Fazendo backup do GnuPG
Which GPG files (the ones typically under
~/.gnupg/
) do I need?
Arquivos relevantes
Um diretório inicial do GnuPG "usual" ( ~/.gnupg
no Linux e outros sistemas unixóides, um caminho similar no Windows) contém as seguintes informações para a maioria dos usuários:
- anel de chave pública
pubring.gpg
, armazenando as chaves públicas que você coletou (para verificar outras assinaturas e criptografar informações / mensagens para outros usuários) - anel de chave privada
secring.gpg
, armazenando suas próprias chaves privadas (essa é mesclada com o anel de chave pública a partir do GnuPG 2.1) - informações de confiança
trustdb.gpg
(diferente de certificações / assinaturas em outras chaves, você também precisa emitir confiança para verificar chaves em toda a web de confiança) - configuração
gpg.conf
e possívelgpg-agent.conf
O que precisa ser feito em backup
Embora geralmente chaves públicas possam ser recuperadas dos servidores de chaves, as chaves privadas são muito importantes para fazer o backup; também tem um certificado de revogação à mão! As informações de confiança também são privadas e não são compartilhadas pelos servidores principais. A configuração é algo de importância discutível, mas você também pode preferir não perder suas preferências configuradas (pois é um incômodo para refazer isso).
No final, eu simplesmente coloco todo o diretório ~/.gnupg
no meu backup, junto com praticamente todo o resto do meu diretório pessoal. Eu tenho uma cópia em papel separada, codificada por QR (não criptografada) do meu certificado de revogação armazenado em outro lugar, porque a pior coisa que pode acontecer é alguém usá-la para revogar minha chave primária, mas eu definitivamente não quero ter uma chave OpenPGP com certificações fora do meu controle nos servidores principais.
Recomendações oficiais
man gpg
recomenda fazer backup de seu anel de chave pública, anel de chave privada (se estiver usando o GnuPG pré 2.1) e finalmente exportar seu banco de dados de confiança, em vez de fazer backup do arquivo de banco de dados (executando gpg --export-ownertrust
) . Você pode fazer isso usando algum script de pré-backup, eu decidi simplesmente fazer backup de todo o diretório do GnuPG e não me importar com os arquivos individuais.
Criptografando seu backup
I have a script for backing up "private information" that tars it all up and password protects it using openssl with AES256. Is this method "secure"?
O AES256 é considerado seguro e também pode ser usado com o OpenPGP. Certifique-se de não criptografá-lo com seu próprio par de chaves pública / privada armazenado apenas na sua máquina e no backup (criptografado), é claro. A codificação do GnuPG --symmetric
com parâmetros apropriados também pode ser adequada para esse propósito, mas o uso do OpenSSL fornece segurança equivalente.
Backups ao redefinir seu computador
Right now, it just grabs all of
~/.gnupg
. I am about to start a clean installation and don't want to lose anything that can't be gotten back.
Usar seu backup para migrar para uma nova instalação não parece ser a coisa mais razoável a ser feita. Você está realizando tarefas de administração fora da "programação diária", o que resulta em maior probabilidade de falhas ao fazer isso; ao mesmo tempo, você está desistindo de sua cópia primária de seus dados e confia que tudo na sua segunda cópia está bem.
Se você não tem um disco reserva para seus dados primários (ou melhor ainda, uma imagem completa da sua configuração antiga que você mantém por um tempo) que não é seu backup, compre 1. Eles são baratos, de qualquer maneira.