Menyimpan folder GnuPG di Dropbox

8

Saya ingin menggunakan dropbox untuk membuat cadangan kunci gpg saya, IMHO bahkan jika admin dropbox mendapatkan salinan kunci mereka masih memerlukan kata sandi untuk menggunakannya jadi apakah boleh untuk menganggap ini aman untuk dilakukan?

dropbox gnupg Hamza Yerlikaya
sumber
Saya sebenarnya tidak tahu jenis enkripsi yang digunakan GPG untuk melindungi kunci privatnya, jadi saya tidak bisa mengomentari keamanannya, tetapi saya tidak akan melakukan ini. Saya baru saja membuat kunci yang berbeda untuk setiap komputer yang saya perlukan, sehingga setiap kunci tidak pernah meninggalkan komputer yang dibuatnya.
David Z
1
Saya juga menyimpan file terenkripsi di drop box yang perlu saya akses dari beberapa mesin jadi saya perlu menyinkronkan kunci gpg yang sama.
Hamza Yerlikaya
dalam hal apa Anda bisa mengenkripsi kunci dengan sesuatu yang Anda bisa tidak mengenkripsi di mana saja (volume OTFE mungkin) dan menempelkannya di DropBox? Atau membawa file-file utama bersamamu di USB stick?
DMA57361

Jawaban:

6

Saya akan menyarankan untuk tidak melakukan ini. Benar, mereka membutuhkan kata sandi, tetapi Anda harus selalu menjaga kunci pribadi Anda di bawah kendali langsung Anda sendiri. GPG tergantung pada model keamanan yang membutuhkan sesuatu yang Anda ketahui (frasa sandi) dan sesuatu yang Anda miliki (kuncinya). Dengan membiarkan kunci Anda keluar dari sana, Anda menjalankan risiko mengalahkan separuh dari skema otentikasi. Saya ragu bahwa karyawan DropBox akan pernah memintas Anda dengan sengaja, tetapi jika mereka memiliki pelanggaran keamanan yang memungkinkan penyerang pihak ke-3 untuk mendapatkan akses, Anda akan berada dalam situasi yang buruk. Akan jauh lebih aman untuk menyimpan kunci Anda pada beberapa jenis media fisik seperti flash drive.

berpikir
sumber
2
+1 Kata sandi Anda adalah tautan terlemah dalam rantai (itu jauh lebih kecil dan jauh lebih mudah untuk brute force (atau tebak!) Daripada bagian lain mana pun) - jika Anda memberi seseorang segalanya selain kata sandi, well, Anda mengerti maksud saya .. .
DMA57361
3

Pertama, pahami bahwa "aman" selalu relatif. Anda harus berpikir dalam hal " cukup aman untuk kasus penggunaan saya", dan itu pada akhirnya akan terserah Anda.

Skema GnuPG untuk melindungi kunci rahasia adalah yang terbaik yang diketahui siapa pun saat ini; itu menghasilkan kunci simetris dari frasa sandi Anda, dan menggunakan yang melindungi kunci rahasia. Kunci simetris ini tidak pernah disimpan; itu berasal dari frasa sandi setiap kali diperlukan.

Ini memberikan perlindungan yang cukup kuat terhadap kunci rahasia. Cukup bahwa serangan terbaik untuk memulihkan kunci rahasia Anda adalah menebak frasa sandi Anda. Atau, dengan kata lain, menjadikan kunci rahasia Anda "semi-publik" dengan meletakkannya di sesuatu seperti Dropbox berarti bahwa kunci Anda hanya seaman kata sandi yang Anda pilih untuk melindunginya.

Karena ada alat yang dibuat khusus untuk meretas frasa sandi GnuPG , dan karena hukum Moore berarti meretas kata sandi menjadi lebih mudah secara eksponensial dari waktu ke waktu, Anda memerlukan kata sandi yang sangat kuat untuk menjadikannya aman.

Bergantung pada apa yang dilindungi kunci rahasia Anda, memilih kata sandi yang layak mungkin cukup aman sehingga berisiko menempatkan kunci di Dropbox; dan kenyamanan bisa sepadan dengan risikonya. Tetapi praktik terbaik adalah dengan hanya membiarkan kunci rahasia pada mesin yang menghasilkannya dan satu lokasi cadangan / escrow di bawah kendali langsung Anda (misalnya dicetak dan ditempatkan di brankas tahan api).

DarrenPMeyer
sumber