2

Какие файлы GnuPG (которые обычно ~/.gnupg/) мне нужны?

У меня есть скрипт для резервного копирования "частной информации", который подрывает все это, и пароль защищает его с помощью openssl с AES256. Является ли этот метод "безопасным"?

Прямо сейчас, это просто захватывает все ~/.gnupg . Я собираюсь начать чистую установку и не хочу терять ничего, что не может быть возвращено.

3 ответа3

1

Резервное копирование GnuPG

Какие файлы GPG (которые обычно ~/.gnupg/) мне нужны?

Соответствующие файлы

"Обычный" домашний каталог GnuPG (~/.gnupg в Linux и других unixoid системах, аналогичный путь в Windows) содержит следующую информацию для большинства пользователей:

  • public key ring pubring.gpg , хранящий открытые ключи, которые вы выбрали (для проверки других подписей и шифрования информации / сообщений для других пользователей)
  • секретный список ключей secring.gpg , хранящий ваши собственные закрытые ключи (этот объединен с открытым ключом начиная с GnuPG 2.1)
  • информация о доверии trustdb.gpg (в отличие от сертификатов / подписей на других ключах, вам также необходимо выдать доверие для проверки ключей в сети доверия)
  • Конфигурация gpg.conf и возможный gpg-agent.conf

Что должно быть подкреплено

Хотя обычно открытые ключи можно восстановить с серверов ключей, закрытые ключи очень важны для резервного копирования; также есть сертификат отзыва под рукой! Трастовая информация также является частной и не передается через ключевые серверы. Конфигурация является чем-то спорным значением, но вы можете также предпочитаете не потерять свои настроенные предпочтения (как это хлопоты, чтобы повторить это).

В конце я просто помещаю весь каталог ~/.gnupg в свою резервную копию вместе со всем остальным в моем домашнем каталоге. У меня есть отдельная бумажная копия моего сертификата отзыва в кодировке QR (в незашифрованном виде), хранящаяся в другом месте, потому что худшее, что может случиться, - это когда кто-то использует его для отзыва моего первичного ключа, но я определенно не хочу иметь ключ OpenPGP с сертификаты вне моего контроля на серверах ключей.

Официальные рекомендации

man gpg рекомендует сделать резервную копию вашего списка открытых ключей, набора закрытых ключей (если используется GnuPG pre 2.1) и, наконец, экспортировать вашу базу данных доверия вместо резервного копирования файла базы данных (запустив gpg --export-ownertrust). Возможно, вы сможете сделать это с помощью некоторого сценария предварительного резервного копирования, я решил просто сделать резервную копию всего каталога GnuPG, а не заботиться об отдельных файлах.

Шифрование вашей резервной копии

У меня есть скрипт для резервного копирования "частной информации", который подрывает все это, и пароль защищает его с помощью openssl с AES256. Является ли этот метод "безопасным"?

AES256 считается безопасным и может также использоваться с OpenPGP. Не зашифруйте его своей парой открытого / закрытого ключей, хранящейся только на вашем компьютере и, конечно, в (зашифрованной) резервной копии. GnuPG - --symmetric шифрование с соответствующими параметрами может также подойти для этой цели, но использование OpenSSL обеспечивает эквивалентную безопасность.

Резервные копии при перезагрузке компьютера

Прямо сейчас, это просто захватывает все ~/.gnupg . Я собираюсь начать чистую установку и не хочу терять ничего, что не может быть возвращено.

Использование резервной копии для перехода на новую установку кажется не самым разумным решением. Вы выполняете задачи администрирования вне "ежедневного графика", что приводит к увеличению вероятности сбоев при этом; в то же время вы отказываетесь от своей основной копии своих данных и верите, что все в вашей второй копии в порядке.

Если у вас нет запасного диска для ваших первичных данных (или, что еще лучше, полного образа вашей старой установки, который вы храните некоторое время), который не является вашей резервной копией, купите его. Во всяком случае, они дешевые.

0

Ваш метод правильный, вы сохраняете правильный каталог и безопасный метод.

Проверьте openssl version , используете ли вы безопасную версию.

Поместите зашифрованный репозиторий openssl на другой физический носитель, чем тот, на котором хранятся ваши брелоки, в ~/.gnupg , ex. USB-ключ, который вы проверили, размонтировали и положили в закрытый ящик.

0

Вам абсолютно необходимо сделать резервную копию ваших личных ключей.

Вы, вероятно, хотите сделать резервную копию ваших открытых ключей.

Все остальное должно, строго говоря, быть необязательным.

Тем не менее, эти файлы, как правило, настолько малы (порядка нескольких мегабайт или меньше), что в наши дни нет никакой пользы от того, чтобы не создавать резервные копии всего в ~/.gnupg. Это гарантирует, что вы не забудете то, что впоследствии окажется важным.

Я также хотел бы отметить, что OpenSSL предоставляет необработанные криптографические примитивы. Если вы точно не знаете, что делаете, существует довольно высокий риск непреднамеренного введения проблем при непосредственном их использовании. Если у вас нет какой-либо конкретной причины делать это таким образом, рассмотрите возможность использования самой GnuPG для шифрования архива. Что-то вроде tar cf - dir | gpg ... должен быть хорошим началом (а также избегает создания промежуточного файла на диске).

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .