Almacenar la carpeta GnuPG en Dropbox

8

Me gustaría usar Dropbox para hacer una copia de seguridad de mis claves gpg, en mi humilde opinión, incluso si los administradores de Dropbox obtienen una copia de las claves, aún necesitan la frase de contraseña para usarla, ¿está bien asumir que es seguro hacerlo?

dropbox gnupg Hamza Yerlikaya
fuente
En realidad, no sé qué tipo de cifrado utiliza GPG para proteger sus claves privadas, por lo que no puedo comentar sobre la seguridad, pero no haría esto. Simplemente crearía una clave diferente para cada computadora en la que necesito una, de modo que cada tecla nunca abandone la computadora en la que se creó.
David Z
1
También mantengo los archivos cifrados en el cuadro desplegable al que necesito acceder desde varias máquinas, por lo que necesito sincronizar la misma clave gpg.
Hamza Yerlikaya
en cuyo caso, ¿puede cifrar las claves con algo que puede descifrar en cualquier lugar (un volumen OTFE tal vez) y pegarlo en DropBox? ¿O llevar los archivos de llaves contigo en una memoria USB?
DMA57361

Respuestas:

6

Aconsejaría no hacer esto. Es cierto que necesitan la frase de contraseña, pero siempre debe mantener sus claves privadas bajo su propio control directo. GPG depende del modelo de seguridad que requiera algo que usted sepa (la frase de contraseña) y algo que tenga (la clave). Al permitir que su clave salga a la luz, corre el riesgo de derrotar por completo la mitad del esquema de autenticación. Dudo que los empleados de DropBox alguna vez lo crucen intencionalmente, pero si tuvieran una violación de seguridad que permitiera que un atacante externo obtuviera acceso, estaría en una mala situación. Sería mucho más seguro mantener una copia de seguridad de sus claves en algún tipo de medio físico, como una unidad flash.

nhinkle
fuente
2
+1 Tu contraseña es el eslabón más débil de la cadena (es mucho más pequeña y mucho más fácil de aplicar fuerza bruta (¡o adivina!) Que cualquier otra parte). Si le das a alguien todo menos la contraseña, bueno, ya ves mi punto ... .
DMA57361
3

Primero, comprenda que "seguro" siempre es relativo. Debería pensar en términos de "lo suficientemente seguro para mi caso de uso", y eso dependerá de usted.

El esquema de GnuPG para proteger las claves secretas es lo mejor que nadie sabe hacer actualmente; genera una clave simétrica a partir de su frase de contraseña, y la utiliza para proteger la clave secreta. Esta clave simétrica nunca se almacena; se deriva de la frase de contraseña cada vez que se requiere.

Esto proporciona una protección bastante fuerte de la clave secreta. Lo suficiente como para que el mejor ataque para recuperar tu clave secreta sea adivinar tu contraseña. O, dicho de otra manera, hacer que su clave secreta sea "semipública" poniéndola en algo como Dropbox significa que su clave es tan segura como la frase de contraseña que eligió para protegerla.

Dado que existen herramientas especialmente diseñadas para descifrar frases de contraseña de GnuPG , y dado que la ley de Moore significa que descifrar contraseñas se vuelve exponencialmente más fácil con el tiempo, necesita una frase de contraseña realmente fuerte para que esto sea seguro.

Dependiendo de lo que proteja su clave secreta, elegir una frase de contraseña decente puede ser lo suficientemente seguro como para arriesgarse a poner la clave en Dropbox; y la conveniencia podría valer el riesgo. Pero la mejor práctica es permitir siempre la clave secreta en la máquina que la generó y una ubicación de copia de seguridad / custodia bajo su control directo (por ejemplo, impreso y colocado en una caja fuerte a prueba de fuego).

DarrenPMeyer
fuente