Que arquivos do GnuPG precisam de backup?

2

Quais arquivos do GnuPG (aqueles com menos de ~/.gnupg/ ) eu preciso?

Eu tenho um script para fazer o backup de "informações privadas" que distorcem tudo e a senha protege usando openssl com AES256. Este método é "seguro"?

Agora, apenas pega todo o ~/.gnupg . Estou prestes a iniciar uma instalação limpa e não quero perder nada que não possa ser recuperado.

    
por Jens Erat 04.11.2015 / 05:27

3 respostas

1

Fazendo backup do GnuPG

Which GPG files (the ones typically under ~/.gnupg/) do I need?

Arquivos relevantes

Um diretório inicial do GnuPG "usual" ( ~/.gnupg no Linux e outros sistemas unixóides, um caminho similar no Windows) contém as seguintes informações para a maioria dos usuários:

  • anel de chave pública pubring.gpg , armazenando as chaves públicas que você coletou (para verificar outras assinaturas e criptografar informações / mensagens para outros usuários)
  • anel de chave privada secring.gpg , armazenando suas próprias chaves privadas (essa é mesclada com o anel de chave pública a partir do GnuPG 2.1)
  • informações de confiança trustdb.gpg (diferente de certificações / assinaturas em outras chaves, você também precisa emitir confiança para verificar chaves em toda a web de confiança)
  • configuração gpg.conf e possível gpg-agent.conf

O que precisa ser feito em backup

Embora geralmente chaves públicas possam ser recuperadas dos servidores de chaves, as chaves privadas são muito importantes para fazer o backup; também tem um certificado de revogação à mão! As informações de confiança também são privadas e não são compartilhadas pelos servidores principais. A configuração é algo de importância discutível, mas você também pode preferir não perder suas preferências configuradas (pois é um incômodo para refazer isso).

No final, eu simplesmente coloco todo o diretório ~/.gnupg no meu backup, junto com praticamente todo o resto do meu diretório pessoal. Eu tenho uma cópia em papel separada, codificada por QR (não criptografada) do meu certificado de revogação armazenado em outro lugar, porque a pior coisa que pode acontecer é alguém usá-la para revogar minha chave primária, mas eu definitivamente não quero ter uma chave OpenPGP com certificações fora do meu controle nos servidores principais.

Recomendações oficiais

man gpg recomenda fazer backup de seu anel de chave pública, anel de chave privada (se estiver usando o GnuPG pré 2.1) e finalmente exportar seu banco de dados de confiança, em vez de fazer backup do arquivo de banco de dados (executando gpg --export-ownertrust ) . Você pode fazer isso usando algum script de pré-backup, eu decidi simplesmente fazer backup de todo o diretório do GnuPG e não me importar com os arquivos individuais.

Criptografando seu backup

I have a script for backing up "private information" that tars it all up and password protects it using openssl with AES256. Is this method "secure"?

O AES256 é considerado seguro e também pode ser usado com o OpenPGP. Certifique-se de não criptografá-lo com seu próprio par de chaves pública / privada armazenado apenas na sua máquina e no backup (criptografado), é claro. A codificação do GnuPG --symmetric com parâmetros apropriados também pode ser adequada para esse propósito, mas o uso do OpenSSL fornece segurança equivalente.

Backups ao redefinir seu computador

Right now, it just grabs all of ~/.gnupg. I am about to start a clean installation and don't want to lose anything that can't be gotten back.

Usar seu backup para migrar para uma nova instalação não parece ser a coisa mais razoável a ser feita. Você está realizando tarefas de administração fora da "programação diária", o que resulta em maior probabilidade de falhas ao fazer isso; ao mesmo tempo, você está desistindo de sua cópia primária de seus dados e confia que tudo na sua segunda cópia está bem.

Se você não tem um disco reserva para seus dados primários (ou melhor ainda, uma imagem completa da sua configuração antiga que você mantém por um tempo) que não é seu backup, compre 1. Eles são baratos, de qualquer maneira.

    
por 04.11.2015 / 21:03
0

Seu método está correto, você salva o diretório correto e com um método seguro.

Verifique com openssl version que você está usando uma versão segura.

Coloque o repositório openssl crypted em outra mídia física diferente da que hospeda seus keyrings em ~/.gnupg , ex. uma chave USB que você verificou, desmontou e colocou em uma gaveta fechada.

    
por 04.11.2015 / 08:18
0

Você absolutamente precisa fazer backup de seus anéis de chave privada.

Você provavelmente deseja fazer backup de seus anéis de chave pública.

Todo o resto deve , estritamente falando, ser opcional.

Dito isso, esses arquivos tendem a ser tão pequenos (na ordem de alguns megabytes ou menos) que atualmente não há nenhum benefício em não fazer backup de tudo no ~ / .gnupg. Isso fará com que você não esqueça algo que mais tarde será importante.

Também gostaria de salientar que o OpenSSL expõe as primitivas criptográficas brutas. Se você não sabe exatamente o que está fazendo, há um risco bastante alto de introduzir inadvertidamente problemas usando-os diretamente. Se você não tem alguma razão específica para fazer isso, considere apenas usar o próprio GnuPG para criptografar o arquivo. Algo como tar cf - dir | gpg ... deve ser um bom começo (e também evita criar um arquivo intermediário no disco).

    
por 04.11.2015 / 09:45

Tags