Backups externos criptografados - onde armazenar a chave de criptografia?

16

Além de backups regulares no local (mantidos em um cofre resistente ao fogo), também enviamos fitas offsite uma vez por mês, criptografadas com o AES. Portanto, se nosso site for um dia vaporizado por um raio de calor alienígena, devemos pelo menos ter um backup recente para recuperar.

Exceto que a chave de criptografia de 128 bits é armazenada apenas no local. Assim, no caso de um verdadeiro desastre, ficaríamos realmente com um backup criptografado e nenhuma maneira de descriptografá-lo .

Pergunta: Qual é a melhor política para armazenar a chave de criptografia fora do local?

Qualquer que seja o método escolhido, precisamos passar por uma auditoria de segurança, portanto, "manter uma cópia em casa" não é adequado, e "manter com as fitas externas" obviamente anula o propósito de criptografá-las em primeiro lugar! Algumas opções que consideramos incluem:

  • Um cofre em um banco
  • Armazenado na nuvem ou em uma rede geograficamente separada em forma protegida por senha (por exemplo, usando softwares como o Keepass ou o Password Safe)

É claro que a segunda opção levanta outra questão: como manter essa senha segura?

    
por Todd Owen 05.02.2013 / 02:51

5 respostas

13

Isso vai ser muito subjetivo. Acho que precisaríamos saber mais sobre o seu setor e sobre quaisquer requisitos regulamentares específicos para dar bons conselhos. O que pode ser suficiente para uma pequena empresa em uma indústria não regulamentada provavelmente não funcionará para um grande negócio em uma indústria regulada.

Manter a chave no cofre pode ser suficiente, já que o banco deve autenticar as partes que têm acesso à caixa (normalmente com identificação com foto em uma lista de partes autorizadas). Há também uma chave física necessária para abrir a caixa. Quando você combina esses atributos com a caixa que está sendo armazenada em um local fisicamente seguro, parece mais um bom local para armazenar a chave para mim. Pessoalmente, eu me preocupo mais com as fitas que se perdem / roubam a mudança para ou a partir do cofre, não sendo roubadas do cofre em si. Alternativamente, você pode obter um cofre em outro banco com diferentes partes autorizadas nomeadas simplesmente para armazenar o material-chave.

Você pode procurar que o departamento de consultoria corporativa armazene a chave, supondo que você não tenha advogados internos.

Para se tornar nerd e técnico, existem vários algoritmos que permitem quebrar uma chave secreta em várias partes, de modo que a cooperação de algum número necessário de partes é necessária para reconstruir o segredo (conhecido como esquemas de limite). Eu não estou imediatamente ciente de qualquer implementação prática de qualquer um desses esquemas, mas eu aposto que existem alguns por aí, se você procurar o suficiente. Você poderia distribuir material-chave para várias partes, de modo que uma fração delas, ao se reunirem, pudesse reconstruir a chave. O comprometimento de qualquer peça individual da chave (ou qualquer número menor de peças do que o limite requer) não resultaria em comprometimento da chave.

Editar:

Uma pesquisa rápida revelou shareecret , uma implementação do esquema de limite de GPL.

    
por 05.02.2013 / 03:10
4

Uma solução bastante óbvia é manter uma cópia da chave em um local externo diferente. por exemplo. Um depósito bancário ou uma outra empresa de armazenamento externo totalmente independente.

Dependendo de quão rígidos são seus requisitos, você pode achar que deixar a chave com os diretores, advogados ou contadores da empresa pode ser adequado.

    
por 05.02.2013 / 03:11
4

Uma solução prática:

Gere uma chave ssh privada de 4096 bits em uma unidade USB. Em seguida, crie um contêiner de arquivo altamente criptografado usando o truecrypt e use a chave ssh como 'arquivo de chave', ou seja, a unidade criptografada é desbloqueada com o arquivo-chave ssh. Monte o contêiner de arquivos como uma partição e crie um sistema de arquivos (ou seja, mkfs.ext4.) Monte a partição e grave o arquivo de senha que deseja arquivar. Desmonte tudo e envie sua chave usb junto com suas fitas de arquivo. O recipiente de arquivos que você criou, você pode (com segurança) colocar em uma conta de caixa de depósito de operações, em um disquete (quem seriamente olhar nele?) Etc. Essencialmente, sem o keyfile, seria impossível acessar o backup , e o arquivo de chaves armazenado externamente é inútil sem a partição criptografada que você armazena ... onde quer que seja.

Isso pode soar como uma solução complexa, mas talvez aponte você para a direção certa. Como alternativa, uma unidade flash criptografada pode ser suficiente.

link

link

Qualquer que seja a solução, o mais importante é muito claro, as instruções atuais sobre o que fazer, digamos, se você foi atropelado por um ônibus no mesmo dia em que zumbis alienígenas invadiram seu escritório. Algo tão simples quanto um pacote "em caso de desastre" que acompanha seus backups deve ser suficiente.

    
por 05.02.2013 / 03:20
0

Eu trabalho para uma grande organização e temos um sistema semelhante para a criptografia de backups de servidores de certificados. Temos um sistema proprietário separado que protege a frase-chave para as chaves que usamos, IDs compartilhadas, etc.

O sistema precisa "verificar" a senha da chave com nosso ID de usuário, um número de incidente, motivo, etc. Quando concluirmos o uso, teremos que fazer o check-in novamente. depois de 24 horas, o sistema irá verificar automaticamente e enviar e-mail aos gerentes, etc., que não fizemos o check-in.

Ninguém mais pode obter a frase secreta, etc, enquanto nós a verificamos e há um desafio / resposta adicional quando fazemos o check-out. O sistema está alojado em um local completamente diferente.

Sendo uma organização grande, foi um custo útil, mas pode haver produtos por aí que possam realizar uma atividade semelhante.

    
por 05.02.2013 / 03:17
-1

Uau cofres, advogados e outros métodos complicados neste segmento. Tudo completamente desnecessário.

A chave privada pode basicamente estar contida em um pequeno arquivo de texto, certo? Portanto, configure uma conta do SpiderOak e sincronize o arquivo com a nuvem. Em seguida, caso você perca todo o seu site devido a um incêndio, recupere as fitas de armazenamento de backup de seu outro local externo, faça login pelo site do SpiderOak e baixe o arquivo de chave privada. Tudo que você precisa para entrar no site da SpiderOak é um nome de usuário e senha. Então talvez você e outra pessoa na organização possam se lembrar disso em sua mente. Escolha os nomes dos seus dois filmes favoritos ou algo assim. Não é difícil de lembrar.

SpiderOak é bom porque você só precisa de um nome de usuário e senha para acessar os dados. Também é strongmente criptografado. Também é mais seguro que o DropBox, porque eles não armazenam as chaves de criptografia / descriptografia e não têm nenhum conhecimento sobre quais são seus dados nem capacidade de acessar seus dados em sua conta. No entanto, o DropBox está aberto para que seus funcionários ou o governo dos EUA acessem os dados com um mandado. Se você fosse com o DropBox, você precisaria colocar a chave dentro de um arquivo KeyPass e lembrar a senha para acessar também.

No final do dia, é um arquivo de texto simples com uma chave nele. Tanto quanto qualquer um que acessa essa chave no SpiderOak ou no DropBox, eles não têm absolutamente nenhuma ideia para qual serve a chave, ou o que ela desbloqueia, ou até mesmo a localização de seus backups físicos. Então, é praticamente inútil para eles, mesmo que eles consigam.

    
por 07.02.2013 / 00:26