Memorizzazione della cartella GnuPG in Dropbox

8

Vorrei usare Dropbox per il backup delle mie chiavi gpg, IMHO anche se gli amministratori di Dropbox ottengono una copia delle chiavi hanno ancora bisogno della passphrase per usarla, quindi è giusto supporre che sia sicuro farlo?

dropbox gnupg

— Hamza Yerlikaya
fonte

In realtà non so quale tipo di crittografia utilizza GPG per proteggere le sue chiavi private, quindi non posso commentare la sua sicurezza, ma non lo farei. Creerei semplicemente una chiave diversa per ogni computer di cui ho bisogno, in modo che ogni chiave non lasci mai il computer su cui è stata creata.

— David Z,

1

Conservo anche i file crittografati nella casella a cui devo accedere da più macchine, quindi devo sincronizzare la stessa chiave gpg.

— Hamza Yerlikaya,

in tal caso puoi crittografare le chiavi con qualcosa che puoi decodificare ovunque (un volume OTFE forse) e incollarlo su DropBox? O portare i file delle chiavi con te su una chiavetta USB?

— DMA57361

6

Vorrei sconsigliare di farlo. È vero, hanno bisogno della passphrase, ma dovresti comunque tenere sempre le tue chiavi private sotto il tuo controllo diretto. GPG dipende dal modello di sicurezza di richiedere qualcosa che conosci (la passphrase) e qualcosa che hai (la chiave). Lasciando che la tua chiave esca, corri il rischio di sconfiggere completamente la metà dello schema di autenticazione. Dubito che i dipendenti di DropBox ti avrebbero mai attraversato intenzionalmente, ma se avessero avuto una violazione della sicurezza che consentisse a un utente malintenzionato di terze parti di ottenere l'accesso, ti saresti trovato in una brutta situazione. Sarebbe molto più sicuro mantenere il backup delle chiavi su alcuni tipi di supporti fisici come un'unità flash.

— nhinkle
fonte

2

+1 La tua password è l'anello più debole della catena (è molto più piccola e molto più facile da forzare (o indovina!) Rispetto a qualsiasi altra parte) - se dai a qualcuno tutto tranne la password, beh, vedi il mio punto .. .

— DMA57361

3

Innanzitutto, capire che "sicuro" è sempre relativo. Dovresti pensare in termini di " abbastanza sicuro per il mio caso d'uso", e alla fine dipenderà da te.

Lo schema di GnuPG per la protezione delle chiavi segrete è il migliore che chiunque attualmente sappia fare; genera una chiave simmetrica dalla passphrase e utilizza quella chiave protetta. Questa chiave simmetrica non viene mai memorizzata; deriva dalla passphrase ogni volta che è richiesto.

Ciò fornisce una protezione abbastanza forte della chiave segreta. Basta che l'attacco migliore per recuperare la chiave segreta sia indovinare la tua passphrase. Oppure, in altre parole, rendere la tua chiave segreta "semi-pubblica" inserendola in qualcosa come Dropbox significa che la tua chiave è sicura solo come la passphrase che hai scelto di proteggerla.

Dal momento che esistono strumenti appositamente creati per decifrare le passphrase di GnuPG e poiché la legge di Moore significa che decifrare le password diventa esponenzialmente più facile nel tempo, è necessaria una passphrase davvero forte per renderlo sicuro.

A seconda di cosa protegge la tua chiave segreta, scegliere una passphrase decente può essere abbastanza sicuro da rischiare di mettere la chiave su Dropbox; e la convenienza potrebbe valere il rischio. Ma la migliore pratica è di consentire sempre e solo la chiave segreta sulla macchina che l'ha generata e una posizione di backup / deposito sotto il tuo controllo diretto (ad es. Stampato e posto in una cassaforte ignifuga).

— DarrenPMeyer
fonte