Armazenando a pasta GnuPG no Dropbox

8

Eu gostaria de usar o dropbox para fazer backup de minhas chaves gpg, IMHO, mesmo que os administradores dropbox obtenham uma cópia das chaves que ainda precisam da frase secreta para usá-la, então é correto assumir que isso é seguro?

    
por Hamza Yerlikaya 14.09.2010 / 03:30

2 respostas

5

Eu aconselho contra isso. É verdade que eles precisam da frase secreta, mas você deve sempre manter suas chaves privadas sob seu próprio controle direto. O GPG depende do modelo de segurança de exigir algo que você conhece (a frase secreta) e de algo que você tem (a chave). Ao deixar sua chave sair, você corre o risco de derrotar completamente metade do esquema de autenticação. Eu duvido que os funcionários do DropBox cruzassem você intencionalmente, mas se eles tivessem uma violação de segurança permitindo que um invasor de terceiros obtivesse acesso, você estaria em uma situação ruim. Seria muito mais seguro manter suas chaves armazenadas em algum tipo de mídia física, como uma unidade flash.

    
por 14.09.2010 / 09:26
3

Primeiro, entenda que "seguro" é sempre relativo. Você deve estar pensando em termos "seguro o suficiente para o meu caso de uso", e isso vai depender de você.

O esquema do GnuPG para proteger as chaves secretas é o melhor que alguém sabe como fazer; ele gera uma chave simétrica de sua frase secreta e usa a chave secreta para protegê-la. Essa chave simétrica nunca é armazenada; é derivado da senha toda vez que é necessário.

Isso fornece bastante strong proteção da chave secreta. O suficiente para que o melhor ataque para recuperar sua chave secreta seja adivinhar sua frase secreta. Ou, em outras palavras, tornar sua chave secreta "semi-pública" colocando-a em algo como o Dropbox significa que sua chave é tão segura quanto a senha que você escolheu para protegê-la.

Desde que existem ferramentas específicas para quebrar senhas do GnuPG , e como a lei de Moore significa que as senhas de cracking se tornam exponencialmente mais fáceis com o tempo, você precisa de uma frase strong realmente para tornar isso seguro.

Dependendo do que sua chave secreta protege, escolher uma senha decente pode ser segura o suficiente para arriscar colocar a chave no Dropbox; e a conveniência poderia valer o risco. Mas a prática melhor é permitir apenas a chave secreta na máquina que a gerou e um local de backup / depósito sob seu controle direto (por exemplo, impresso e colocado em um cofre à prova de fogo).

    
por 07.05.2013 / 18:54

Tags