Cifrado antes de realizar la copia de seguridad en la nube

Navega tus respuestas
2

A lo largo de los años, he recopilado una gran cantidad de datos (aproximadamente 3 TB) en fotos y videos, he estado actualizando a discos duros más nuevos y más grandes y, afortunadamente, no me han fallado. Me he dado cuenta de que mi patrón de acceso es escribir una vez y leer muy raramente, creo que AWS Glacier es una buena opción para mi caso de uso.

Al principio, pensé que iría con su oferta BYOK para cifrar mis datos, pero después de leer un poco, parece que BYOK tiene cero beneficios de seguridad y es solo una táctica de marketing. Dado que el proveedor de la nube tendría acceso a mi clave, en teoría (en la práctica también) podría acceder a mis datos sin mi consentimiento.

Por lo tanto, creo que sería más sensato cifrar mis datos antes de cargarlos en Glacier. He estado leyendo un poco más y parece que tengo dos opciones usando -

  1. Clave simétrica con AES y similares
  2. Clave asimétrica con RSA o GPG

No quiero almacenar las claves / contraseñas que uso en mi máquina durante más tiempo del necesario y me pregunto si podría usar un Yubikey físico para descifrar los datos cuando sea necesario.

No estoy muy seguro de cómo Yubikey encaja con las dos opciones y cuál es mejor.

Planeo almacenar la clave / contraseña privada en otro almacenamiento en la nube como Dropbox o algo así para mantenerlos a distancia, idealmente, solo tendría que acceder a eso si mi Yubikey se pone mal. Me doy cuenta de que esto puede no ser perfecto, pero sin poder acceder a los datos en caso de una falla catastrófica anularía el propósito de la copia de seguridad. Los datos contendrán fotos personales, videos y algunos documentos si eso es importante para elegir la estrategia adecuada.

Las principales preguntas que tengo son -

  1. ¿Cuál es la opción más adecuada para mi situación?
  2. ¿Cuál es el tamaño de clave correcto para la elección? Mi entendimiento es el más grande, mejor. Ya que no necesito acceder a estos datos frecuentemente Estoy contento con el cifrado / descifrado que lleva más tiempo.
  3. Cualquier anécdota personal o recomendación que pueda tener para mí Eso me ayudará a proteger los datos y equilibrar la seguridad y usabilidad?
pregunta nikhil 10.07.2018 - 02:44
fuente

2 respuestas

2
  

parece que tengo dos opciones usando -

     
  1. Clave simétrica con AES y similares
    2.   
  2. Clave asimétrica con RSA o GPG
    3.   

Probablemente no querría usar la criptografía de clave asimétrica directamente porque es muy lenta en comparación con la simétrica.

Sin saber más acerca de cómo están estructurados sus datos, sería difícil decir exactamente cuál es la mejor ruta.

Si sus datos son un conjunto de archivos , genere una clave AES aleatoria y encripte cada archivo utilizando un modo AES moderno (por ejemplo, GCM no ECB, al menos algo que utiliza un IV aleatorio) Parece que podría funcionar para ti.

  

Las principales preguntas que tengo son -

     
  1. ¿Cuál es la opción más adecuada para mi situación?
    2.   

Simétrico.

  
  1. ¿Cuál es el tamaño de clave correcto para la elección? Mi entendimiento es el   más grande, mejor. Ya que no necesito acceder a estos datos frecuentemente   Estoy contento con el cifrado / descifrado que lleva más tiempo.
    2.   

Es probable que la clave simétrica de 256 bits sea lo suficientemente grande. por ejemplo, AES 256.

  
  1. Cualquier anécdota personal o recomendación que pueda tener para mí   Eso me ayudará a proteger los datos y equilibrar la seguridad y   usabilidad?
    2.   

Podría ser bueno investigar si los costos asociados con sus medidas de seguridad de datos son razonables en relación con el valor de los datos.

Actualizar para abordar los comentarios:

Si la clave AES única se mantiene segura, entonces no hay necesidad de más de una, siempre y cuando use un modo AES moderno que incluya el uso de un IV aleatorio (y por lo tanto ese IV es diferente para cada archivo).

Si le preocupa mantener segura la clave única de AES, entonces podría usar un método alternativo (que también es empleado por cierto ransomware). El método consiste en: (1) Generar un solo par de claves pública / privada y mantener la clave privada privada ; (2) genere una clave AES aleatoria para cada archivo ; (3) Cifre cada archivo con su propia clave AES aleatoria; (4) Cifre cada clave AES aleatoria con su clave pública única; (5) almacene el archivo cifrado AES y la clave AES cifrada con clave pública como un nuevo archivo / blob. En este caso, aún debe preocuparse por mantener segura la clave privada, pero es un poco más fácil que proteger una única clave AES que tiene que moverse y existir en la máquina real que realiza el cifrado (mientras que con el esquema asimétrico, solo el público La llave tiene que moverse.

    
respondido por el hft 10.07.2018 - 04:04
fuente
0

En mi opinión, el uso de AWS KMS para administrar sus claves de cifrado es seguro. KMS está bien investigado en la comunidad de seguridad. Compare esto con los riesgos de administrar sus propias claves de cifrado y perderlas, le recomiendo KMS o CloudHSM en todo momento.

El cifrado asimétrico normalmente no se utiliza para cifrar datos basados en archivos. Para ello utiliza cifrado simétrico. Hoy AES-128 o AES-256 está bien.

Estas son mis opciones, ya que he estado usando AWS durante 12 años, 30 años en seguridad forense, MVP en Seguridad y tengo la certificación de Especialidad de Seguridad de AWS (junto con otros siete certificados de AWS) y muchos de mis clientes son gobiernos donde la seguridad es muy importante.

    
respondido por el John Hanley 18.07.2018 - 23:18
fuente

Lea otras preguntas en las etiquetas

¿Yubikey 4 admite varias claves de cifrado OpenPGP o solo una? ¿Cómo rastrear la ubicación donde está ocurriendo MITM?