Sauvegardes hors site cryptées - où stocker la clé de cryptage?

16

En plus des sauvegardes régulières sur site (conservées dans un coffre-fort résistant au feu), nous envoyons également des bandes hors site une fois par mois, cryptées avec AES. Donc, si notre site est un jour vaporisé par un rayon de chaleur étranger, nous devrions au moins avoir une sauvegarde récente pour récupérer.

Sauf que la clé de chiffrement 128 bits est uniquement stockée sur site. Donc, dans le cas d'une véritable catastrophe, il nous resterait en fait une sauvegarde chiffrée et aucun moyen de la déchiffrer .

Question: Quelle est la meilleure stratégie pour stocker la clé de chiffrement hors site?

Quelle que soit la méthode que nous choisissons, elle doit passer un audit de sécurité, donc «garder une copie à la maison» n'est pas adéquat, et «la conserver avec les bandes hors site» va évidemment à l'encontre du but de les chiffrer en premier lieu! Nous envisageons quelques options:

  • Un coffre-fort dans une banque
  • Stocké dans le cloud ou sur un réseau géographiquement séparé sous forme protégée par mot de passe (par exemple en utilisant un logiciel comme Keepass ou Password Safe)

Bien sûr, la deuxième option pose une autre question: comment garder ce mot de passe en sécurité.

Todd Owen
la source
3
Combien de personnes devraient pouvoir accéder à la clé? Et de leur propre chef ou exigeant que tout le monde / plusieurs personnes soient impliquées? Il existe des systèmes de division clés qui permettraient par exemple. 5 personnes rapportent à la maison une partie de la clé (inutile en soi) et peuvent la reconstituer avec 3 des 5 parties de la clé. Je n'ai pas de lien sur moi mais je pourrais le chercher plus tard.
Grant
Stockez la clé dans les données chiffrées. Vous devez connaître la clé pour obtenir la clé, bon sang.
Kaz
3
Vous souhaitez générer et stocker une clé RSA privée dans un endroit très sécurisé et placer la clé publique RSA correspondante sur le système de sauvegarde. Lorsque vous effectuez une sauvegarde, générez une clé AES aléatoire, chiffrez-la avec la clé publique RSA et stockez la clé AES chiffrée avec la sauvegarde.
David Schwartz

Réponses:

13

Cela va être terriblement subjectif. Je pense que nous aurions besoin d'en savoir plus sur votre industrie et sur les exigences réglementaires spécifiques pour donner de bons conseils. Ce qui pourrait suffire pour une petite entreprise dans une industrie non réglementée ne fonctionnera probablement pas pour une grande entreprise dans une industrie réglementée.

Garder la clé dans le coffre-fort peut être suffisant, étant donné que la banque est censée authentifier les parties qui ont accès à la boîte (généralement avec une pièce d'identité avec photo contre une liste de parties autorisées). Une clé physique est également nécessaire pour ouvrir la boîte. Lorsque vous combinez ces attributs avec la boîte stockée dans un emplacement physiquement sécurisé, cela ressemble plus à un bon endroit pour stocker la clé pour moi. Personnellement, je m'inquiète davantage de la perte ou du vol de bandes se déplaçant vers ou depuis le coffre-fort, sans être volées du coffre-fort lui-même. Alternativement, vous pouvez obtenir un coffre-fort dans une autre banque avec différentes parties autorisées nommées simplement pour stocker le matériel clé.

Vous pourriez demander à un conseiller juridique d'entreprise de conserver la clé, en supposant que vous n'avez pas de procureur à domicile.

Pour devenir geek et technique, il existe différents algorithmes qui vous permettent de diviser une clé secrète en un certain nombre de pièces de sorte que la coopération d'un certain nombre requis de parties est nécessaire pour reconstruire le secret (connu sous le nom de schémas de seuil). Je ne suis pas immédiatement au courant de la mise en œuvre pratique de l'un de ces régimes, mais je parie qu'il y en a si vous cherchez assez fort. Vous pouvez distribuer du matériel clé à plusieurs parties de sorte qu'une partie d'entre elles, lors de la réunion, puisse reconstruire la clé. La compromission d'une pièce individuelle de la clé (ou d'un nombre de pièces inférieur au seuil requis) n'entraînerait pas de compromis sur la clé.

Éditer:

Une recherche rapide a révélé shareecret , une implémentation de schéma de seuil GPL.

Evan Anderson
la source
Les schémas de seuils semblent avoir de belles propriétés techniques, mais ils compliqueraient également considérablement la gestion des clés. Nous sommes une organisation relativement petite, les gens vont et viennent, et je recherche donc davantage une solution «définir et oublier».
Todd Owen
2
L'idée d'avoir un avocat pour garder la clé me ​​semble préférable. Pour mémoire, l'industrie est la santé et notre souci est de protéger la vie privée des clients.
Todd Owen
4

Une solution assez évidente consiste à conserver une copie de la clé dans un autre emplacement hors site. Par exemple, un coffret de dépôt bancaire ou une autre entreprise de stockage hors site complètement indépendante.

Selon la rigidité de vos exigences, vous constaterez peut-être que laisser la clé aux chefs d'entreprise, aux avocats ou aux comptables peut suffire.

John Gardeniers
la source
4

Une solution pratique:

Générez une clé ssh privée de 4096 bits sur une clé USB. puis créez un conteneur de fichiers fortement chiffré à l'aide de truecrypt, et utilisez la clé ssh comme un «fichier de clés», c'est-à-dire que le lecteur chiffré est déverrouillé avec le fichier de clés ssh. Montez le conteneur de fichiers comme une partition et créez un système de fichiers dessus (par exemple mkfs.ext4.) Montez la partition et écrivez le fichier de mot de passe que vous souhaitez archiver. Démontez tout et envoyez votre clé USB avec vos bandes d'archives. Le conteneur de fichiers que vous avez créé, vous pouvez (assez en toute sécurité) placer un compte dropbox d'opérations, sur une disquette (qui le regarderait sérieusement?) Etc. Essentiellement, sans le fichier clé, il serait impossible d'accéder à la sauvegarde , et le fichier de clés stocké hors site est inutile sans la partition chiffrée que vous stockez ... n'importe où.

Cela peut sembler une solution complexe, mais peut-être que cela vous dirigera dans la bonne direction. Alternativement, un lecteur flash crypté peut être suffisant.

https://www.ironkey.com/

http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html

Quelle que soit la solution avec laquelle vous optez, la chose la plus importante est des instructions très claires et actuelles sur ce que vous devez faire, par exemple, si vous êtes frappé par un bus le même jour. Des zombies extraterrestres ont bombardé votre bureau. Quelque chose d'aussi simple qu'un paquet "en cas de sinistre" qui accompagne vos sauvegardes devrait suffire.

Stephan
la source
0

Je travaille pour une grande organisation et nous avons un système similaire pour le chiffrement des sauvegardes des serveurs de certificats. Nous avons un système interne distinct et propriétaire qui sécurise la phrase clé pour les clés que nous utilisons, les identifiants partagés, etc.

Le système nécessite de «retirer» le mot de passe de la clé avec notre identifiant utilisateur, un numéro d'incident, la raison, etc. Lorsque nous l'utilisons, nous devons le réenregistrer. heures, le système le réenregistrera automatiquement et les gestionnaires d'e-mails, etc. que nous ne l'avons pas enregistré.

Personne d'autre ne peut obtenir la phrase secrète, etc. pendant que nous la vérifions et il y a un défi / réponse supplémentaire lorsque nous effectuons une vérification. Le système est logé dans un emplacement complètement différent.

En tant que grande organisation, le coût en valait la peine, mais il se peut qu'il existe des produits qui pourraient faire une activité similaire.

Enigman
la source
-1

Wow coffres-forts de sécurité, avocats et autres méthodes alambiquées dans ce fil. Tout à fait inutile.

La clé privée peut essentiellement être contenue dans un petit fichier texte, non? Configurez donc un compte SpiderOak et synchronisez le fichier avec le cloud. Ensuite, si vous perdez l'intégralité de votre site en raison d'un incendie, vous récupérez les bandes de stockage de sauvegarde de votre autre emplacement hors site, puis vous connectez via le site Web SpiderOak et téléchargez le fichier de clé privée. Tout ce dont vous avez besoin pour vous connecter au site Web SpiderOak est un nom d'utilisateur et un mot de passe. Alors peut-être que vous et quelqu'un d'autre dans l'organisation pourriez vous en souvenir dans leur tête. Choisissez les noms de vos deux films préférés ou quelque chose. Pas difficile à retenir.

SpiderOak est bon car vous n'avez besoin que d'un nom d'utilisateur et d'un mot de passe pour accéder aux données. Il est également fortement crypté. Il est également plus sécurisé que DropBox car ils ne stockent pas les clés de chiffrement / déchiffrement et n'ont aucune connaissance de vos données et aucune possibilité d'accéder à vos données dans votre compte. DropBox est cependant ouvert à leurs employés ou au gouvernement américain pour accéder aux données avec un mandat. Si vous utilisiez DropBox, vous devez mettre la clé dans un fichier KeyPass et vous souvenir du mot de passe pour y accéder également.

À la fin de la journée, il s'agit d'un simple fichier texte avec une clé. En ce qui concerne toute personne accédant à cette clé dans SpiderOak ou DropBox, elle n'a absolument aucune idée de la destination de la clé, ni de ce qu'elle déverrouille, ni même de l'emplacement de vos sauvegardes physiques. Cela ne leur est donc pratiquement d'aucune utilité, même s'ils l'obtiennent.

zuallauz
la source
n'aime pas cette réponse
nsij22
Bien que la description des fonctionnalités et des normes de cryptage élevées de SpiderOak puisse être exacte, je ne stockerais jamais une clé privée non cryptée sur des serveurs étrangers.
Rafael Bugajewski