एन्क्रिप्टेड ऑफसाइट बैकअप - एन्क्रिप्शन कुंजी को स्टोर करने के लिए कहां?

नियमित ऑनसाइट बैकअप के अलावा (आग प्रतिरोधी तिजोरी में रखा गया), हम महीने में एक बार टेप ऑफसाइट भी भेजते हैं, एईएस द्वारा एन्क्रिप्ट किया गया। इसलिए यदि हमारी साइट एक विदेशी गर्मी किरण द्वारा वाष्पीकृत होती है, तो हमें उससे उबरने के लिए कम से कम एक हालिया बैकअप होना चाहिए।

सिवाय इसके कि 128-बिट एन्क्रिप्शन कुंजी केवल संग्रहीत ऑनसाइट है। इसलिए एक वास्तविक आपदा के मामले में, हम वास्तव में एक एन्क्रिप्टेड बैकअप के साथ छोड़ दिए जाएंगे, और इसे डिक्रिप्ट करने का कोई तरीका नहीं है ।

प्रश्न: एन्क्रिप्शन कुंजी ऑफसाइट स्टोर करने के लिए सबसे अच्छी नीति क्या है?

सुरक्षा ऑडिट पास करने के लिए हमें जो भी तरीका चुनना है, इसलिए "घर पर एक प्रति रखें" पर्याप्त नहीं है, और "इसे ऑफ़साइट टेप के साथ रखें" जाहिर है कि उन्हें पहली जगह में एन्क्रिप्ट करने का उद्देश्य पराजित होता है! जिन विकल्पों पर हम विचार कर रहे हैं उनमें से एक में शामिल हैं:

• एक बैंक में एक सुरक्षा जमा बॉक्स
• क्लाउड में संग्रहीत या पासवर्ड-संरक्षित रूप में भौगोलिक रूप से अलग नेटवर्क पर (जैसे कि Keepass या पासवर्ड सुरक्षित सॉफ़्टवेयर का उपयोग करके)

बेशक, दूसरा विकल्प एक और प्रश्न प्रस्तुत करता है: हम उस पासवर्ड को कैसे सुरक्षित रखते हैं।

यह भयानक रूप से व्यक्तिपरक होने जा रहा है। मुझे लगता है कि अच्छी सलाह देने के लिए हमें आपके उद्योग और किसी भी विशिष्ट नियामक आवश्यकताओं के बारे में अधिक जानना होगा। एक अनियमित उद्योग में एक छोटे व्यवसाय के लिए क्या पर्याप्त हो सकता है शायद एक विनियमित उद्योग में एक बड़े व्यवसाय के लिए काम नहीं करेगा।

सुरक्षित डिपॉजिट बॉक्स में चाबी रखना पर्याप्त हो सकता है, यह देखते हुए कि बैंक को उन पार्टियों को प्रमाणित करना है जिनके पास बॉक्स तक पहुंच है (आमतौर पर अधिकृत पार्टियों की सूची के खिलाफ फोटो आईडी के साथ)। बॉक्स खोलने के लिए आवश्यक एक भौतिक कुंजी भी है। जब आप इन विशेषताओं को एक भौतिक रूप से सुरक्षित स्थान पर संग्रहीत बॉक्स के साथ जोड़ते हैं तो यह मेरे लिए कुंजी को संग्रहीत करने के लिए एक अच्छी जगह की तरह दिखता है। व्यक्तिगत रूप से, मुझे टेप के गुम होने / चोरी होने या सुरक्षित डिपॉजिट बॉक्स से, सुरक्षित डिपॉजिट बॉक्स से चोरी नहीं होने के बारे में अधिक चिंता है। वैकल्पिक रूप से आप किसी अन्य बैंक में अलग-अलग अधिकृत पार्टियों के साथ एक सुरक्षित जमा बॉक्स प्राप्त कर सकते हैं जिसका नाम केवल प्रमुख सामग्री को संग्रहीत करना है।

आपको लगता है कि आपके पास घर के वकीलों के पास नहीं होने के कारण, आप कॉरपोरेट के वकील की दुकान देख सकते हैं।

गीकी और तकनीकी प्राप्त करने के लिए, विभिन्न एल्गोरिदम हैं जो आपको एक गुप्त कुंजी को कई टुकड़ों में तोड़ने की अनुमति देते हैं जैसे कि कुछ आवश्यक संख्या में पार्टियों का सहयोग गुप्त को पुन: व्यवस्थित करने के लिए आवश्यक है (जिसे थ्रेसहोल्ड योजनाओं के रूप में जाना जाता है)। मुझे इनमें से किसी भी योजना के किसी भी व्यावहारिक कार्यान्वयन के बारे में तुरंत पता नहीं है, लेकिन मैं शर्त लगा रहा हूं कि अगर आप बहुत मुश्किल से खोज करते हैं तो कुछ ऐसे हैं। आप कई पार्टियों को महत्वपूर्ण सामग्री वितरित कर सकते हैं जैसे कि उनमें से कुछ अंश, एक साथ मिलने पर, कुंजी को फिर से संगठित कर सकते हैं। कुंजी के किसी भी व्यक्तिगत टुकड़े का समझौता (या दहलीज की तुलना में किसी भी टुकड़े की कम संख्या) के परिणामस्वरूप कुंजी का समझौता नहीं होगा।

संपादित करें:

एक त्वरित खोज ने शेयरसेटर को बदल दिया , एक GPL'd दहलीज योजना कार्यान्वयन।

एक स्पष्ट समाधान एक अलग ऑफ-साइट स्थान में कुंजी की एक प्रति रखना है। जैसे एक बैंक डिपॉजिट बॉक्स या दूसरा, पूरी तरह से स्वतंत्र, ऑफ-साइट स्टोरेज कंपनी।

आपकी आवश्यकताएं कितनी कठोर हैं, इस पर निर्भर करते हुए, आप पा सकते हैं कि कंपनी के निदेशकों, वकीलों या एकाउंटेंट के साथ चाबी छोड़ना पर्याप्त हो सकता है।

एक व्यावहारिक समाधान:

USB ड्राइव पर 4096 बिट निजी ssh कुंजी बनाएँ। तब ट्रूक्रिप्ट का उपयोग करके एक भारी एन्क्रिप्टेड फ़ाइल कंटेनर बनाएं, और ssh कुंजी को 'कीफाइल' के रूप में उपयोग करें अर्थात एन्क्रिप्टेड ड्राइव को ssh कीफाइल के साथ अनलॉक किया गया है। एक विभाजन की तरह फ़ाइल कंटेनर को माउंट करें, और उस पर एक फाइल सिस्टम बनाएं (यानी mkfs.ext4।) विभाजन को माउंट करें, और उस पासवर्ड फ़ाइल को लिखें जिसे आप संग्रह करना चाहते हैं। सब कुछ अनमाउंट करें, और अपने आर्काइव टेप के साथ अपनी USB कुंजी भेजें। आपके द्वारा बनाए गए फ़ाइल कंटेनर, आप एक फ्लॉपी डिस्क (जो इस पर गंभीरता से देख सकते हैं?) आदि में एक ऑपरेशन ड्रॉपबॉक्स खाते में डाल सकते हैं (अनिवार्य रूप से सुरक्षित), बिना कीफाइल के, बैकअप को एक्सेस करना असंभव होगा , और कीफाइल स्टोर की गई ऑफसाइट आपके द्वारा स्टोर किए गए एन्क्रिप्ट किए गए विभाजन के बिना बेकार है ... जहाँ भी।

यह एक जटिल समाधान की तरह लग सकता है, लेकिन शायद यह आपको सही दिशा में ले जाएगा। वैकल्पिक रूप से, एक एन्क्रिप्टेड फ्लैश ड्राइव पर्याप्त हो सकता है।

https://www.ironkey.com/

http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html

आप जिस भी समाधान के साथ जाते हैं, सबसे महत्वपूर्ण बात बहुत स्पष्ट है, क्या करना है पर वर्तमान निर्देश, कहते हैं, यदि आप उसी दिन बस से टकरा गए थे तो विदेशी लाश ने आपके कार्यालय को नंगा कर दिया था। "आपदा के मामले में" पैकेट के रूप में सरल कुछ ऐसा है जो आपके बैकअप के साथ पर्याप्त होना चाहिए।

मैं एक बड़े संगठन के लिए काम करता हूं और हमारे पास प्रमाणपत्र सर्वर के बैकअप के एन्क्रिप्शन के लिए एक समान प्रणाली है। हमारे पास एक अलग, स्वामित्व वाली इन-हाउस प्रणाली है जो हमारे द्वारा उपयोग की जाने वाली कुंजी, साझा आईडी आदि के लिए कीफ्रेज़ को सुरक्षित करती है।

सिस्टम को हमारे यूजर आईडी, एक घटना संख्या, कारण आदि के साथ कुंजी के पासवर्ड को 'चेक आउट' करना होगा। जब हम इसका उपयोग पूरा कर लेंगे, तो हमें इसे वापस चेक करना होगा। यदि हम इसे 24 के बाद वापस चेक नहीं करते हैं। घंटे, सिस्टम स्वचालित रूप से इसे वापस ईमेल और प्रबंधकों आदि से जांच करेगा कि हमने इसे चेक नहीं किया है।

किसी अन्य को पासफ़्रेज़ आदि नहीं मिल सकता है जबकि हमने इसकी जाँच की है और जब हम चेक आउट करते हैं तो एक अतिरिक्त चुनौती / प्रतिक्रिया होती है। सिस्टम को पूरी तरह से अलग स्थान पर रखा गया है।

एक बड़ी संस्था होने के नाते यह एक सार्थक लागत थी लेकिन वहाँ ऐसे उत्पाद हो सकते हैं जो एक समान गतिविधि कर सकें।

इस धागे में वाह सुरक्षा जमा बॉक्स, वकील और अन्य जटिल तरीके। सभी पूरी तरह से अनावश्यक।

निजी कुंजी मूल रूप से एक छोटी पाठ फ़ाइल में निहित हो सकती है? इसलिए स्पाइडरओक अकाउंट सेट करें और फाइल को क्लाउड में सिंक करें। फिर आग के कारण आपकी पूरी साइट खो जाने की स्थिति में, आप अपने अन्य ऑफसाइट स्थान से बैकअप स्टोरेज टेप को पुनः प्राप्त करते हैं, फिर स्पाइडरऑक वेबसाइट के माध्यम से लॉग इन करें और निजी कुंजी फ़ाइल डाउनलोड करें। स्पाइडरऑक वेबसाइट पर लॉग इन करने के लिए आपको एक उपयोगकर्ता नाम और पासवर्ड की आवश्यकता होती है। तो शायद आप और संगठन में कोई और उनके सिर में याद कर सकता है। अपनी दो पसंदीदा फिल्मों या कुछ और का नाम चुनें। याद रखना मुश्किल नहीं है।

स्पाइडरऑक अच्छा है क्योंकि आपको केवल डेटा तक पहुंचने के लिए एक उपयोगकर्ता नाम और पासवर्ड की आवश्यकता है। यह भी बहुत एन्क्रिप्टेड है। यह ड्रॉपबॉक्स की तुलना में अधिक सुरक्षित है क्योंकि वे एन्क्रिप्शन / डिक्रिप्शन कुंजियों को संग्रहीत नहीं करते हैं और आपके डेटा का शून्य ज्ञान है और आपके खाते में आपके डेटा तक पहुंचने की क्षमता नहीं है। ड्रॉपबॉक्स हालांकि अपने कर्मचारियों या अमेरिकी सरकार के लिए एक वारंट के साथ डेटा का उपयोग करने के लिए खुला है। यदि आप ड्रॉपबॉक्स के साथ जा रहे थे, तो आपको KeyPass फाइल के अंदर की की रखनी होगी और उस तक पहुँचने के लिए पासवर्ड याद रखना होगा।

दिन के अंत में हालांकि यह एक कुंजी के साथ एक साधारण पाठ फ़ाइल है। जहाँ तक किसी और ने स्पाइडरऑक या ड्रॉपबॉक्स में उस कुंजी को एक्सेस किया है, उन्हें इस बात का बिलकुल भी अंदाजा नहीं है कि चाबी क्या है, या यह क्या अनलॉक करता है, या आपके भौतिक बैकअप का स्थान भी। तो यह व्यावहारिक रूप से उनके लिए कोई फायदा नहीं है भले ही वे इसे प्राप्त करें।