En mi búsqueda de un NAS encriptado, he encontrado algunos productos que hablan de hacer una copia de seguridad de la clave de encriptación y almacenarla en un lugar seguro. Mi pregunta es si este archivo de claves de copia de seguridad es suficiente para descifrar el contenido de una unidad cifrada o ¿también se requiere una contraseña?
Estoy particularmente interesado en el Synology NAS DS216j, pero las respuestas generales también son bienvenidas.
En la mayoría de los casos, mientras que puede generar una clave privada sin una frase de contraseña / contraseña, no se recomienda hacerlo. Sin embargo, en algunas situaciones, Es necesario, dependiendo de cómo funciona la arquitectura del sistema.
El problema es que la clave privada es la clave del reino. Si no tiene una frase de contraseña, entonces cualquiera que obtenga la clave puede usarla. Si lo hace, entonces ellos También necesita esa frase de contraseña para usarla. Sin embargo, si la clave es parte de alguna proceso de autenticación automatizada, dependiendo de cómo se implementa el sistema, se puede no ser posible o puede no ser conveniente tener que ingresar una frase de contraseña para usa la llave A menudo, hay un agente clave involucrado por el cual usted debe ingrese la contraseña en el primer uso y después de eso, el agente clave se encargará de de cosas (por ejemplo, en primera conexión).
Es posible que su NAS requiera una clave privada sin un passpharse debido a El diseño / arquitectura subyacente. Si este es el caso y te preocupa que la copia de seguridad de su clave privada puede no ser lo suficientemente segura, entonces la solución fácil sería cifrar su copia de seguridad con otra clave que tiene una contraseña / frase de contraseña.
Esta es una solución común para mitigar el riesgo de pérdida de contraseña. Funcionalmente, es equivalente a escribir un secreto (la contraseña para decodificar) en un papel y luego guardar el papel en una caja fuerte física: puede {login | unlock | decode} recordando la contraseña o abriendo la caja fuerte para obtener de vuelta.
El riesgo es simplemente que si el lugar donde almacena su copia de seguridad secreto no es lo suficientemente seguro, obtendrá una puerta trasera: cualquier persona que acceda al lugar seguro podrá acceder al protegido. datos.
Dicho esto, esto es común en el entorno corporativo para el cifrado completo del disco: el servicio de soporte de TI configura el disco cifrado y mantiene una imagen del sector clave que almacenan en su caja de seguridad física. Luego le dan la computadora al usuario. El usuario puede cambiar su clave a voluntad y utiliza el disco normalmente. En caso de un desastre (el usuario no puede desbloquear el disco porque ha sufrido lesiones graves, ha muerto o simplemente ha olvidado su contraseña), la organización puede devolver el disco al servicio de soporte de TI. Restauran el sector clave guardado y recuperan el acceso al disco cifrado que puede contener archivos importantes que pertenecen a la organización.
Lea otras preguntas en las etiquetas passwords disk-encryption