Fișierele criptate stocate lângă cheia GPG în backup – soluție alternativă?

În timpul unui test recent pentru a vedea dacă backup-urile mele personale funcționează conform intenției, am observat că îmi stochez cheia GPG lângă fișierele criptate cu acea cheie pe același disc. Deși discul este criptat (LUKS) și cheia are o expresie de acces puternică, acest lucru pare puțin neplăcut.

Deși o a doua unitate doar pentru cheie ar putea îmbunătăți situația, se simte, de asemenea, puțin exagerat. Prin urmare, caut o soluție mai pragmatică. M-am gândit să plasez cheia pe o partiție separată care este criptată separat (cu o parolă diferită desigur), dar nu sunt sigur dacă este o idee bună.

1. Este considerată o practică proastă să stocați cheile și fișierele criptate unul lângă celălalt?
2. O partiție separată va îmbunătăți securitatea într-un mod semnificativ? Până la urmă, este tot același disc.
3. Există alternative la această dilemă?

În realitate, fișierul cheie nu este altceva decât un fel de „superparolă”, așa că dacă, la rândul său, are o parolă suficient de lungă, nu văd niciun risc deosebit. Subliniez destul de mult: pentru a extinde spațiul atât al unui dicționar, cât și al căutării cu forță brută, este mult mai important să aveți mai multe caractere, decât un alfabet mai mare.

1. Este considerată o practică proastă să stocați cheile și fișierele criptate unul lângă celălalt? De fapt, da

2. O partiție separată va îmbunătăți securitatea într-un mod semnificativ? De fapt, nu

3. Există alternative la această dilemă? În unele cazuri extreme sunt folosite token-uri USB care sunt îndepărtate fizic și introduse atunci când este necesar, uneori cu un al doilea nivel de acces (de exemplu, containerul TrueCrypt/VeraCrypt etc.).

Dar sugerez, mai banal, o parolă „lung lungă” și puternică și un cifru simetric bun pentru copii de rezervă.

Este considerată o practică proastă să stocați apoi cheile și fișierele criptate unul altuia?

Da, nu este ideal să puneți cheia în același loc cu textul cifrat. De exemplu, poate că fișierele din containerele deschise LUKS sunt arhivate și încărcate în același cont de stocare a obiectelor, ca o copie de rezervă bazată pe fișiere. Un adversar care acordă atenție va lua cheia privată și va încerca să decripteze cu ea.

Un volum LUKS separat poate fi mai sigur în măsura în care face textul simplu mai puțin accesibil. Deschiderea volumului doar atâta timp cât efectuați operațiuni GPG reduce expunerea.

În lumea reală, sunt necesare compromisuri practice. Cheile de pe disc sunt ușor de utilizat. Cheia protejată cu expresia de acces încetinește utilizarea acesteia de către atacator, dar este doar o chestiune de timp. Dacă este luată o copie a unei chei private GPG, considerați-o compromisă. Luați în considerare reintroducerea cheii.

Există alternative la această dilemă?

În mod ideal, nu stocați cheia privată pe un spațiu de stocare online. Utilizați un token hardware pentru smartcard pentru cheia privată, YubiKey sau similar. Depozitați copii de rezervă la rece pe dispozitive de stocare minuscule sau chei de hârtie și puneți-le într-un loc offline securizat, cum ar fi siguranța pentru continuitatea afacerii. Măsuri extraordinare, dar secretele sunt speciale, deoarece deblochează alte date.