除了定期在现场备份(存放在防火保险箱中)外,我们每月还会将磁带发送到场外一次,并使用 AES 加密。因此,如果我们的站点有一天被外星热射线摧毁,我们至少应该有一个最近的备份可供恢复。
但 128 位加密密钥仅存储在现场。因此,如果发生真正的灾难,我们实际上会剩下一个加密备份,并且没有办法解密。
问题:将加密密钥存储在异地的最佳策略是什么?
无论我们选择哪种方法,都需要通过安全审核,因此“在家中保留一份副本”是不够的,而“将其与异地磁带一起保存”显然违背了加密的目的!我们正在考虑的几个选项包括:
- 银行的保险箱
- 以密码保护的形式存储在云端或地理上独立的网络上(例如使用 Keepass 或 Password Safe 等软件)
当然,第二种选择提出了另一个问题:我们如何保持那密码安全。
答案1
这会非常主观。我认为我们需要更多地了解您的行业和任何特定的监管要求才能提供好的建议。对不受监管行业中的小型企业来说足够的方法可能不适用于受监管行业中的大型企业。
将钥匙放在保险箱中可能就足够了,因为银行应该对有权访问保险箱的各方进行身份验证(通常使用带照片的身份证件对照授权方列表)。还需要一把物理钥匙才能打开保险箱。当您将这些属性与存放在物理安全位置的保险箱结合起来时,它对我来说更像是一个存放钥匙的好地方。就我个人而言,我更担心磁带在移入或移出保险箱时丢失/被盗,而不是在保险箱本身被盗。或者,您可以在另一家银行获得一个保险箱,其中有不同授权方,只是为了存储密钥材料。
假设您没有内部律师,您可能会考虑让公司法律顾问存储密钥。
从技术角度来说,有各种算法可以将密钥分解成多个部分,这样就需要一定数量的参与方合作才能重建密钥(称为阈值方案)。我目前还不知道这些方案的任何实际实现,但我敢打赌,如果你仔细搜索,肯定会有一些。你可以将密钥材料分发给多个参与方,这样他们中的一些人聚在一起就可以重建密钥。密钥的任何单个部分(或比阈值要求更少的部分)被泄露都不会导致密钥被泄露。
编辑:
快速搜索后发现共享秘密,一个 GPL 阈值方案实现。
答案2
一个相当明显的解决方案是将密钥的副本保存在不同的异地位置,例如银行保管箱或其他完全独立的异地存储公司。
根据您的要求的严格程度,您可能会发现将钥匙留给公司董事、律师或会计师就足够了。
答案3
一个实用的解决方案:
在 USB 驱动器上生成 4096 位私有 ssh 密钥。然后使用 truecrypt 创建一个高度加密的文件容器,并将 ssh 密钥用作“密钥文件”,即使用 ssh 密钥文件解锁加密驱动器。像分区一样挂载文件容器,并在其上创建文件系统(即 mkfs.ext4)。挂载分区,并写入要存档的密码文件。卸载所有内容,然后将您的 usb 密钥与存档磁带一起发送。您可以(相当安全地)将您创建的文件容器放入操作 dropbox 帐户、软盘(谁会认真查看它?)等。本质上,如果没有密钥文件,就不可能访问备份,并且如果没有您存储的加密分区,存储在异地的密钥文件是无用的……无论在哪里。
这听起来可能是一个复杂的解决方案,但也许它会给你指明正确的方向。或者,加密闪存驱动器可能就足够了。
http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html
无论你选择哪种解决方案,最重要的是非常明确、最新的指示,告诉您如果在外星僵尸轰炸您的办公室的同一天您被公交车撞到,该怎么办。只需在您的备份中附上一份“以防万一”数据包,就足够了。
答案4
哇,这个帖子里有保险箱、律师和其他复杂的方法。完全没有必要。
私钥基本上可以包含在一个小的文本文件中,对吧?所以设置一个SpiderOak 账户并将文件同步到云端。然后,如果您因火灾而失去整个站点,您可以从其他异地位置检索备份存储磁带,然后通过 SpiderOak 网站登录并下载私钥文件。登录 SpiderOak 网站所需的只是用户名和密码。所以也许您和组织中的其他人可以记住这一点。选择您最喜欢的两部电影的名字或其他东西。不难记住。
SpiderOak 很好,因为你只需要一个用户名和密码就可以访问数据。它也是高度加密的。它也比 DropBox 更安全,因为他们不存储加密/解密密钥,并且对你的数据一无所知,也无法访问你帐户中的数据。然而,DropBox 向其员工或美国政府开放,只要有搜查令,他们就可以访问数据。如果你使用 DropBox,你需要将密钥放在KeyPass 文件并记住访问该内容的密码。
但归根结底,它只是一个包含密钥的简单文本文件。对于在 SpiderOak 或 DropBox 中访问该密钥的其他任何人来说,他们完全不知道该密钥的用途,也不知道它能解锁什么,甚至不知道您的物理备份的位置。所以即使他们确实得到了它,它对他们来说也几乎没有用处。