Зберігання папки GnuPG в Dropbox

8

Я хотів би використати dropbox для резервного копіювання моїх gpg-ключів, IMHO, навіть якщо адміністратори dropbox отримують копію ключів, вони все ще потребують парольну фразу, щоб використовувати його, чи гаразд припустити, що це безпечно зробити?

dropbox gnupg

— Хамза Єрлікая
джерело

Я насправді не знаю, який тип шифрування GPG використовує для захисту своїх приватних ключів, тому я не можу коментувати безпеку, але я б цього не робив. Я б просто створив інший ключ для кожного комп'ютера, який мені потрібен, і кожен ключ ніколи не залишає комп'ютер, на якому він створений.

— David Z

1

Я також зберігаю зашифровані файли у вікні, що мені потрібно отримати доступ з декількох машин, тому мені потрібно синхронізувати той самий gpg-ключ.

— Hamza Yerlikaya

в такому випадку ви можете зашифрувати ключі чимось, що ви можете розшифрувати де-небудь (можливо, обсяг OTFE) і вставити це на DropBox? Або носити з собою ключі файлів на USB-накопичувачі?

— DMA57361

6

Я б радив не робити цього. Правда, їм потрібна парольна фраза, але ви все одно повинні тримати свої приватні ключі під вашим безпосереднім контролем. GPG залежить від моделі захисту того, щоб вимагати щось, що ви знаєте (пароль) та те, що у вас є (ключ). Дозволяючи вашому ключу вийти там, ви ризикуєте повністю перемогти половину схеми аутентифікації. Я сумніваюся, що співробітники DropBox коли-небудь навмисно перейдуть на вас, але якби вони мали порушення безпеки, що дозволило б сторонній зловмиснику отримати доступ, ви опинилися б у поганій ситуації. Було б набагато безпечніше зберігати свої резервні копії ключів на певному фізичному носії, наприклад, на флеш-диску.

— nhinkle
джерело

2

+1 Ваш пароль - це найслабша ланка в ланцюжку (він набагато менший і настільки простіший у грубій силі (або здогадуєтесь!), Ніж будь-яка інша частина) - якщо ви комусь дасте все, крім пароля, ну, ви бачите мою думку .. .

— DMA57361

3

По-перше, зрозумійте, що "безпечний" завжди відносний. Ви повинні думати з точки зору " достатньо безпечного для мого випадку використання", і це в кінцевому підсумку залежить від вас.

Схема захисту секретних ключів GnuPG - найкраща, яку зараз знає, як це зробити; він генерує симетричний ключ із вашої парольної фрази та використовує захист секретного ключа. Цей симетричний ключ ніколи не зберігається; він виходить із парольної фрази кожного разу, коли це потрібно.

Це забезпечує досить сильний захист секретного ключа. Досить, що найкраща атака для відновлення секретного ключа - вгадування вашої парольної фрази. Або, по-іншому, зробити ваш секретний ключ "напіввідкритим", надягаючи його на щось на зразок Dropbox, означає, що ваш ключ є настільки ж безпечним, як і парольна фраза, яку ви вирішили захистити.

Оскільки існують спеціально створені інструменти для злому паролів GnuPG , а оскільки закон Мура означає, що з часом злом паролів стає експоненціально простішим, вам потрібна справді сильна парольна фраза, щоб зробити це будь-яким безпечним.

Залежно від того, що захищає ваш секретний ключ, вибір гідної парольної фрази може бути досить безпечним, щоб ризикувати помістити ключ на Dropbox; і зручність може бути вартим ризику. Але найкраща практика - це дозволяти лише коли-небудь секретний ключ на машині, яка його генерувала, та одне місце резервного копіювання / депонування під вашим безпосереднім контролем (наприклад, роздруковане та розміщене у вогнестійкому сейфі).

— DarrenPMeyer
джерело