Armazenando a pasta GnuPG no Dropbox

8

Gostaria de usar o dropbox para fazer backup de minhas chaves de gpg, IMHO, mesmo que os administradores do dropbox obtenham uma cópia das chaves, eles ainda precisam da senha para usá-lo, então é aceitável assumir que isso é seguro?

dropbox gnupg Hamza Yerlikaya
fonte
Na verdade, não sei que tipo de criptografia o GPG usa para proteger suas chaves privadas, por isso não posso comentar sobre a segurança dela, mas não faria isso. Eu apenas criaria uma chave diferente para cada computador em que preciso de uma, para que cada chave nunca saia do computador em que foi criada.
David Z
1
Também mantenho os arquivos criptografados na caixa suspensa que preciso acessar de várias máquinas, então preciso sincronizar a mesma chave gpg.
Hamza Yerlikaya
Nesse caso, você pode criptografar as chaves com algo que pode descriptografar em qualquer lugar (talvez um volume OTFE) e colá-lo no DropBox? Ou carrega os arquivos principais com você em um pendrive?
DMA57361

Respostas:

6

Eu desaconselharia fazer isso. É verdade que eles precisam da senha, mas você ainda deve sempre manter suas chaves privadas sob seu próprio controle direto. O GPG depende do modelo de segurança de exigir algo que você conhece (a senha) e algo que você tem (a chave). Ao deixar sua chave chegar lá, você corre o risco de derrotar completamente metade do esquema de autenticação. Duvido que os funcionários do DropBox algum dia cruzassem com você intencionalmente, mas se eles tivessem uma violação de segurança que permitisse que um invasor de terceiros obtivesse acesso, você estaria em uma situação ruim. Seria muito mais seguro manter o backup de suas chaves em algum tipo de mídia física, como uma unidade flash.

nhinkle
fonte
2
Sua senha é o elo mais fraco da cadeia (é muito menor e muito mais fácil de usar força bruta (ou adivinhe!) Do que qualquer outra parte) - se você der a alguém tudo, menos a senha, bem, você entende meu ponto. .
DMA57361
3

Primeiro, entenda que "seguro" é sempre relativo. Você deve pensar em termos de "seguro o suficiente para o meu caso de uso", e isso depende de você.

O esquema do GnuPG para proteger as chaves secretas é o melhor que alguém sabe como fazer; ele gera uma chave simétrica a partir da sua senha e usa isso para proteger a chave secreta. Essa chave simétrica nunca é armazenada; é derivado da senha sempre que necessário.

Isso fornece uma proteção bastante forte da chave secreta. Basta que o melhor ataque para recuperar sua chave secreta seja adivinhar sua senha. Em outras palavras, tornar sua chave secreta "semi-pública", colocando-a em algo como o Dropbox, significa que sua chave é tão segura quanto a senha que você escolheu para protegê-la.

Como existem ferramentas criadas especificamente para quebrar senhas do GnuPG , e como a lei de Moore significa que a quebra de senhas fica exponencialmente mais fácil ao longo do tempo, você precisa de uma senha muito forte para tornar isso seguro.

Dependendo do que sua chave secreta protege, a escolha de uma senha decente pode ser segura o suficiente para arriscar colocar a chave no Dropbox; e a conveniência pode valer a pena o risco. Porém, a melhor prática é permitir apenas a chave secreta na máquina que a gerou e um local de backup / custódia sob seu controle direto (por exemplo, impresso e colocado em um cofre à prova de fogo).

DarrenPMeyer
fonte