Stockage du dossier GnuPG dans Dropbox

8

Je voudrais utiliser dropbox pour sauvegarder mes clés gpg, à mon humble avis, même si les administrateurs dropbox obtiennent une copie des clés, ils ont toujours besoin de la phrase secrète pour l'utiliser, est-il acceptable de supposer que cela est sûr?

dropbox gnupg Hamza Yerlikaya
la source
Je ne sais pas vraiment quel type de cryptage GPG utilise pour protéger ses clés privées, je ne peux donc pas commenter la sécurité de celui-ci, mais je ne le ferais pas. Je créerais simplement une clé différente pour chaque ordinateur sur lequel j'en ai besoin, afin que chaque clé ne quitte jamais l'ordinateur sur lequel elle a été créée.
David Z
1
Je garde également des fichiers cryptés dans une boîte de dépôt auxquels j'ai besoin d'accéder à partir de plusieurs machines, j'ai donc besoin de synchroniser la même clé gpg.
Hamza Yerlikaya
dans quel cas pouvez-vous crypter les clés avec quelque chose que vous pouvez décrypter n'importe où (un volume OTFE peut-être) et le coller sur DropBox? Ou emportez-vous les fichiers clés sur une clé USB?
DMA57361

Réponses:

6

Je déconseille de faire cela. Certes, ils ont besoin de la phrase secrète, mais vous devez toujours garder vos clés privées sous votre contrôle direct. GPG dépend du modèle de sécurité qui requiert quelque chose que vous connaissez (la phrase secrète) et quelque chose que vous avez (la clé). En laissant votre clé sortir, vous courez le risque de vaincre complètement la moitié du schéma d'authentification. Je doute que les employés de DropBox vous croiseraient jamais intentionnellement, mais s'ils devaient avoir une faille de sécurité permettant à un attaquant tiers d'accéder, vous seriez dans une mauvaise situation. Il serait beaucoup plus sûr de sauvegarder vos clés sur un type de support physique comme un lecteur flash.

nhinkle
la source
2
+1 Votre mot de passe est le maillon le plus faible de la chaîne (il est beaucoup plus petit et beaucoup plus facile à utiliser par force brute (ou devinez!) Que toute autre partie) - si vous donnez à tout le monde sauf le mot de passe, eh bien, vous voyez mon point. .
DMA57361
3

Tout d'abord, comprenez que «sûr» est toujours relatif. Vous devriez penser en termes de " suffisamment sûr pour mon cas d'utilisation", et cela dépendra finalement de vous.

Le schéma de GnuPG pour protéger les clés secrètes est le meilleur que l'on sache actuellement faire; il génère une clé symétrique à partir de votre phrase secrète et des utilisations qui protègent la clé secrète. Cette clé symétrique n'est jamais stockée; il est dérivé de la phrase secrète chaque fois qu'il est requis.

Cela fournit une protection assez forte de la clé secrète. Assez que la meilleure attaque pour récupérer votre clé secrète soit de deviner votre phrase secrète. Ou, autrement dit, rendre votre clé secrète "semi-publique" en la plaçant sur quelque chose comme Dropbox signifie que votre clé n'est aussi sécurisée que la phrase secrète que vous avez choisie pour la protéger.

Puisqu'il existe des outils spécialement conçus pour déchiffrer les mots de passe GnuPG , et comme la loi de Moore signifie que le déchiffrement des mots de passe devient exponentiellement plus facile au fil du temps, vous avez besoin d'une phrase secrète très solide pour rendre ce type de sécurité.

Selon ce que protège votre clé secrète, le choix d'une phrase secrète décente peut être suffisamment sûr pour risquer de mettre la clé sur Dropbox; et la commodité pourrait valoir le risque. Mais la meilleure pratique consiste à n'autoriser que la clé secrète sur la machine qui l'a générée et un emplacement de sauvegarde / dépôt sous votre contrôle direct (par exemple imprimé et placé dans un coffre-fort ignifuge).

DarrenPMeyer
la source