопителе, либо задайте переменную среды GNUPGHOME.
Однако рассмотрите возможность использования смарт-карт OpenPGP: при их использовании закрытый ключ остается на смарт-карте и никогда не может быть экспортирован на ваш компьютер. Таким образом, даже при использовании на скомпрометированном компьютере возможный злоумышленник снова потеряет доступ после извлечения карты. Существуют также решения, подключаемые через USB, такие какЮбиКейилиНитрокей.
решение2
Я использовал для удаления всего каталога в домашнем каталоге пользователя secure-delete(в Ubuntu apt-get update && apt-get install secure-delete). Команда — test -d ~/.gnupg && srm -r ~/.gnupg.
Для лучшей установки энтропии apt-get update && apt-get install havegedсоздайте файл конфигурации echo -e "# Configuration file for haveged\nDAEMON_ARGS=\"-w 1024\"" | tee /etc/default/havegedи перезапустите службу test -f /etc/init.d/haveged && /etc/init.d/haveged restart.
Вы должны установить secure-deleteи havegedкак root. Команда srmможет быть запущена от имени любого пользователя с оболочкой. Эти команды я использовал в Ubuntu Xenial ( 16.04 LTS ).
решение3
Скопируйте свой .gnupgкаталог на USB-накопитель.
Затем используйте программу безопасного стирания, чтобы стереть старый .gnupgкаталог; какую программу использовать, зависит от вашей ОС. Не полагайтесь только на удаление файла, так как это оставляет нетронутыми большую часть данных.
Затем запустите GPG с помощью параметра командной строки --homedir <newdir>, гдеnewdir— это каталог GPG на вашем USB-диске.