
<div dir="ltr"><span style="color:rgb(117,117,117)">On 16/10/17 15:35, Niels Kobschaetzki wrote:</span><br style="color:rgb(117,117,117)"><span style="color:rgb(117,117,117)">></span><br style="color:rgb(117,117,117)"><span style="color:rgb(117,117,117)">> The only problem I see might be privacy implications since other people</span><br style="color:rgb(117,117,117)"><span style="color:rgb(117,117,117)">> can publicly see what for sites he is using, if he names his passwords</span><br style="color:rgb(117,117,117)"><span style="color:rgb(117,117,117)">> accordingly. Maybe the user should invest in a github subscription to be</span><br style="color:rgb(117,117,117)"><span style="color:rgb(117,117,117)">> able to create a private repository.</span><br style="color:rgb(117,117,117)"><br><div>Wouldn't the pass-tomb extension help with the privacy issue?</div><div><a href="https://github.com/roddhjav/pass-tomb#readme">https://github.com/roddhjav/pass-tomb#readme</a><br></div><div><br></div><div>I don't personally use it, but it seems like it would help</div><div><br></div><br><div class="gmail_quote"><div dir="ltr">El lun., 16 oct. 2017 a las 12:38, Harmen Stoppels (<<a href="mailto:harmenstoppels@gmail.com">harmenstoppels@gmail.com</a>>) escribió:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div><div>What would be the recommended way (if you don't have a yubikey) to safely copy and store a private key on your android device?<br><br></div>Best,<br><br></div>Harmen<br></div><div class="gmail_extra"><br><div class="gmail_quote">2017-10-16 7:34 GMT+02:00 Thibault JAMET <span dir="ltr"><<a href="mailto:thibault.jamet+pass@gmail.com" target="_blank">thibault.jamet+pass@gmail.com</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Hi,<div><br></div><div>Mi personal setup is a bit different.</div><div>I am using a yubikey to store my private gpg key and have published the public one.</div><div>I am also using the gpg-agent as an ssh-daemon, so that it uses the yubikey's gpg key.</div><div>Thus, none of my keys are written to disk nor has to be sync'd.</div><div>My password store repo is sync'd with git on a repo hosted on a private server.</div><div><br></div><div>To import the repo on a new computer I:</div><div>- download my public key ( gpg search <user.email>)<br></div><div>- edit the gpg config to use it as a ssh agent</div><div>- synchronize gpg agent  (gpg --card-status)</div><div>- clone my password-store repository</div><div><br></div><div>I personally do not wish to rely on the passphrase, not secure enough to me, as if your passphrase leaks, you still have the opportunity to change it and keep the same key if you always kept the private key private. In other cases, you will have to rotate your private key every time you have to rotate your passphrase.</div><div><br></div><div>Best regards,</div><div><br></div><div>Thibault</div><div><div class="m_-3796731138235207682h5"><div><br></div><div><br><div class="gmail_quote"><div dir="ltr">Le lun. 16 oct. 2017 à 06:43, Radon Rosborough <<a href="mailto:radon.neon@gmail.com" target="_blank">radon.neon@gmail.com</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">The way I've set it up, all of my passwords are random except for<br>

three: my GitHub password, my SSH passphrase, and my GPG passphrase.<br>

So when I set up a new machine, I clone my SSH keys from GitHub using<br>

HTTPS; then I can clone any of my other repositories using SSH,<br>

including my GPG keyring and my Pass repository. Finally, I can use my<br>

GPG keyring to unlock any of my other passwords.<br>

<br>

Certainly there are security implications to having my SSH and GPG<br>

keys, as well as all my passwords, in private GitHub repositories.<br>

However, I set up my security model under the assumption that if my<br>

master passphrases are compromised then any other protection is just<br>

security-through-obscurity. The idea is that an attacker would need to<br>

get (machine access + GPG passphrase) or (GitHub password + GPG<br>

passphrase) in order to compromise everything. Then it's a matter of<br>

religiously using a dedicated pinentry program to enter the master GPG<br>

passphrase, to avoid most attack vectors.<br>

_______________________________________________<br>

Password-Store mailing list<br>

<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank">Password-Store@lists.zx2c4.com</a><br>

<a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br>

</blockquote></div></div></div></div></div>

<br>_______________________________________________<br>

Password-Store mailing list<br>

<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank">Password-Store@lists.zx2c4.com</a><br>

<a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br>

<br></blockquote></div><br></div>

_______________________________________________<br>

Password-Store mailing list<br>

<a href="mailto:Password-Store@lists.zx2c4.com" target="_blank">Password-Store@lists.zx2c4.com</a><br>

<a href="https://lists.zx2c4.com/mailman/listinfo/password-store" rel="noreferrer" target="_blank">https://lists.zx2c4.com/mailman/listinfo/password-store</a><br>

</blockquote></div></div>