Come gestire le chiavi private PGP?

2

Sto cercando di trovare un modo per proteggere i file che verranno archiviati su un'unità accessibile al pubblico. L'utilizzo delle autorizzazioni non è un'opzione in questo caso, quindi ho intenzione di crittografare i file utilizzando PGP (o GPG).

È fondamentale che i file siano rapidamente accessibili in caso di emergenza (si tratta di file di backup per alcuni database importanti), probabilmente due o tre anni lungo la strada, ma solo per uno di circa cinque persone.

Sarebbe facile se queste cinque persone fossero utenti esperti di GPG, ma la maggior parte delle persone nel team sono utenti di GPG molto occasionali / occasionali.

La mia idea generale è di creare una chiave GPG per lo scopo specifico e di distribuirla al team.

Ecco le mie preoccupazioni:

  • Gli utenti occasionali potrebbero semplicemente dimenticare di avere persino la chiave, o di dimenticare la passphrase sul loro portachiavi o sulla stessa chiave GPG.
  • Le nostre workstation vengono sostituite su base abbastanza regolare e gli utenti possono dimenticare di trasferire il proprio portachiavi GPG (o la chiave GPG).

Nel contesto di questa domanda, non sono preoccupato per problemi di usabilità (come non ricordare come usare gpg) - Lo affronterò separatamente con scripting e documentazione in una knowledge base.

Ovviamente avremo una copia aggiuntiva della chiave su una chiavetta USB in un vault, ma sto cercando altri modi per tenere la chiave al sicuro, ma tenerla disponibile rapidamente in caso di emergenza.

    
posta Kevin Keane 08.06.2018 - 18:47
fonte

3 risposte

1

Si tratta di un'impostazione aziendale?

In questo caso, crea una chiave senza passphrase, stampa la chiave su carta, la infila in una busta e consegnala al reparto risorse umane o finanziario. Probabilmente sono abituati a tenere le cose in giro per tempi lunghi e dovrebbero avere procedure adeguate per mantenere la segretezza.

Poiché è su carta, è un formato che conosciamo le proprietà di archiviazione di; una buona carta mantiene facilmente le informazioni leggibili per dieci anni. Quando hai bisogno della chiave, esegui l'OCR. Se lo stampi in formato OCR esadecimale sarà molto preciso. Potresti anche includere il codice QR, che è ancora più veloce da decodificare. Caso peggiore? Perforarlo a mano - questo probabilmente ti richiederebbe un'ora o due, ma fattibile.

Quello che stai facendo è essenzialmente scambiare un grande segreto difficile da mantenere per un segreto piccolo e facile da mantenere.

    
risposta data 08.06.2018 - 20:10
fonte
0

Puoi usare GnuPG con le chiavi simmetriche invece di fare la crittografia a chiave pubblica / privata asimmetrica. Ci sono molti aspetti positivi: può essere una semplice passphrase lunga come "corretta batteria a cavallo", che è facile da condividere e da digitare per il processo di ripristino (sicuramente molto meno doloroso rispetto alle chiavi private).

Lo svantaggio principale è che bisogna fare attenzione a come sono impostati i processi di backup, per assicurarsi che la chiave simmetrica non sia esposta allo sniffing da parte di altri processi. Un software come la duplicità lo gestisce abbastanza bene.

    
risposta data 09.06.2018 - 06:33
fonte
-1

Il pubblico significa il mondo? Se si tratta di una rete privata, è possibile configurare le autorizzazioni di r / w dei file per i singoli utenti e bloccare i diritti di accesso a tutti gli altri senza necessariamente crittografare i file. Ciò impedirà l'accesso a tutti gli altri. La modifica delle workstation non influisce sull'accesso poiché è legato agli utenti specifici e non alle workstation.

    
risposta data 08.06.2018 - 19:48
fonte

Leggi altre domande sui tag