เข้ารหัสข้อมูลสำรองนอกสถานที่ - จะเก็บกุญแจเข้ารหัสได้ที่ไหน

นอกเหนือจากการสำรองข้อมูลตามสถานที่ปกติ (เก็บไว้ในตู้นิรภัยที่ทนไฟ) เรายังส่งเทปนอกสถานที่เดือนละครั้งเข้ารหัสด้วย AES ดังนั้นหากไซต์ของเราถูกไอร้อนจากรังสีความร้อนจากมนุษย์ต่างดาววันหนึ่งเราควรมีการสำรองข้อมูลล่าสุดหนึ่งครั้งเพื่อกู้คืนจาก

ยกเว้นว่าคีย์เข้ารหัสแบบ 128 บิตจะถูกจัดเก็บไว้ในสถานที่เท่านั้น ดังนั้นในกรณีที่เกิดภัยพิบัติจริงที่เราจะจริงจะทิ้งให้อยู่กับการสำรองข้อมูลที่เข้ารหัสหนึ่งและวิธีการถอดรหัสไม่มี

คำถาม:นโยบายที่ดีที่สุดสำหรับการจัดเก็บคีย์การเข้ารหัสนอกสถานที่คืออะไร?

วิธีใดก็ตามที่เราเลือกจะต้องผ่านการตรวจสอบความปลอดภัยดังนั้น "เก็บสำเนาไว้ที่บ้าน" ไม่เพียงพอและ "เก็บด้วยเทปนอกสถานที่" เห็นได้ชัดว่ามีจุดประสงค์ในการเข้ารหัสพวกเขาตั้งแต่แรก! สองตัวเลือกที่เรากำลังพิจารณารวมถึง:

• ตู้เซฟในธนาคาร
• เก็บไว้ในคลาวด์หรือบนเครือข่ายแยกทางภูมิศาสตร์ในรูปแบบที่มีการป้องกันด้วยรหัสผ่าน (เช่นการใช้ซอฟต์แวร์เช่น Keepass หรือรหัสผ่านที่ปลอดภัย)

แน่นอนตัวเลือกที่สองโพสคำถามอื่น: ทำอย่างไรเราจะเก็บไว้ที่ปลอดภัยรหัสผ่าน

นี่จะเป็นอัตนัยอย่างมาก ฉันคิดว่าเราจำเป็นต้องรู้เพิ่มเติมเกี่ยวกับอุตสาหกรรมของคุณและข้อกำหนดด้านกฎระเบียบเฉพาะเพื่อให้คำแนะนำที่ดี สิ่งที่อาจพอเพียงสำหรับธุรกิจขนาดเล็กในอุตสาหกรรมที่ไม่มีการควบคุมอาจไม่ได้ผลสำหรับธุรกิจขนาดใหญ่ในอุตสาหกรรมที่มีการควบคุม

การเก็บรหัสในกล่องนิรภัยอาจเพียงพอเนื่องจากธนาคารควรจะรับรองความถูกต้องของฝ่ายที่สามารถเข้าถึงกล่อง (โดยทั่วไปจะมีรูปถ่าย ID กับรายชื่อของบุคคลที่ได้รับอนุญาต) นอกจากนี้ยังมีคีย์ทางกายภาพที่จำเป็นในการเปิดกล่อง เมื่อคุณรวมคุณสมบัติเหล่านี้เข้ากับกล่องที่จัดเก็บไว้ในสถานที่ที่ปลอดภัยทางกายภาพมันดูเหมือนเป็นสถานที่ที่ดีสำหรับเก็บกุญแจให้ฉัน โดยส่วนตัวแล้วฉันกังวลมากขึ้นเกี่ยวกับเทปที่สูญหายหรือถูกขโมยย้ายไปยังหรือจากตู้เซฟไม่ถูกขโมยจากตู้เซฟ อีกทางหนึ่งคุณสามารถรับตู้เซฟที่ธนาคารอื่นที่มีบุคคลที่ได้รับอนุญาตชื่อต่าง ๆ เพื่อเก็บข้อมูลสำคัญ

คุณอาจมองว่าการมีที่ปรึกษาขององค์กรจัดเก็บกุญแจไว้โดยสมมติว่าคุณไม่มีทนายความในบ้าน

เพื่อให้ได้ geeky และเทคนิคมีอัลกอริทึมต่าง ๆ ที่ช่วยให้คุณสามารถแบ่งคีย์ลับเป็นจำนวนชิ้นเช่นความร่วมมือของจำนวนฝ่ายที่ต้องการบางอย่างจำเป็นต้องสร้างความลับใหม่ ฉันไม่ได้ตระหนักถึงการใช้งานจริงใด ๆ ของรูปแบบเหล่านี้ แต่ฉันเดิมพันว่ามีบางอย่างถ้าคุณค้นหายากพอ คุณสามารถแจกจ่ายเนื้อหาสำคัญไปยังหลาย ๆ ฝ่ายเช่นที่เศษส่วนบางส่วนของพวกเขาเมื่อรวมกันสามารถสร้างกุญแจขึ้นมาใหม่ได้ การประนีประนอมของแต่ละชิ้นส่วนของกุญแจ (หรือจำนวนชิ้นน้อยกว่าเกณฑ์ที่กำหนด) จะไม่ส่งผลให้เกิดการประนีประนอมของกุญแจ

แก้ไข:

การค้นหาอย่างรวดเร็วทำให้เกิดการแชร์ที่แชร์ซึ่งเป็นการดำเนินการตามเกณฑ์ของ GPL

ทางออกหนึ่งที่เห็นได้ชัดคือเก็บสำเนาของคีย์ไว้ในตำแหน่งนอกไซต์ที่ต่างกัน เช่นกล่องเงินฝากธนาคารหรือ บริษัท จัดเก็บข้อมูลนอกสถานที่ที่เป็นอิสระอย่างสมบูรณ์

คุณอาจพบว่าการออกจากคีย์กับกรรมการ บริษัท ทนายความหรือนักบัญชีอาจเพียงพอ

วิธีแก้ปัญหาในทางปฏิบัติ:

สร้างคีย์ ssh ส่วนตัว 4096 บิตบนไดรฟ์ USB จากนั้นสร้างคอนเทนเนอร์ไฟล์ที่เข้ารหัสอย่างหนักโดยใช้ truecrypt และใช้คีย์ ssh เป็น 'keyfile' นั่นคือไดรฟ์ที่เข้ารหัสถูกปลดล็อกด้วย ssh keyfile เมานต์คอนเทนเนอร์ไฟล์เช่นพาร์ติชันและสร้างระบบไฟล์ขึ้นมา (เช่น mkfs.ext4.) เมาท์พาร์ติชันแล้วเขียนไฟล์รหัสผ่านที่คุณต้องการเก็บถาวร ถอนติดตั้งทุกอย่างแล้วส่งคีย์ usb พร้อมเทปเก็บถาวรของคุณ คอนเทนเนอร์ไฟล์ที่คุณสร้างขึ้นคุณสามารถ (ค่อนข้างปลอดภัย) ใส่ไว้ในบัญชีดรอปบ็อกซ์การดำเนินการบนฟลอปปี้ดิสก์ (ใครจะดูอย่างจริงจัง?) เป็นต้นโดยพื้นฐานแล้วหากไม่มีไฟล์คีย์มันจะเป็นไปไม่ได้เลย และ keyfile ที่จัดเก็บนอกสถานที่นั้นไร้ประโยชน์หากไม่มีพาร์ติชั่นเข้ารหัสที่คุณจัดเก็บ ... ทุกที่

นี่อาจฟังดูเป็นคำตอบที่ซับซ้อน แต่บางทีมันอาจนำคุณไปในทิศทางที่ถูกต้อง อีกวิธีหนึ่งแฟลชไดรฟ์ที่เข้ารหัสอาจเพียงพอ

https://www.ironkey.com/

http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html

ไม่ว่าคุณจะแก้ปัญหาด้วยวิธีใดก็ตามสิ่งที่สำคัญที่สุดคือชัดเจนมากคำแนะนำในปัจจุบันเกี่ยวกับสิ่งที่ต้องทำพูดถ้าคุณถูกรถบัสชนกับซอมบี้ในวันเดียวกัน สิ่งที่ง่ายเหมือนแพ็กเก็ต "ในกรณีที่เกิดภัยพิบัติ" ที่ไปกับการสำรองข้อมูลของคุณควรเพียงพอ

ฉันทำงานให้กับองค์กรขนาดใหญ่และเรามีระบบที่คล้ายกันสำหรับการเข้ารหัสการสำรองข้อมูลของเซิร์ฟเวอร์ออกใบรับรอง เรามีระบบภายใน บริษัท ที่แยกต่างหากและเป็นกรรมสิทธิ์ซึ่งจะรักษาความปลอดภัยของรหัสผ่านสำหรับคีย์ที่เราใช้, ID ที่ใช้ร่วมกันเป็นต้น

ระบบต้องการ 'ตรวจสอบ' รหัสผ่านของคีย์พร้อมด้วยรหัสผู้ใช้หมายเลขเหตุการณ์เหตุผล ฯลฯ เมื่อเราใช้งานเสร็จแล้วเราจะต้องตรวจสอบอีกครั้งหากไม่ได้ตรวจสอบอีกครั้งหลังจาก 24 ชั่วโมงระบบจะตรวจสอบอีกครั้งโดยอัตโนมัติและผู้จัดการอีเมล ฯลฯ ที่เราไม่ได้ตรวจสอบ

ไม่มีใครสามารถรับข้อความรหัสผ่านและอื่น ๆ ได้ในขณะที่เราเช็คเอาท์และมีความท้าทาย / การตอบสนองเพิ่มเติมเมื่อเราเช็คเอาต์ ระบบตั้งอยู่ในสถานที่ที่แตกต่างอย่างสิ้นเชิง

การเป็นองค์กรขนาดใหญ่มันคุ้มค่า แต่อาจมีผลิตภัณฑ์ออกมาที่ทำกิจกรรมที่คล้ายกัน

ว้าวตู้เซฟทนายความและวิธีการที่ซับซ้อนอื่น ๆ ในหัวข้อนี้ ไม่จำเป็นทั้งหมดอย่างสมบูรณ์

ไพรเวตคีย์สามารถบรรจุในไฟล์ข้อความขนาดเล็กได้ไหม? ดังนั้นตั้งค่าบัญชี SpiderOakและซิงค์ไฟล์กับคลาวด์ จากนั้นในกรณีที่คุณสูญเสียทั้งไซต์เนื่องจากไฟไหม้คุณสามารถดึงเทปบันทึกข้อมูลสำรองจากตำแหน่งนอกสถานที่อื่น ๆ จากนั้นเข้าสู่ระบบผ่านทางเว็บไซต์ SpiderOak และดาวน์โหลดไฟล์กุญแจส่วนตัว สิ่งที่คุณต้องใช้ในการเข้าสู่เว็บไซต์ SpiderOak คือชื่อผู้ใช้และรหัสผ่าน ดังนั้นบางทีคุณและคนอื่นในองค์กรอาจจำได้ในหัวของพวกเขา เลือกชื่อภาพยนตร์สองเรื่องที่คุณชื่นชอบหรือบางอย่าง ไม่ยากที่จะจำ

SpiderOak นั้นดีเพราะคุณต้องการชื่อผู้ใช้และรหัสผ่านเพื่อเข้าถึงข้อมูล มันยังเข้ารหัสอย่างหนัก นอกจากนี้ยังมีความปลอดภัยมากกว่า DropBox เพราะพวกเขาไม่ได้จัดเก็บคีย์การเข้ารหัส / ถอดรหัสและไม่มีความรู้ว่าข้อมูลของคุณคืออะไรและไม่สามารถเข้าถึงข้อมูลของคุณในบัญชีของคุณได้ DropBox อย่างไรก็ตามเปิดสำหรับพนักงานหรือรัฐบาลสหรัฐอเมริกาในการเข้าถึงข้อมูลด้วยใบสำคัญแสดงสิทธิ หากคุณกำลังใช้งาน DropBox คุณจะต้องใส่รหัสลงในไฟล์ KeyPassและจำรหัสผ่านเพื่อเข้าใช้งานเช่นกัน

ในตอนท้ายของวันแม้ว่ามันจะเป็นไฟล์ข้อความธรรมดาที่มีกุญแจอยู่ในนั้น เท่าที่ใครก็ตามที่เข้าถึงคีย์นั้นใน SpiderOak หรือ DropBox พวกเขาไม่รู้เลยว่ากุญแจคืออะไรหรือมันปลดล็อคหรือแม้แต่ตำแหน่งของการสำรองข้อมูลทางกายภาพของคุณ ดังนั้นจึงไม่มีประโยชน์สำหรับพวกเขาแม้ว่าพวกเขาจะได้รับมัน