Цифровые методы хранения SEED.

[satscraper]

Опишу свою свежую "иновацию", которую я стал использовать для хранения своих SEED фраз.

Я использую для этой цели загрузочный флэш-накопитель (8 GB), на котором хранится Tails с заблокированными драйверами связи и постоянным томом, залоченным составным паролем, часть которого хранится в аппаратном ключе, который также содержит мой приватный ed25519 ключ pgp.

Постоянный том содержит базу данных для KeеPassXC,  заблокированную. составным паролем, включающем в себя часть, хранящуюся в аппаратном ключе. Этот пароль отличается от того, которым залочен постоянный том Tails.

В свою очередь, база данных KeePassXC содержит сообщения gpg, соответствующие моим SEED-фразам. Эти сообщения зашифрованы моим аппаратным ключом pgp (смарт-картой), защищенным PIN-кодом. Допускаются только две попытки ввода  неправильнoго PIN-кода. Третья неверная попытка заблокирует доступ к ключу pgp.

Если кому понадобится, привожу gpg код ддля настройки аппаратных ключей

Code:

gpg --allow-secret-key-import --import <path to secret key file>

gpg --expert --edit-key <KeyID>

gpg> toggle

gpg> keytocard

( выбрать Yes и затем 1)

gpg> key 1

gpg>  keytocard

(выбрать Yes и затем 2)

gpg> key 1

gpg> key 2

gpg> keytocard


(выбрать Yes и затем 3)

gpg> quit

Выбрать  No ( Если выбрать Yes, то приватный ключ, импортируемый в аппартный ключ исчезнет из системы 
и вы не сможете использовать его для импорта в другие аппартные ключи с целью бэкапа. 
Это вообщем не страшно, если этот приватный ключ каким-то образом задублирован. 
У меня именно так, он ещё задублирован и gpg зашифрован).

Соответствуюший публичный ключ импортирован в Клеопатру. (База Клеопатры находится тоже в persistent томе Tails)

Таким образом с помощью Клеопатры и аппаратного ключа можно расшифровывать SEED фразы или  шифровать иx и добавлять в зашифрованном виде в базу KeePassXC.

У меня по факту три склонированных Tails  флешки и три аппаратных ключа, каждый из которых является бэкапом остальных двух.


Буду  приветствовать (меритами) любую конструктивная критику по поводу возможных и неизвестных мне точек отказа  моей системы.

Точно также оставляю за собой право удалять  флуд, спам и неконструктивные сообщения общего характера.

[1714733333]

1714733333

[1714733333]

1714733333

[1714733333]

1714733333

[1714733333]

1714733333

[xandry]

Я кажется нашёл самую главную точку отказа в системе и это "KeyPassXC" - похоже на какое-то фишинговое название сайта, где распространяют заразу под видом популярного менеджера паролей "KeePassXC".

К удалению своего сообщения отнесусь с пониманием.

[satscraper]

Я кажется нашёл самую главную точку отказа в системе и это "KeyPassXC" - похоже на какое-то фишинговое название сайта, где распространяют заразу под видом популярного менеджера паролей "KeePassXC".

К удалению своего сообщения отнесусь с пониманием.

Что значит модератор, глаз - алмаз, соринку находит.

Юмор заценил и  исправил опечатку в тесте.

В Tails, KeePassXC уже встроен, точно также как и Клеопатра. Так как моя флешка с Tails предназначена для деликатных операций шифрования ( и соответственно расшировки чувствительной информации) я вообще исключил развёртывание на ней какого-либо софта. На ней только то, что входит в состав дистрибутива. Любые коммуникации с внешним миром отключены.

[Smartprofit]

Я не сомневаюсь, что у вас все максимально грамотно организовано, видно, что система выстроена мощно!
Что могу попытаться отметить по вашему вопросу? Из моего личного опыта, флешки достаточно легко выходят из строя. Время их жизни ограничено. У меня, к примеру половина всех моих флешек (а их было штук 10) вышла из строя - может хранил недостаточно хорошо, но они сейчас полностью нечитаемы.
Однако я вижу, что тут вы подстраховались и используете целых три флешки - это разумная мера предосторожности.
Может трёх флешек недостаточно, все-таки они легко выходят из строя.
При этом, в качестве гипотетической угрозы можно рассмотреть магнитную бурю, способна единомоментно размагнитить все флешки. Вероятность этого небольшая конечно. Однако последствия фатальны! Поэтому возможно нужно параллельно обеспечить аналоговое хранение сидов.
В отношении программной части вашей системы мне сложно, что-то сказать - видно что вы все хорошо продумали. Для меня ваша  система очень сложная.
Три аппаратных ключа, три флешки ... Предположим вы утратите доступ ко всем шести объектам... Вы тогда потеряете все? Предположим вы выйдете из дома, но вам уже не получится вернуться домой и вообще вернуться в этот город ... Вы потеряете все? Ведь доступ к физическим носителям будет утрачен.
Злоумышленник не может завладеть смарт-картой и понять, что это часть какой-то сложной системы защиты информации? Сам факт, что он об этом догадается не является ли потенциальной угрозой?
KeеPassXC действительно безопасная система или потенциально имеет какую-то вероятность превращения в небезопасную систему? Она может неожиданно прекратить работу по какой-то причине?
У меня нет ответа на все эти вопросы. Но может чем-то вам это поможет (а может и нет)... Для меня система кажется сложной, хотя скорее всего именно такая и нужна для обеспечения безопасности.

[satscraper]

флешки достаточно легко выходят из строя. Время их жизни ограничено. У меня, к примеру половина всех моих флешек (а их было штук 10) вышла из строя - может хранил недостаточно хорошо, но они сейчас полностью нечитаемы.
Однако я вижу, что тут вы подстраховались и используете целых три флешки - это разумная мера предосторожности.

Флешка может выйти из строя из-за дефектов в её электронных компонентах, но три флешки одномоментно (даже в течении нескольких месяцев) очень маловероятно. Поэтому если какая-то из моих флешек окажется неработоспособной она легко будет заменена клоном, донором для которого послужит одна из оставшихся флешек.

При этом, в качестве гипотетической угрозы можно рассмотреть магнитную бурю, способна единомоментно размагнитить все флешки.

Флешки не содержат магнитных носителей информации. Информация здесь записывается путём заполнения определённых электронных уровней полупроводника, входящих в состав её  элементов памяти. Поэтому ни магнитные бури ни любые бытовые магнитные/электромагнитные  поля на эту информацию не влияют.

Поэтому возможно нужно параллельно обеспечить аналоговое хранение сидов.

Обеспечено.

Предположим вы выйдете из дома, но вам уже не получится вернуться домой и вообще вернуться в этот город ... Вы потеряете все? Ведь доступ к физическим носителям будет утрачен.

Да, это потенциальная точка отказа. Спасибо, теперь буду всегда носить одну флешку и один ключ вместе с собой куда бы не пошёл или поехал.

Злоумышленник не может завладеть смарт-картой и понять, что это часть какой-то сложной системы защиты информации? Сам факт, что он об этом догадается не является ли потенциальной угрозой?

Пусть догадывается. Он её не взломает даже если завладеет одновременно  и флешкой и смарт картой, которая блокируется при трёх неправильных вводах шестизначного пина.

KeеPassXC действительно безопасная система или потенциально имеет какую-то вероятность превращения в небезопасную систему? Она может неожиданно прекратить работу по какой-то причине?

КееPassXC у меня на флешке. Обновлять менеджер я не собираюсь. Поэтому с этого бока угрозы не существует.