ड्रॉपबॉक्स में GnuPG फ़ोल्डर संग्रहीत करना

8

मैं अपनी gpg कुंजियाँ, IMHO का बैकअप लेने के लिए ड्रॉपबॉक्स का उपयोग करना चाहूंगा, भले ही ड्रॉपबॉक्स व्यवस्थापक को उन कुंजियों की एक प्रति मिल जाए जो उन्हें अभी भी पासफ़्रेज़ की आवश्यकता है इसका उपयोग करने के लिए तो क्या यह मान लेना ठीक है कि ऐसा करना सुरक्षित है?

dropbox gnupg

— हमजा यारलीकया
स्रोत

मैं वास्तव में नहीं जानता कि किस प्रकार का एन्क्रिप्शन GPG अपनी निजी कुंजियों की सुरक्षा के लिए उपयोग करता है, इसलिए मैं इसकी सुरक्षा पर टिप्पणी नहीं कर सकता, लेकिन मैं ऐसा नहीं करूंगा। मैं प्रत्येक कंप्यूटर के लिए एक अलग कुंजी बनाऊंगा जिसकी मुझे एक आवश्यकता है, ताकि प्रत्येक कुंजी कभी भी उस कंप्यूटर को न छोड़े जिस पर यह बनाया गया है।

— डेविड जेड

1

मैं ड्रॉप बॉक्स में एन्क्रिप्टेड फाइलें भी रखता हूं जिन्हें मुझे कई मशीनों से एक्सेस करने की आवश्यकता है इसलिए मुझे उसी gpg कुंजी को सिंक करने की आवश्यकता है।

— हमजा येरलिकाया

किस मामले में आप कुछ के साथ कुंजियों को एन्क्रिप्ट कर सकते हैं जिसे आप कहीं भी अनएन्क्रिप्ट कर सकते हैं (शायद एक ओटीएफई वॉल्यूम हो सकता है) और ड्रॉपबॉक्स पर चिपका दें? या USB स्टिक पर अपने साथ मुख्य फ़ाइलों को ले जाएँ?

— DMA57361

5

मैं ऐसा करने के खिलाफ सलाह दूंगा। सच है, उन्हें पासफ़्रेज़ की आवश्यकता है, लेकिन आपको अभी भी अपनी निजी कुंजी को अपने प्रत्यक्ष नियंत्रण में रखना चाहिए। GPG आपके द्वारा ज्ञात कुछ (पासफ़्रेज़) और आपके पास कुछ (कुंजी) की आवश्यकता के सुरक्षा मॉडल पर निर्भर करता है। अपनी कुंजी को वहां से जाने देने से, आप प्रमाणीकरण योजना के आधे को पूरी तरह से हरा देने का जोखिम उठा रहे हैं। मुझे संदेह है कि ड्रॉपबॉक्स कर्मचारी कभी भी आपको जानबूझकर पार करेंगे, लेकिन अगर उन्हें सुरक्षा ब्रीच की अनुमति होती है, तो तीसरे पक्ष के हमलावर को पहुंच प्राप्त करने की अनुमति है, तो आप एक खराब स्थिति में होंगे। यह एक फ्लैश ड्राइव की तरह कुछ प्रकार के भौतिक मीडिया पर अपनी कुंजी का बैकअप रखने के लिए अधिक सुरक्षित होगा।

— nhinkle
स्रोत

2

+1 आप पासवर्ड श्रृंखला की सबसे कमजोर कड़ी है (यह किसी भी अन्य भाग की तुलना में बल (या अनुमान) को कम करने के लिए बहुत छोटा और इतना आसान है - यदि आप किसी को सब कुछ देते हैं, लेकिन पासवर्ड, ठीक है, तो आप मेरी बात देखें .. ।

— DMA57361

3

सबसे पहले, यह समझें कि "सुरक्षित" हमेशा सापेक्ष होता है। आप " मेरे उपयोग के मामले के लिए पर्याप्त सुरक्षित" के संदर्भ में सोच रहे होंगे , और अंततः वह आपके ऊपर आने वाला है।

गुप्त कुंजियों की सुरक्षा के लिए GnuPG की योजना सबसे अच्छा है जिसे कोई भी जानता है कि उसे कैसे करना है; यह आपके पासफ़्रेज़ से एक सममित कुंजी बनाता है, और गुप्त कुंजी की सुरक्षा करता है। यह सममित कुंजी कभी संग्रहीत नहीं होती है; यह आवश्यक होने पर हर बार पासफ़्रेज़ से प्राप्त होता है।

यह गुप्त कुंजी की काफी मजबूत सुरक्षा प्रदान करता है । पर्याप्त है कि आपकी गुप्त कुंजी को पुनर्प्राप्त करने के लिए सबसे अच्छा हमला आपके पासफ़्रेज़ का अनुमान लगा रहा है। या, एक और तरीका रखें, अपनी गुप्त कुंजी "ड्रॉप-पब्लिक" जैसे ड्रॉपबॉक्स पर डालकर इसका मतलब है कि आपकी कुंजी केवल उतना ही सुरक्षित है जितना कि उस पासफ़्रेज़ को सुरक्षित करें जिसे आपने इसे संरक्षित करने के लिए चुना था।

चूंकि ग्नूपीजी पासफ़्रेज़ को क्रैक करने के उद्देश्य से निर्मित उपकरण हैं , और चूंकि मूर के नियम का मतलब है कि पासवर्ड को क्रैक करना समय के साथ तेजी से आसान हो जाता है, इसलिए आपको किसी भी तरह के सुरक्षित बनाने के लिए वास्तव में मजबूत पासफ़्रेज़ की आवश्यकता होती है ।

आपके गुप्त कुंजी की सुरक्षा के आधार पर, ड्रॉपबॉक्स पर कुंजी लगाने के लिए एक सभ्य पासफ़्रेज़ चुनना पर्याप्त सुरक्षित हो सकता है ; और सुविधा जोखिम के लायक हो सकती है। लेकिन सबसे अच्छा अभ्यास केवल उस मशीन पर गुप्त कुंजी की अनुमति देना है जिसने इसे उत्पन्न किया है और आपके प्रत्यक्ष नियंत्रण के तहत एक बैकअप / एस्क्रो स्थान (जैसे प्रिंट आउट और फायरप्रूफ सुरक्षित में रखा गया है)।

— DarrenPMeyer
स्रोत