同步私钥是个好主意吗?

同步私钥是个好主意吗?

Ubuntu One 的安全常见问题解答表示 Canonical 加密连接并限制对用户数据的访问。这一切都很好,我确实相信 SSL 可以用于网上银行和其他比我的私钥更有价值的事情。

~/.ssh/id_dsa话虽如此,我对将我的系统放到云端还是非常担心。显然,没有一个系统是完全安全的。那么,有知识的人能否务实地量化风险呢?

答案1

Ubuntu One 存储未使用用户加密密钥加密

与 Dropbox 一样,Ubuntu One 商店未使用特殊密码加密。因此,从技术上讲,有人可能会通过不值得信任的员工或安全漏洞访问您的数据。请参阅关于 UbuntuOne 存储数据加密的错误报告它仍然是一个愿望清单。

所以我不会将我的 ~/.ssh 文件夹同步到云。除非你设置一个加密容器,然后将其发送到云,但对于 ssh 密钥来说,这并不总是那么方便。但我仍然给你提供了加密数据的便捷方法:

更多信息

Ubuntu One 使用加密连接(事实上是这样的),这意味着数据基本上是通过某种 HTTPS 传输的。您可以使用一个制作精良的动画来使用 HTTPS 时窃听者能看到什么,由EFF(电子前沿基金会)

通过单击 EFF 动画上的 HTTPS 按钮,您将能够看到将 SSH 密钥放入 Dropbox 或 Ubuntu One 容器后每个人都可以看到的内容。正如动画所示,site.com(例如 one.ubuntu.com)上的许多人将能够查看您的数据(以及更多数据)。即使您使用 Tor 之类的东西来路由所有流量,这仍然意味着 site.com 上的人们可以访问数据。

因此,您必须在数据离开计算机之前对其进行加密。这样,数据到达 site.com 时,就会使用他们不知道的凭据进行加密。当然,您必须使用强大的加密机制,这样 site.com 的人破解数据的速度就会非常慢。

当然,如果是在银行,您无法加密您的资金,因为您需要付钱给银行来为您处理。因此,您别无选择,只能相信银行会让他们的信息技术系统像他们的实体保险库一样安全,这样只有一小部分员工(管理您账户的员工)可以查看和修改您的数据。

答案2

我非常担心将我的 ~/.ssh/id_dsa 放到云端。

好吧,一个解决方案是我使用 Dropbox 处理 ssh 和 gpg 私钥的方法:将它们加密成存档,然后删除“原始”原件。每当需要时,我都会暂时提取它,然后在完成后将其删除。

我使用p7zip(使用 AES-256 加密),但您可以使用许多其他工具。这样,同步的只是加密的档案,即使云存储被盗,除非知道档案的密码,否则没有人可以提取私钥。

为了让您经常做的事情(例如,gpg 解密)更轻松,您可以使用一个简单的 bash 脚本来处理临时解密/使用/删除部分;它还应该暂时禁用任何同步守护进程,以便提取的密钥不会被意外同步。

答案3

您可以通过备份工具 Deja-dup 将密钥保存在 U1 上。如果您设置了密码,备份文件将在 U1 上自动加密。无需手动执行此操作。

答案4

简单的解决方案。有点。如果您不能使用 USB 闪存驱动器之类的东西,请在 SSH 密钥上设置密码。即时双因素身份验证(有点)。您甚至不必上传新的公钥。

相关内容