我即将鼓励一群人开始使用 S-Mime 和 GPG 进行数字签名和加密。我预见到加密文档将成为一个噩梦,因为密钥丢失后将无法恢复。
最棘手的问题是归档。在档案馆保护隐私的自然方法是将加密文档归档。
但这样一来,我们在需要取消存档文件时就有可能丢失密钥,或者忘记密码。毕竟这还得等很久。这就相当于销毁了文件。
首先想到的是将密钥与文档一起存档,但这样仍然会遗留被遗忘的密码短语。将密码短语也存档就等于明文存档。没有隐私。
澄清:主题是人们丢失钥匙和忘记密码短语。
对于当前密码短语:不断强化。每天使用它们。
两个事实引出了额外的策略。
1- 重复使用的密码短语迟早会被泄露,这是时间问题。2-
密码短语迟早会被遗忘,这也是时间问题。
无论发生什么,你都不想失去或妥协一切。
第二个策略是多样化。
偶尔更改密码和密钥。
这样,只有部分文件受到损害或丢失,而不是全部。
更好的标题:如何处理旧密码短语的退役
我最初发这条消息的时候,想法就已经到这里了,但是没有把问题表述好,所以才来澄清一下。
问题重新表述如下:如何淘汰旧密码短语?
请记住,有些已存档的加密文档与其私钥一起存档,但仍受到退役密码的保护。
“重新加密由新的当前密码保护的存档内容”被拒绝,因为它破坏了多样化战略。
您使用什么方法?
您能针对这个问题提出什么见解?
答案1
从更一般的角度考虑,如果你将钥匙和锁一起存放,那么就没有理由再使用锁了。我永远不会要求用户给我或以其他方式存储他们的钥匙或密码 - 如果仍在使用,那么这是一个额外的安全风险。
我通常将加密文档视为“仅供您自己查看” - 如果它们需要由密钥所有者以外的任何人查看,则应复制并重新加密该文档,以便其他需要查看的人都可以查看它(或对其进行设置以便可以通过多个密钥解密),而不是所有者应该放弃密钥。
如果我希望档案保管员/历史学家从存档文件中提取未加密的内容,那么我会使用为档案指定的密钥重新加密文件,档案保管员将负责该密钥,可能需要两三个人,以防有人忘记或被 18 轮大卡车撞到。(即,如果“公司”应该拥有档案中的文档,那么应该使用“公司”密钥重新加密它们。如果我将加密文档发送给正在存档的邮件列表中的 Bob,您应该来找我或 Bob 获取未加密的副本以进行存档。)
如果您遇到人们忘记/丢失钥匙的问题,那就是另一个问题了。按要求使用日常工作中的关键部分,不要随意强迫用户更换钥匙。
答案2
在密码学领域,有大量关于如何处理这种情况的研究和想法。我喜欢的其中一种是,只需让两个人加密你使用的密钥,但使用一个他们永远不会忘记或写下来的密钥。
密钥由用户 1 加密,结果再由用户 2 加密。
这样,两个人都必须同意解密密钥。如果他们把它写下来,就不会那么不安全,因为有两个人。还有大量的密钥管理程序和策略。谷歌可能是你最好的选择。
答案3
记下钥匙(或根据需要多把钥匙)并将它们存放在物理安全的地方。为了更安全,请将多份副本存放在不同物理安全的地方。例如存放在不同城市的保险箱或公司办公室的防火保险箱。