我有几个私钥,用于管理 Amazon EC2 实例。
我最近在重新安装电脑时丢失了这些密钥,我发现我备份它们的 CD-RW 无法读取。因此,我正在寻找一种稍微更强大的备份解决方案,我正在考虑使用 Dropbox 之类的东西,因为它使用 SSL 来确保传输的机密性,这样我的数据就可以安全地存储。
我在这样的服务上备份密钥的风险是否纯粹是提供商可能搞砸或损坏,还是我错过了其他什么?
更新:私钥有一个密码。
答案1
还有整个“Dropbox 可以读取您的内容”的问题。
你应该做的是在将所有内容放入 Dropbox 之前对其进行加密。使用 KeePass 之类的东西作为机密库。为其设置一个好密码。KeePass 会在你的东西放入 Dropbox 之前在本地进行加密。然后你将在其他计算机上使用 KeePass 来访问这些机密。
看一眼:
https://superuser.com/questions/351525/is-keeping-a-keepass-file-in-dropbox-safe
因此,总而言之,在本地加密。使用 Dropbox 同步这些加密文件。
答案2
如果您有一个希望安全保存的私钥(我称之为密钥 A,它也可以是一组私钥,它们被压缩到一个文件中以确保安全),请创建另一个公钥/私钥对(密钥 B)。
将密钥 B 安全地复制到您信任的多台计算机上。这可以通过在目标计算机上创建临时公钥/私钥对(密钥 C)来实现,将公钥 C 传输到原始计算机,使用公钥 C 加密私钥 B,然后将加密文件传输回目标计算机,私钥 C 可以解密该文件。
在您信任的几台机器上使用私钥 B,用公钥 B 加密私钥 A,并将该文件放在安全存储中(可能是您不信任的位置,例如 Dropbox)。
因此,如果密钥 A 在您的本地工作站上丢失/损坏,您可以轻松/快速地从 Dropbox 获取密钥 B 加密的密钥 A 文件并解密以进行恢复。
如果密钥 B 丢失/损坏,您仍然有密钥 A,因此您可以创建一个新的密钥 D 来替换密钥 B 并重新进行设置,或者从您信任的其他计算机上获取密钥 B 的副本。
如果您的整台计算机丢失(同时丢失密钥 A 和密钥 B),则需要转到另一台装有密钥 B 的计算机,从 Dropbox 获取密钥 B 加密的密钥 A 文件,然后解密以恢复密钥 A。
因此,此计划允许使用传统备份选项将文件复制到许多(可能不受信任) 位置,从而打开异地、离岸和地球外的选项。这也意味着密钥 A 可以在需要时快速恢复,因为密钥 B 加密的密钥 A 文件可以在不受信任的情况下传递,因此可以附加到电子邮件或诸如此类的东西中。
通过多个值得信赖位置。这是 ServerFault 而不是 SuperUser,我们很可能是在公司环境中讨论,因此希望公司拥有他们信任的本地服务器和共置服务器,可以托管此类内容。除了实时运行的服务器之外,密钥 B 的副本还可以放在银行金库或类似设施的离线存储(磁带备份、档案 CD 等)中。然后,恢复密钥 B 的过程会变得更慢,因为您可能必须访问银行金库才能获得副本,并且您应该定期检查这些离线备份,这样您就可以发现像原始帖子中 CD 损坏的情况。