การซิงค์คีย์ส่วนตัวเป็นความคิดที่ดีหรือไม่


11

การรักษาความปลอดภัยอูบุนตูหนึ่งของคำถามที่พบบ่อยบ่งชี้ว่า Canonical เข้ารหัสการเชื่อมต่อและการ จำกัด การเข้าถึงข้อมูลของผู้ใช้ ทั้งหมดนี้ใช้ได้ดีและฉันเชื่อว่า SSL สำหรับธนาคารออนไลน์และสิ่งอื่น ๆ มีค่ามากกว่ากุญแจส่วนตัวของฉัน

ที่กล่าวว่าฉันค่อนข้างกังวลเกี่ยวกับการวางของฉัน~/.ssh/id_dsaในเมฆ เห็นได้ชัดว่าไม่มีระบบใดที่ปลอดภัยอย่างสมบูรณ์ บางฝ่ายที่มีความรู้สามารถระบุปริมาณความเสี่ยงในทางปฏิบัติได้หรือไม่?


ฉันได้อัปเดตคำตอบแล้วหวังว่าจะช่วยให้คุณเข้าใจถึงความเสี่ยงได้ดีขึ้น
Huygens

คำตอบ:


6

ที่เก็บข้อมูล Ubuntu หนึ่งไม่ได้รับการเข้ารหัสด้วยรหัสการเข้ารหัสลับของผู้ใช้

เช่นเดียวกับ Dropbox, Ubuntu One store ไม่ได้เข้ารหัสด้วยวลีรหัสผ่านพิเศษ ดังนั้นจึงเป็นไปได้ในทางเทคนิคที่ใครบางคนสามารถเข้าถึงข้อมูลของคุณไม่ว่าจะโดยพนักงานที่ไม่น่าไว้วางใจหรือการละเมิดความปลอดภัย ดูรายงานข้อผิดพลาดนี้เกี่ยวกับการเข้ารหัสข้อมูลที่จัดเก็บ UbuntuOneก็ยังคงเป็นสิ่งที่ปรารถนา

ดังนั้นฉันจะไม่ซิงค์โฟลเดอร์ ~ / .ssh ของฉันกับคลาวด์ นอกจากว่าคุณจะตั้งค่าคอนเทนเนอร์ที่เข้ารหัสซึ่งถูกส่งไปยังคลาวด์ แต่สำหรับคีย์ ssh จะไม่สะดวกเสมอไป แต่ฉันให้วิธีที่สะดวกในการเข้ารหัสข้อมูลของคุณ:

ข้อมูลมากกว่านี้

Ubuntu One ใช้การเข้ารหัสสำหรับการเชื่อมต่อ (ตามที่กล่าวไว้ในความเป็นจริง) หมายความว่าโดยทั่วไปข้อมูลจะถูกส่งผ่าน HTTPS บางประเภท คุณสามารถใช้ภาพเคลื่อนไหวจริงๆทำได้ดีของสิ่งที่มองเห็นได้ดักฟังเมื่อใช้ HTTPS , มารยาทของEFF (Electronic Frontier Foundation)

โดยการคลิกที่ปุ่ม HTTPS บนแอนิเมชั่น EFF คุณจะสามารถเห็นสิ่งที่ทุกคนมองเห็นได้เมื่อคุณวางกุญแจ SSH ใน Dropbox หรือ Ubuntu One container ตามที่อนิเมชั่นบอกคนจำนวนมากที่ site.com (เช่น one.ubuntu.com) จะสามารถดูข้อมูลของคุณ (และอีกมากมาย) แม้ว่าคุณจะใช้บางอย่างเช่น Tor เพื่อกำหนดเส้นทางการรับส่งข้อมูลทั้งหมดของคุณก็ยังหมายความว่าผู้ใช้ที่ site.com สามารถเข้าถึงข้อมูลได้

ดังนั้นคุณต้องเข้ารหัสข้อมูลก่อนที่จะออกจากคอมพิวเตอร์ของคุณ ดังนั้นจึงมาถึงการเข้ารหัสที่ site.com พร้อมข้อมูลรับรองที่ไม่ทราบ แน่นอนว่าคุณจะต้องใช้กลไกการเข้ารหัสที่แข็งแกร่งเพื่อที่จะทำให้ผู้คนใน site.com ช้าลงอย่างมาก

แน่นอนในกรณีของธนาคารคุณไม่สามารถเข้ารหัสเงินของคุณในขณะที่คุณจ่ายเงินธนาคารเพื่อจัดการให้คุณ ดังนั้นคุณจึงไม่มีทางเลือกนอกจากให้ความไว้วางใจกับธนาคารในการทำให้ระบบไอทีของพวกเขาปลอดภัยเท่ากับห้องนิรภัยทางกายภาพเพื่อให้มีพนักงานย่อยเพียงเล็กน้อยเท่านั้น (คนที่จัดการบัญชีของคุณ) สามารถดูและแก้ไขข้อมูลของคุณได้


1

ฉันค่อนข้างกังวลเกี่ยวกับการวาง ~ / .ssh / id_dsa ของฉันในคลาวด์

ทางออกหนึ่งคือสิ่งที่ฉันทำกับ ssh และ gpg ไพรเวตคีย์กับ Dropbox: เข้ารหัสมันลงในไฟล์เก็บถาวรและลบต้นฉบับ "ดิบ" เมื่อใดก็ตามที่ต้องการฉันจะดึงมันชั่วคราวแล้วลบมันเมื่อเสร็จแล้ว

ฉันใช้p7zip(ใช้การเข้ารหัส AES-256) แต่คุณสามารถใช้เครื่องมืออื่น ๆ ได้ ด้วยวิธีนี้สิ่งที่ได้รับการซิงค์คือไฟล์เก็บถาวรที่เข้ารหัสและแม้ว่าที่จัดเก็บข้อมูลบนคลาวด์จะถูกบุกรุกไม่มีใครสามารถแยกคีย์ส่วนตัวยกเว้นว่าพวกเขารู้วลีรหัสผ่านสำหรับไฟล์เก็บถาวร

เพื่อให้ชีวิตง่ายขึ้นสำหรับสิ่งที่คุณทำบ่อยๆ (เช่นการถอดรหัส gpg) คุณสามารถให้สคริปต์ทุบตีเรียบง่ายจัดการส่วนการถอดรหัส / การใช้ / การลบชั่วคราว มันควรปิดการใช้งาน daemons การซิงค์ใด ๆ เป็นการชั่วคราวเพื่อให้คีย์ที่ถูกแยกไม่ถูกซิงค์โดยไม่ตั้งใจ


1

คุณสามารถบันทึกคีย์ของคุณบน U1 ผ่านเครื่องมือสำรอง Deja-dup หากคุณตั้งรหัสผ่านไฟล์สำรองข้อมูลจะถูกเข้ารหัสโดยอัตโนมัติใน U1 ไม่จำเป็นต้องทำด้วยตนเอง


1

มีตัวชี้วัดที่แตกต่างกันสำหรับการกำหนดความเสี่ยง แต่คุณต้องคำนึงถึงคุณค่าของข้อมูลหรือระบบที่คีย์สามารถให้การเข้าถึง หากคีย์หายไปและบางเอนทิตีสามารถใช้เพื่อเข้าใช้งานได้สิ่งใดบ้างที่จะถูกบุกรุก? ความกลัวนั้นจะเกิดขึ้นกับข้อมูลที่เป็นความลับการสูญเสียข้อมูลความเป็นไปได้ที่จะทำให้บัญชีอ่อนแอจากระดับผู้ดูแลระบบหรือระดับบัญชีเป็นต้น หากคุณสามารถสร้างข้อมูลที่ไม่เป็นความลับและหากคุณมีข้อมูลที่เป็นความลับเก็บไว้อย่างปลอดภัย (เช่นเข้ารหัส) นี่เป็นการกดน้อยกว่า ฉันคิดว่าการแจกแจงวิธีแก้ไขปัญหาสำหรับจุดอ่อนที่แตกต่างกันในระบบเป็นส่วนหนึ่งของการกำหนดความเสี่ยงโดยรวมของคุณ ในทางปฏิบัติเป็นไปได้ยากที่การจัดเก็บ. id_rsa ของคุณจะเป็นปัญหาโดยเฉพาะอย่างยิ่งถ้าคุณหมุนแป้นในบางช่วงเวลา สิ่งนี้ขึ้นอยู่กับสมมติฐานหลายประการ แต่อย่างไรก็ตาม


0

ทางออกที่ง่าย เรียงจาก หากคุณไม่สามารถใช้บางอย่างเช่นแฟลชไดรฟ์ USB ให้ใส่วลีรหัสผ่านในคีย์ SSH ของคุณ การพิสูจน์ตัวตนแบบสองปัจจัยทันที (เรียงลำดับ) คุณไม่จำเป็นต้องอัพโหลดกุญแจสาธารณะใหม่

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.