¿Es seguro usar el almacenamiento en la nube si uso gpg y mi método es seguro?

3

Tengo que hacer copias de seguridad de los datos con regularidad y usar google drive y, a veces, sync.com. Tengo muchas imágenes, videos y hojas de cálculo y, a veces, mis copias de seguridad son de 4 o 5 GB.

Normalmente agrego todos los archivos a una carpeta. Luego uso tar para crear una sola bola de alquitrán. Una vez que se crea el Tarball, uso gpg -c con el cifrado AES-256. Para la contraseña, uso LastPass para generar una contraseña de 100 caracteres que consta de minúsculas, mayúsculas, números y algunos caracteres especiales. Creo una nota segura en el último paso que documenta la contraseña y la ubicación del archivo. Luego utilizo el comando dividir para dividir el archivo .gpg en trozos de 50 MB en lugar de almacenar un archivo enorme.

Luego subo los archivos a mi unidad de sincronización o google donde tengo grandes cantidades de datos.

Mi última cuenta de pase está protegida por una frase de contraseña de 30 caracteres que puedo recordar fácilmente, pero contiene algunos números y caracteres especiales.

Específicamente quiero usar sync.com o algo equivalente en lugar de almacenar en mi disco duro local, ya que creo que es menos probable que se pierdan o dañen los datos.

¿Mi procedimiento para proteger mis datos y fotos es seguro? No quiero que los empleados de Google o los empleados de sincronización miren las fotos de mis vacaciones.

    
pregunta KennyBartMan 27.11.2016 - 01:31
fuente

2 respuestas

1

Sí, esto protege sus datos de Google, sync.com y de cualquier persona que intente capturar sus datos mientras se encuentra en tránsito hacia Google.

Tres cosas para pensar:

  1. Su contraseña de último paso es mucho más corta y contiene (como suena) mucha menos entropía que la que protege su archivo tar de gpg. Por lo tanto, es probable que alguien que ataque este esquema ataque su cuenta de Lastpass (ya que ahora es de conocimiento público que su contraseña allí es más débil).

  2. Parece que estás usando GPG en modo de cifrado simétrico (más sobre una alternativa al final de mi respuesta). Entonces, ¿qué debe hacer para detener a un empleado de Last Pass que no está de acuerdo con un poco de conocimiento técnico para robar su contraseña de gpg y venderla a una parte interesada en Google? O si encuentra ese problema demasiado teórico, ¿qué pasa con un ataque en el servicio de último paso que roba millones de contraseñas de usuario y las publica? Ya que ha agregado una nota sobre dónde se encuentran los archivos cifrados, básicamente está entregando sus archivos cifrados a cualquiera que pueda acceder a su cuenta de Lastpass (bueno, en teoría, de todos modos, todavía tiene que obtener su cuenta de Google). Contraseña de la unidad ...)

  3. Estás dividiendo tu archivo en múltiples archivos. ¿Por qué exactamente estás haciendo esto? Si pierde solo uno, corre el riesgo de perder todos sus datos. Digamos que pierde el archivo 20 (de 200): ha perdido todo el contenido que se almacenó en los archivos 20-200 para siempre. Mantener todo en un archivo grande puede dificultar y descargar un poco más, pero reduce el riesgo de perder uno de los archivos.

Algunas sugerencias

El punto 3 también es un problema con un archivo enorme que accidentalmente se invierte un solo bit en tránsito. Pensaría en la redundancia un poco. Hay formas de agregar corrección de errores sin tener que duplicar el tamaño de los datos. (Creo que algunos programas de compresión lo admiten de forma nativa, aunque no puedes esperar que comprimen realmente tu archivo .tar.gpg ...). La confidencialidad está muy bien, pero su esquema es un esquema de respaldo, por lo que también debe pensar en la disponibilidad.

También sugeriría no almacenar su contraseña GPG en un servicio externo (Lastpass). Si tiene miedo de perder la contraseña de 100 caracteres, escríbala en un papel físico y póngala en una caja de seguridad de un banco en el que confíe.

Además, esto podría parecer paranoico, pero no usaría la misma frase de contraseña una y otra vez para cifrar tus archivos gpg. En su lugar, generaría un archivo que contenía una cantidad de bytes verdaderamente aleatorios cada vez que necesitaba cargar una nueva copia de seguridad y usarla como una clave para mi archivo tar de gpg'd. Luego cifraría este archivo aleatorio con mi frase de contraseña de 100 caracteres y lo guardaría en mi computadora, lo enviaría para que lo almacenara en google / sync y tal vez lo guardara en una ubicación adicional. (Básicamente, crearía una clave de sesión con la cual cifrar mis datos y utilizaría la cadena de 100 caracteres como clave maestra para descifrar las claves de sesión). Puede automatizar esto de manera bastante sencilla, y le brinda confidencialidad en caso de que una de sus claves de sesión de respaldo se vea comprometida y la capacidad de descifrar cualquier respaldo específico sin perder el control sobre su clave maestra.

Finalmente, si realmente está utilizando Google Drive como respaldo y no necesita realmente descifrar los datos, excepto en emergencias, podría pensar en usar gpg en su modo de criptografía de clave pública. Haga un par de llaves de respaldo, y luego mantenga su clave privada segura fuera de línea (en una caja de depósito bancaria, en un CD ROM, impresa en un pedazo de papel en algún lugar para guardarla) mientras usa la clave pública para cifre sus claves de sesión simétricas (el uso de la criptografía de clave pública para cifrar con gpg haría que el paso de la clave de la sesión manual pareciera redundante, aún así lo haría para un mejor secreto hacia adelante). Por lo tanto, nunca tendrá que preocuparse por que su clave maestra (clave privada) se vea comprometida por los ataques cibernéticos, incluso si almacena su clave pública en LastPass. Incluso si lo robaron, todo lo que podrían hacer con él es encriptar más datos; no pudieron usarlo para descifrar las claves de su sesión.

    
respondido por el Pascal 27.11.2016 - 10:56
fuente
0

Su sistema está bien (una contraseña de 30 caracteres es adecuada para una billetera). Nadie va a usar la fuerza bruta de tus archivos de 100 char pw gpg y venderá tus datos a google. Intenté vender mis propias copias de seguridad a google una vez :) :) :) De todos modos, también necesita una copia física de su copia de seguridad, para su custodia, en un medio seguro, en un lugar seguro, fuera de línea. Yo usaría una caja RAID para esto, tal vez con LUKS / softraid si tienes una PC de repuesto, por lo que no necesitas gpg todo el tiempo. Los SSD no necesitan actualización magnética cada pocos años, pero si son demasiado caros, use discos magnéticos. Siempre mantenga varias copias de seguridad de los datos importantes. Si se elimina un conjunto de copia de seguridad, use el otro conjunto.

    
respondido por el user400344 27.11.2016 - 11:58
fuente

Lea otras preguntas en las etiquetas