#pgp — Public Fediverse posts
Live and recent posts from across the Fediverse tagged #pgp, aggregated by home.social.
-
I wonder if it would benefit some social networks to integrate a PGP/GPG style "trust" (https://phildev.net/pgp/gpgtrust.html) into user accounts.
Accounts could 'trust' other accounts with varying levels so as to vet them for others. Maybe use QR codes for in-person 'signing'?
This may be an effective way to reduce unwanted AI/bot activity since the approach is toward verifying "I know and trust this person" rather than how some karma or reputation systems work.
-
I wonder if it would benefit some social networks to integrate a PGP/GPG style "trust" (https://phildev.net/pgp/gpgtrust.html) into user accounts.
Accounts could 'trust' other accounts with varying levels so as to vet them for others. Maybe use QR codes for in-person 'signing'?
This may be an effective way to reduce unwanted AI/bot activity since the approach is toward verifying "I know and trust this person" rather than how some karma or reputation systems work.
-
I wonder if it would benefit some social networks to integrate a PGP/GPG style "trust" (https://phildev.net/pgp/gpgtrust.html) into user accounts.
Accounts could 'trust' other accounts with varying levels so as to vet them for others. Maybe use QR codes for in-person 'signing'?
This may be an effective way to reduce unwanted AI/bot activity since the approach is toward verifying "I know and trust this person" rather than how some karma or reputation systems work.
-
I wonder if it would benefit some social networks to integrate a PGP/GPG style "trust" (https://phildev.net/pgp/gpgtrust.html) into user accounts.
Accounts could 'trust' other accounts with varying levels so as to vet them for others. Maybe use QR codes for in-person 'signing'?
This may be an effective way to reduce unwanted AI/bot activity since the approach is toward verifying "I know and trust this person" rather than how some karma or reputation systems work.
-
I wonder if it would benefit some social networks to integrate a PGP/GPG style "trust" (https://phildev.net/pgp/gpgtrust.html) into user accounts.
Accounts could 'trust' other accounts with varying levels so as to vet them for others. Maybe use QR codes for in-person 'signing'?
This may be an effective way to reduce unwanted AI/bot activity since the approach is toward verifying "I know and trust this person" rather than how some karma or reputation systems work.
-
Missing Link: Aus für De-Mail – warum das „@“ das eingekringelte „e“ besiegte
Ende 2026 wird der letzte juristische Schritt vollzogen, die 2012 gestartete De-Mail aus dem Verkehr zu ziehen. Das System scheiterte an der Realität.
#BSI #DeMail #Digitalisierung #EMail #MissingLink #Netzpolitik #PGP #Verschlüsselung #news
-
De-Mail: Delivery Fiction with Pitfalls
By late 2026, the final legal step will be taken to withdraw De-Mail, a 2012 service. The system failed against reality.
#BSI #DeMail #Digitalisierung #EMail #MissingLink #Netzpolitik #PGP #Verschlüsselung #news
-
Getting a verified lock icon for my signed Git commits took longer than expected! It’s all set up now in the end via SSH keys (and not GPG keys) on Codeberg. Email matching was the main culprit.
It's my first time setting up signing commits and I tested it on my new Gist repo!
<https://codeberg.org/burgeonlab/gists>
Hope to add more to it in the near future.
View full note on my website: https://burgeonlab.com/notes/2026/0523-105727/
#100daystooffload #git #gpg #pgp #ssh #codeberg #signingkeys #gists #gist
-
Getting a verified lock icon for my signed Git commits took longer than expected! It’s all set up now in the end via SSH keys (and not GPG keys) on Codeberg. Email matching was the main culprit.
It's my first time setting up signing commits and I tested it on my new Gist repo!
<https://codeberg.org/burgeonlab/gists>
Hope to add more to it in the near future.
View full note on my website: https://burgeonlab.com/notes/2026/0523-105727/
#100daystooffload #git #gpg #pgp #ssh #codeberg #signingkeys #gists #gist
-
Getting a verified lock icon for my signed Git commits took longer than expected! It’s all set up now in the end via SSH keys (and not GPG keys) on Codeberg. Email matching was the main culprit.
It's my first time setting up signing commits and I tested it on my new Gist repo!
<https://codeberg.org/burgeonlab/gists>
Hope to add more to it in the near future.
View full note on my website: https://burgeonlab.com/notes/2026/0523-105727/
#100daystooffload #git #gpg #pgp #ssh #codeberg #signingkeys #gists #gist
-
Getting a verified lock icon for my signed Git commits took longer than expected! It’s all set up now in the end via SSH keys (and not GPG keys) on Codeberg. Email matching was the main culprit.
It's my first time setting up signing commits and I tested it on my new Gist repo!
<https://codeberg.org/burgeonlab/gists>
Hope to add more to it in the near future.
View full note on my website: https://burgeonlab.com/notes/2026/0523-105727/
#100daystooffload #git #gpg #pgp #ssh #codeberg #signingkeys #gists #gist
-
Getting a verified lock icon for my signed Git commits took longer than expected! It’s all set up now in the end via SSH keys (and not GPG keys) on Codeberg. Email matching was the main culprit.
It's my first time setting up signing commits and I tested it on my new Gist repo!
<https://codeberg.org/burgeonlab/gists>
Hope to add more to it in the near future.
View full note on my website: https://burgeonlab.com/notes/2026/0523-105727/
#100daystooffload #git #gpg #pgp #ssh #codeberg #signingkeys #gists #gist
-
Playing around with Sequoia-PGP again. And it just strikes me how easy it makes it. This time I played with
sqopinstead ofsq.$ sqop generate-key > key.asc
$ cat file | sqop encrypt key.pub > file.asc
$ cat file.asc | sqop decrypt key.asc > file2
$ sha256sum file file2 | cut -d\ -f1 | uniq -c
2 34fbc467b8c62...Try doing that
gpgwithout needing any$HOME/.gnupgdirectory. And then try putting that in a script run by some locked-down user via a cron job.(I know this should be signed as well, not dug into that yet.)
-
Playing around with Sequoia-PGP again. And it just strikes me how easy it makes it. This time I played with
sqopinstead ofsq.$ sqop generate-key > key.asc
$ cat file | sqop encrypt key.pub > file.asc
$ cat file.asc | sqop decrypt key.asc > file2
$ sha256sum file file2 | cut -d\ -f1 | uniq -c
2 34fbc467b8c62...Try doing that
gpgwithout needing any$HOME/.gnupgdirectory. And then try putting that in a script run by some locked-down user via a cron job.(I know this should be signed as well, not dug into that yet.)
-
Playing around with Sequoia-PGP again. And it just strikes me how easy it makes it. This time I played with
sqopinstead ofsq.$ sqop generate-key > key.asc
$ cat file | sqop encrypt key.pub > file.asc
$ cat file.asc | sqop decrypt key.asc > file2
$ sha256sum file file2 | cut -d\ -f1 | uniq -c
2 34fbc467b8c62...Try doing that
gpgwithout needing any$HOME/.gnupgdirectory. And then try putting that in a script run by some locked-down user via a cron job.(I know this should be signed as well, not dug into that yet.)
-
Playing around with Sequoia-PGP again. And it just strikes me how easy it makes it. This time I played with
sqopinstead ofsq.$ sqop generate-key > key.asc
$ cat file | sqop encrypt key.pub > file.asc
$ cat file.asc | sqop decrypt key.asc > file2
$ sha256sum file file2 | cut -d\ -f1 | uniq -c
2 34fbc467b8c62...Try doing that
gpgwithout needing any$HOME/.gnupgdirectory. And then try putting that in a script run by some locked-down user via a cron job.(I know this should be signed as well, not dug into that yet.)
-
Playing around with Sequoia-PGP again. And it just strikes me how easy it makes it. This time I played with
sqopinstead ofsq.$ sqop generate-key > key.asc
$ cat file | sqop encrypt key.pub > file.asc
$ cat file.asc | sqop decrypt key.asc > file2
$ sha256sum file file2 | cut -d\ -f1 | uniq -c
2 34fbc467b8c62...Try doing that
gpgwithout needing any$HOME/.gnupgdirectory. And then try putting that in a script run by some locked-down user via a cron job.(I know this should be signed as well, not dug into that yet.)
-
Der @HmbBfDI macht eine Veranstaltung zum #DiDay !
Am 4.6. von 10 - 11 Uhr wird eine Videokonferenz zum Thema
"Du möchtest deine E-Mail-Kommunikation unabhängiger gestalten und dich von großen Internetkonzernen lösen? Dann bist du hier genau richtig!"
angeboten.Termine DiDay:
https://events.diday.org/events/c9a1d6b5-aa53-438e-821f-84b51963e922Link für den 4. Juni: Anmeldung nicht nötig.
https://bbb.hmbbfdi.de/rooms/v2h-sup-6wu-woy/join#Datenschutz #sichermailen #pgp ? #hmbbfdi #dutgemacht #didit
-
Der @HmbBfDI macht eine Veranstaltung zum #DiDay !
Am 4.6. von 10 - 11 Uhr wird eine Videokonferenz zum Thema
"Du möchtest deine E-Mail-Kommunikation unabhängiger gestalten und dich von großen Internetkonzernen lösen? Dann bist du hier genau richtig!"
angeboten.Termine DiDay:
https://events.diday.org/events/c9a1d6b5-aa53-438e-821f-84b51963e922Link für den 4. Juni: Anmeldung nicht nötig.
https://bbb.hmbbfdi.de/rooms/v2h-sup-6wu-woy/join#Datenschutz #sichermailen #pgp ? #hmbbfdi #dutgemacht #didit
-
Der @HmbBfDI macht eine Veranstaltung zum #DiDay !
Am 4.6. von 10 - 11 Uhr wird eine Videokonferenz zum Thema
"Du möchtest deine E-Mail-Kommunikation unabhängiger gestalten und dich von großen Internetkonzernen lösen? Dann bist du hier genau richtig!"
angeboten.Termine DiDay:
https://events.diday.org/events/c9a1d6b5-aa53-438e-821f-84b51963e922Link für den 4. Juni: Anmeldung nicht nötig.
https://bbb.hmbbfdi.de/rooms/v2h-sup-6wu-woy/join#Datenschutz #sichermailen #pgp ? #hmbbfdi #dutgemacht #didit
-
I've been running #Tumpa CLI for a while on a few selected
gitrepositories, where I use #yubikey for the #PGP key storage.https://github.com/tumpaproject/tumpa-cli
Today I have globally replaced
gpg2withtcliandtcligin thegit config. It does the job very well and is far less annoying thangpgever was. Thetcli agentis also much more nicely behaving than thegpg-agent.Thank you, @kushal for an excellent work on Tumpa!
And I'm even more impressed that Tumpa even handles multiple Yubikeys plugged in in parallel. It selects the right key for the right identity and the
tcli agenteven caches the needed passphrase/PIN as expected. This is something which was a complete mess with GnuPG. -
I've been running #Tumpa CLI for a while on a few selected
gitrepositories, where I use #yubikey for the #PGP key storage.https://github.com/tumpaproject/tumpa-cli
Today I have globally replaced
gpg2withtcliandtcligin thegit config. It does the job very well and is far less annoying thangpgever was. Thetcli agentis also much more nicely behaving than thegpg-agent.Thank you, @kushal for an excellent work on Tumpa!
And I'm even more impressed that Tumpa even handles multiple Yubikeys plugged in in parallel. It selects the right key for the right identity and the
tcli agenteven caches the needed passphrase/PIN as expected. This is something which was a complete mess with GnuPG. -
I've been running #Tumpa CLI for a while on a few selected
gitrepositories, where I use #yubikey for the #PGP key storage.https://github.com/tumpaproject/tumpa-cli
Today I have globally replaced
gpg2withtcliandtcligin thegit config. It does the job very well and is far less annoying thangpgever was. Thetcli agentis also much more nicely behaving than thegpg-agent.Thank you, @kushal for an excellent work on Tumpa!
And I'm even more impressed that Tumpa even handles multiple Yubikeys plugged in in parallel. It selects the right key for the right identity and the
tcli agenteven caches the needed passphrase/PIN as expected. This is something which was a complete mess with GnuPG. -
I've been running #Tumpa CLI for a while on a few selected
gitrepositories, where I use #yubikey for the #PGP key storage.https://github.com/tumpaproject/tumpa-cli
Today I have globally replaced
gpg2withtcliandtcligin thegit config. It does the job very well and is far less annoying thangpgever was. Thetcli agentis also much more nicely behaving than thegpg-agent.Thank you, @kushal for an excellent work on Tumpa!
And I'm even more impressed that Tumpa even handles multiple Yubikeys plugged in in parallel. It selects the right key for the right identity and the
tcli agenteven caches the needed passphrase/PIN as expected. This is something which was a complete mess with GnuPG. -
I've been running #Tumpa CLI for a while on a few selected
gitrepositories, where I use #yubikey for the #PGP key storage.https://github.com/tumpaproject/tumpa-cli
Today I have globally replaced
gpg2withtcliandtcligin thegit config. It does the job very well and is far less annoying thangpgever was. Thetcli agentis also much more nicely behaving than thegpg-agent.Thank you, @kushal for an excellent work on Tumpa!
And I'm even more impressed that Tumpa even handles multiple Yubikeys plugged in in parallel. It selects the right key for the right identity and the
tcli agenteven caches the needed passphrase/PIN as expected. This is something which was a complete mess with GnuPG. -
@mailbox_org #PGP ist leider zu kompliziert und und zu uneinheitlich umgesetzt. Geht mit #Thunderbird ganz gut, auf Android ist man von einem quasi ungepflegten #OpenKeyChain abhängig, auf iOS von unfreien Apps. Und vom Synchronisieren der Schlüssel über mehrere Geräte hinweg reden wir lieber gar nicht erst.
Mit #DeltaChat geht das deutlich bequemer, aber das würde ich eher gesondert betrachten.
-
@mailbox_org #PGP ist leider zu kompliziert und und zu uneinheitlich umgesetzt. Geht mit #Thunderbird ganz gut, auf Android ist man von einem quasi ungepflegten #OpenKeyChain abhängig, auf iOS von unfreien Apps. Und vom Synchronisieren der Schlüssel über mehrere Geräte hinweg reden wir lieber gar nicht erst.
Mit #DeltaChat geht das deutlich bequemer, aber das würde ich eher gesondert betrachten.
-
@mailbox_org #PGP ist leider zu kompliziert und und zu uneinheitlich umgesetzt. Geht mit #Thunderbird ganz gut, auf Android ist man von einem quasi ungepflegten #OpenKeyChain abhängig, auf iOS von unfreien Apps. Und vom Synchronisieren der Schlüssel über mehrere Geräte hinweg reden wir lieber gar nicht erst.
Mit #DeltaChat geht das deutlich bequemer, aber das würde ich eher gesondert betrachten.
-
@mailbox_org #PGP ist leider zu kompliziert und und zu uneinheitlich umgesetzt. Geht mit #Thunderbird ganz gut, auf Android ist man von einem quasi ungepflegten #OpenKeyChain abhängig, auf iOS von unfreien Apps. Und vom Synchronisieren der Schlüssel über mehrere Geräte hinweg reden wir lieber gar nicht erst.
Mit #DeltaChat geht das deutlich bequemer, aber das würde ich eher gesondert betrachten.
-
@mailbox_org #PGP ist leider zu kompliziert und und zu uneinheitlich umgesetzt. Geht mit #Thunderbird ganz gut, auf Android ist man von einem quasi ungepflegten #OpenKeyChain abhängig, auf iOS von unfreien Apps. Und vom Synchronisieren der Schlüssel über mehrere Geräte hinweg reden wir lieber gar nicht erst.
Mit #DeltaChat geht das deutlich bequemer, aber das würde ich eher gesondert betrachten.
-
Nachdem ich es endlich geschafft hatte, den lästigen #PGP Fehler bei jedem #Librewolf Update abzustellen, geht das jetzt wieder los.
Überlegte, zum #Zen-Browser zu wechseln, doch dafür soll ich ein veraltetes #ffmpeg installieren. Kommt nicht infrage.
Geht es also zurück zu #Vivaldi … ups, seit der Neuinstallation noch gar nicht wieder installiert. Dann erst mal schauen, wie die zum #KI-Müll stehen.
#Dillo #Dooble und #qutebrowser sind ja feine Werkzeuge, die immer mal wieder zum Einsatz kommen. Aber für den täglichen Gebrauch kann ich nicht auf die Informationen verzichten, die mir #uBlock und #uMatrix liefern.
(Und wenn mir jetzt Brave vorgeschlagen wird: MIT SICHERHEIT NIEMALS!)
-
Nachdem ich es endlich geschafft hatte, den lästigen #PGP Fehler bei jedem #Librewolf Update abzustellen, geht das jetzt wieder los.
Überlegte, zum #Zen-Browser zu wechseln, doch dafür soll ich ein veraltetes #ffmpeg installieren. Kommt nicht infrage.
Geht es also zurück zu #Vivaldi … ups, seit der Neuinstallation noch gar nicht wieder installiert. Dann erst mal schauen, wie die zum #KI-Müll stehen.
#Dillo #Dooble und #qutebrowser sind ja feine Werkzeuge, die immer mal wieder zum Einsatz kommen. Aber für den täglichen Gebrauch kann ich nicht auf die Informationen verzichten, die mir #uBlock und #uMatrix liefern.
(Und wenn mir jetzt Brave vorgeschlagen wird: MIT SICHERHEIT NIEMALS!)
-
Nachdem ich es endlich geschafft hatte, den lästigen #PGP Fehler bei jedem #Librewolf Update abzustellen, geht das jetzt wieder los.
Überlegte, zum #Zen-Browser zu wechseln, doch dafür soll ich ein veraltetes #ffmpeg installieren. Kommt nicht infrage.
Geht es also zurück zu #Vivaldi … ups, seit der Neuinstallation noch gar nicht wieder installiert. Dann erst mal schauen, wie die zum #KI-Müll stehen.
#Dillo #Dooble und #qutebrowser sind ja feine Werkzeuge, die immer mal wieder zum Einsatz kommen. Aber für den täglichen Gebrauch kann ich nicht auf die Informationen verzichten, die mir #uBlock und #uMatrix liefern.
(Und wenn mir jetzt Brave vorgeschlagen wird: MIT SICHERHEIT NIEMALS!)
-
Nachdem ich es endlich geschafft hatte, den lästigen #PGP Fehler bei jedem #Librewolf Update abzustellen, geht das jetzt wieder los.
Überlegte, zum #Zen-Browser zu wechseln, doch dafür soll ich ein veraltetes #ffmpeg installieren. Kommt nicht infrage.
Geht es also zurück zu #Vivaldi … ups, seit der Neuinstallation noch gar nicht wieder installiert. Dann erst mal schauen, wie die zum #KI-Müll stehen.
#Dillo #Dooble und #qutebrowser sind ja feine Werkzeuge, die immer mal wieder zum Einsatz kommen. Aber für den täglichen Gebrauch kann ich nicht auf die Informationen verzichten, die mir #uBlock und #uMatrix liefern.
(Und wenn mir jetzt Brave vorgeschlagen wird: MIT SICHERHEIT NIEMALS!)
-
Nachdem ich es endlich geschafft hatte, den lästigen #PGP Fehler bei jedem #Librewolf Update abzustellen, geht das jetzt wieder los.
Überlegte, zum #Zen-Browser zu wechseln, doch dafür soll ich ein veraltetes #ffmpeg installieren. Kommt nicht infrage.
Geht es also zurück zu #Vivaldi … ups, seit der Neuinstallation noch gar nicht wieder installiert. Dann erst mal schauen, wie die zum #KI-Müll stehen.
#Dillo #Dooble und #qutebrowser sind ja feine Werkzeuge, die immer mal wieder zum Einsatz kommen. Aber für den täglichen Gebrauch kann ich nicht auf die Informationen verzichten, die mir #uBlock und #uMatrix liefern.
(Und wenn mir jetzt Brave vorgeschlagen wird: MIT SICHERHEIT NIEMALS!)
-
https://aerion.3df.io/
Its giving strong cyberpunk vibes with those colors -
https://aerion.3df.io/
Its giving strong cyberpunk vibes with those colors -
ℹ️ Kleines Update zum Projekt #sichereMails
Tatsächlich gibt es inzwischen erste Kontakte, die teils sogar automatisiert unser #PGP erkannt haben und es jetzt auch nutzen.
Die häufigste Rückmeldung ist jedoch, dass der "komische Anhang" in unseren Mails nicht geöffnet werden kann.
Die Ironie dabei ist, dass diese Frage auch von Kontakten kam, die #PGP offiziell nutzen ...Und bei euch so?
#OpenPGP #GPG4win #E2EE #EMClient #Thunderbird #Outlook #DID #DUT #CyberSecurity
-
ℹ️ Kleines Update zum Projekt #sichereMails
Tatsächlich gibt es inzwischen erste Kontakte, die teils sogar automatisiert unser #PGP erkannt haben und es jetzt auch nutzen.
Die häufigste Rückmeldung ist jedoch, dass der "komische Anhang" in unseren Mails nicht geöffnet werden kann.
Die Ironie dabei ist, dass diese Frage auch von Kontakten kam, die #PGP offiziell nutzen ...Und bei euch so?
#OpenPGP #GPG4win #E2EE #EMClient #Thunderbird #Outlook #DID #DUT #CyberSecurity
-
ℹ️ Kleines Update zum Projekt #sichereMails
Tatsächlich gibt es inzwischen erste Kontakte, die teils sogar automatisiert unser #PGP erkannt haben und es jetzt auch nutzen.
Die häufigste Rückmeldung ist jedoch, dass der "komische Anhang" in unseren Mails nicht geöffnet werden kann.
Die Ironie dabei ist, dass diese Frage auch von Kontakten kam, die #PGP offiziell nutzen ...Und bei euch so?
#OpenPGP #GPG4win #E2EE #EMClient #Thunderbird #Outlook #DID #DUT #CyberSecurity
-
ℹ️ Kleines Update zum Projekt #sichereMails
Tatsächlich gibt es inzwischen erste Kontakte, die teils sogar automatisiert unser #PGP erkannt haben und es jetzt auch nutzen.
Die häufigste Rückmeldung ist jedoch, dass der "komische Anhang" in unseren Mails nicht geöffnet werden kann.
Die Ironie dabei ist, dass diese Frage auch von Kontakten kam, die #PGP offiziell nutzen ...Und bei euch so?
#OpenPGP #GPG4win #E2EE #EMClient #Thunderbird #Outlook #DID #DUT #CyberSecurity
-
ℹ️ Kleines Update zum Projekt #sichereMails
Tatsächlich gibt es inzwischen erste Kontakte, die teils sogar automatisiert unser #PGP erkannt haben und es jetzt auch nutzen.
Die häufigste Rückmeldung ist jedoch, dass der "komische Anhang" in unseren Mails nicht geöffnet werden kann.
Die Ironie dabei ist, dass diese Frage auch von Kontakten kam, die #PGP offiziell nutzen ...Und bei euch so?
#OpenPGP #GPG4win #E2EE #EMClient #Thunderbird #Outlook #DID #DUT #CyberSecurity
-
Are you on the safe side yet? 🛡️
In an era of sophisticated phishing and data breaches, relying on passwords or SMS codes is like locking your front door but leaving the key under the mat. For a robust level of private security, I’ve integrated Yubico Yubikey into my daily routine as the ultimate hardware root of trust.
The true value of "Cold" Security
Hardware authenticators offer unparalleled security. Their physical nature means cryptographic keys are embedded directly, making them impossible to copy, extract, or steal remotely. No physical device, no access. Period.
My "Strict Security" Setup
I’ve minimized my attack surface by removing the weakest links:
1. Phone-Free: I have disabled phone number linkage and SMS authentication wherever possible to eliminate SIM-swapping risks.
2. Passwordless: Where supported, I use FIDO2/WebAuthn. No password means no password can be phished.
3. The Backup Rule: I use a minimum of two keys. My primary key is always with me, and a backup key is hidden in a secure, off-site location.
Hardware-Signed Workflow
I leverage the full multi-protocol potential of the key:
- GPG & Git: I use GPG primarily for signing git commits. When I push code, I am physically "touching" the hardware to sign that digital information.
- PIV/SSH: Secure access to servers without resident private keys on the machine.
- OTP & Static Passwords: Bridges for legacy services.
The Vault Strategy
For passwords and sensitive metadata, I rely on Bitwarden. Access to my vault is strictly locked behind my hardware keys.
> No, I'm not "that paranoid" ... yet. But I do keep an eye on the compromise of central servers. That’s why I’m planning to implement a fully self-hosted, self-controlled vault solution soon.
I’d love to hear your thoughts – what are your favorite self-hosted security stacks?
#CyberSecurity #YubiKey #Bitwarden #Infosec #Privacy #MFA #PGP #SSH #SecurityEngineering #SelfHosted
-
Are you on the safe side yet? 🛡️
In an era of sophisticated phishing and data breaches, relying on passwords or SMS codes is like locking your front door but leaving the key under the mat. For a robust level of private security, I’ve integrated Yubico Yubikey into my daily routine as the ultimate hardware root of trust.
The true value of "Cold" Security
Hardware authenticators offer unparalleled security. Their physical nature means cryptographic keys are embedded directly, making them impossible to copy, extract, or steal remotely. No physical device, no access. Period.
My "Strict Security" Setup
I’ve minimized my attack surface by removing the weakest links:
1. Phone-Free: I have disabled phone number linkage and SMS authentication wherever possible to eliminate SIM-swapping risks.
2. Passwordless: Where supported, I use FIDO2/WebAuthn. No password means no password can be phished.
3. The Backup Rule: I use a minimum of two keys. My primary key is always with me, and a backup key is hidden in a secure, off-site location.
Hardware-Signed Workflow
I leverage the full multi-protocol potential of the key:
- GPG & Git: I use GPG primarily for signing git commits. When I push code, I am physically "touching" the hardware to sign that digital information.
- PIV/SSH: Secure access to servers without resident private keys on the machine.
- OTP & Static Passwords: Bridges for legacy services.
The Vault Strategy
For passwords and sensitive metadata, I rely on Bitwarden. Access to my vault is strictly locked behind my hardware keys.
> No, I'm not "that paranoid" ... yet. But I do keep an eye on the compromise of central servers. That’s why I’m planning to implement a fully self-hosted, self-controlled vault solution soon.
I’d love to hear your thoughts – what are your favorite self-hosted security stacks?
#CyberSecurity #YubiKey #Bitwarden #Infosec #Privacy #MFA #PGP #SSH #SecurityEngineering #SelfHosted
-
RE: https://infosec.exchange/@pgpkeys/116524105050914478
thanks for the update! So what does that mean for people running WKD's with existing keys? What changes do we need to make?
-
RE: https://infosec.exchange/@pgpkeys/116524105050914478
thanks for the update! So what does that mean for people running WKD's with existing keys? What changes do we need to make?
-
RE: https://infosec.exchange/@pgpkeys/116524105050914478
thanks for the update! So what does that mean for people running WKD's with existing keys? What changes do we need to make?
-
RE: https://infosec.exchange/@pgpkeys/116524105050914478
thanks for the update! So what does that mean for people running WKD's with existing keys? What changes do we need to make?
-
RE: https://infosec.exchange/@pgpkeys/116524105050914478
thanks for the update! So what does that mean for people running WKD's with existing keys? What changes do we need to make?
-
Not altogether sure how I feel about this. That said, it's a good post and it offers some solid food for thought.
https://sequoia-pgp.org/blog/2025/11/15/202511-post-quantum-cryptography/