Por que a duplicidade precisa de uma chave secreta?

5

Estou configurando backups automatizados com a duplicidade , mas há algo que não consigo. Eu importei minha própria chave GPG pública, mas parece que a duplicidade também quer a chave privada. No meu entender, a chave pública era usada para criptografar os dados e a chave privada para descriptografá-los. Portanto, não vejo razão para a chave privada ser necessária aqui.

Por favor me ilumine:)

    
por Executifs 10.09.2011 / 16:24

3 respostas

5

Eu não sei duplicidade, mas provavelmente é necessário assinar os backups.

    
por 10.09.2011 / 16:36
5

A duplicidade não assina o arquivo, a menos que você especifique a opção --sign-key key-id . No modo de não assinatura (somente executando a criptografia), a chave privada é necessária apenas para a descriptografia / restauração real e, digamos, para arquivar ações de leitura , que exigem a nova sincronização do arquivo com o local cache (= descriptografar o arquivo).

Nos últimos anos, esse recurso foi altamente alterado. Mas posso dizer que estamos automatizando muito sem a necessidade de chave privada. O maior erro que temos cometido no passado foi a especificação de diretório inconsistente, veja:

  • o nome do cache de um determinado target_url , como file:///usr/local/backup é um hash dessa sequência
  • geramos acidentalmente um URL ligeiramente diferente visando o mesmo destino, como file:///usr/local/backup/ (com barra final) ou file:///usr/local/./backup para as ações de leitura (status de coleção, lista de arquivos atuais etc.)
  • quando a URL é diferente, o hash também difere e esse cache não existe (ou está em um estado inconsistente)
  • essa ação deve criar um novo cache e, portanto, precisa da chave privada para descriptografar o arquivo
por 15.07.2015 / 16:13
0

Poderia ser. Mas lá você pode criar uma chave de assinatura extra para manter a chave privada que criptografou o backup muito segura.

O problema é descrito aqui: "incremento de duplicidade - chave privada ausente" .

Em suma, se você tiver apenas a chave pública na máquina de backup, mas não a chave privada, um segundo backup incremental falhará com uma mensagem de erro como "A chave privada correspondente está faltando". Isso é, na verdade, um bug no Duplicity, que ocorre quando o sistema não está configurado para usar o idioma inglês - aparentemente, a Duplicity verifica se há mensagens de erro do GPG e não consegue lidar com mensagens de erro traduzidas.

Assim, uma possível solução alternativa também é mencionada: definir a variável de ambiente LANG to en_US.UTF8 . De fato, configurá-lo para um valor vazio também funciona. Então, começar a duplicidade como essa resolveu o problema para mim no Ubuntu 16.04:

env LANG= duplicity ...

    
por 09.08.2013 / 21:51

Tags