Armazenamento e recuperação de chave de criptografia - melhores práticas?

2

Temos um monte de SSH, GPG, SSL e outras chaves privadas que, obviamente:

  • deve estar disponível apenas para o menor número possível de pessoas
  • não pode ser "perdido" se um disco rígido morre ou o prédio é queimado (porque muitos dados seriam indecifráveis)
  • deve ser recuperável, mesmo se o responsável estiver doente ou for atropelado pelo ônibus ou tiver um aumento de um milhão de dólares

Quais são as melhores práticas aqui? Você os armazena em um monte de pen drives USB em um cofre? Você faz cópias? Quantas cópias e como se certificar de que elas permanecem em sincronia (as chaves expiram, são substituídas, novas chaves são adicionadas etc.) Você as criptografa? (com o quê, e como você inicializa?)

Não consegui encontrar nenhuma informação prática útil, por isso estou interessado em todas as experiências, boas, ruins etc., das quais poderíamos aprender.

Além disso, existe algum software de código aberto que ajude com isso?

    
por Johannes Ernst 29.08.2011 / 06:30

1 resposta

1

Aqui, para o trabalho diário, temos a autenticação Kerberos, por exemplo, é muito útil se você quiser fazer o log como root com um arquivo .k5login em / root.

Claro que se o keytab ou algum outro problema ocorrer, temos um arquivo criptografado com GPG em um repositório SVN. Mas se as suas senhas root estiverem sendo alteradas automaticamente de forma automática, um arquivo GPG pode não ser suficiente.

Me deparei SFLVault no outro dia; Eu não testei ainda, mas parece ser uma ferramenta bastante poderosa. Vale a pena dar uma chance

Espero que ajude:)

    
por 29.08.2011 / 09:32