debianforum.de

[mod3]

Hallo!

Um einige teilweise äußerst sensible Kundendaten zu sichern verwende ich momentan folgendes Verfahren:

Habe ein Skript verfasst, welches mir die Dateien in ein Verzeichnis kopiert, dieses Verzeichnis mit TAR packt, mit Bzip2 komprimiert und im Anschluss mit gpg verschlüsselt.
Hierzu muss ich von Hand ein Passwort eingeben, gpg läuft mit folgenden Parametern:

Code: Alles auswählen

gpg -c --cipher aes256 datei.tar.bz2

Die so entstandene verschlüsselte Datei kopiere ich dann auf einen mittelmäßig geschützten FTP-Server.
Es geht einfach darum, die Daten täglich zu sichern. Mich würde es ncihtmal stören, wenn jemand dieses Archiv in die Finger bekäme, solange die so realisierte Verschlüsselung wirklich sicher ist.
Was meint ihr dazu? Wäre es unter Umständen sicherer, statt eines Passwortes einen Key zu verwenden?

MfG
mod3

[FANA]

Wäre es unter Umständen sicherer, statt eines Passwortes einen Key zu verwenden?

Ja. Key mit Passphrase. Damit muss derjenige erstmal an deinen Key gelangen und die Passphrase dazu

[uname]

Naja. Liegt nicht zuletzt am Passwort. Wenn die Datei auf irgendeinem Server rumliegt sollte das Passwort schon sehr gut sein. Wenn es per Key verschlüsselt ist muss nur der Key an einem sicheren Ort sein und die zugehörige Passphrase kann geringer ausfallen, bei automatischen Sicherungen sogar evtl. ohne Passphrase.

Ich nutze aespipe, welches ein Passwort von mindestens 20 Zeichen verlangt. Gibt auch eine Key-Option. Vorteil von aespipe ist, dass man es direkt mit Pipes nutzen kann und das Ergebnis genauso groß ist wie das Original. Es sind anschließend keine Verschlüsselungsinformationen erhalten, ist scheinbar nur Datenmüll.

Vielleicht kannst du ja auch curlftpfs in Verbindung mit encfs nutzen. Das wäre cool wenn das gehen würde.

[BeWo]

Ich mache es genauso, wenn ich Daten von der Firma zu mir nach Hause schicke:
- Daten in ein ZIP-Archiv packen
- Dieses ZIP Archiv mit meinem Public-Key meines E-Mail Accounts verschlüssen (Option: -encrypt)
- Zuhause dann das ZIP-Archiv mit meinem Private-Key entpacken
Um dieses ZIP Archiv zu entschlüsseln müsste jemand in meine Wohnung einbrechen, den Private-Key holen und den Passphrase meines Private-Key kennen.
Das ist sehr unwahrscheinlich.

Nun zu Deiner Frage:
Ich halte die Verschlüsselung mittels eines Schlüssels+Passphrase sicherer als die Verschlüsselung nur mit einem Passphrase.
Die Begründung: Es müssen zwei Hürden überwunden werden. Nicht nur eine Hürde.

Hoffentlich konnte ich weiterhelfen.

[mod3]

Ok, um mit einem Key zu verschlüsseln (evtl mit Passphrase) muss ich also folgendes tun:

- ganz normalen ElGamal/DSA-Key generieren
- public-Key auf den Server übertragen, auf dem verschlüsselt werden soll
- mittels

Code: Alles auswählen

--encrypt

verschlüsseln

Wie wähle ich den zugehörigen Public-Key aus? Er muss ja identifiziert werden.
Muss ich dem Key beim Erstellen eine Mail-Adresse zuweisen? Ist ja so gesehen unnötig, solange ich ihn nur zur Datenverschlüsselung einsetze.
Kann ich trotzdem explizit AES256 einsetzen? Denn das sollte der derzeit sicherste Verschlüsselungs-Algorithmus sein.

[BeWo]

Hallo,

Wie wähle ich den zugehörigen Public-Key aus? Er muss ja identifiziert werden.

Damit wird die Datei test.txt mit dem öffentlichen Schlüssel x@y.z verschlüsselt:

Code: Alles auswählen

gpg --encrypt --recipient x@y.z test.txt

Falls dies vollautomatisch mit einem Skript erledigt werden soll, sollte dem Schlüssel bedingungslos vertraut werden.
Ansonsten fragt GnuPG, ob dieser Schlüssel wirklich verwendet werden soll.
Einfach einmal ausprobieren.

Muss ich dem Key beim Erstellen eine Mail-Adresse zuweisen?

Wäre sinnvoll.
Du mußt angeben, welcher Schlüssel verwendet werden soll.
Am einfachsten nimmst Du Deine E-Mail Adresse.
Alternativ kannst Du irgend eine Phantasieadresse (zum Beispiel: mod3@home.work) eintragen.
GnuPG ist es egal, ob die E-Mail Adresse existiert oder nicht.

Hoffentlich konnte ich ein wenig weiterhelfen.

Grüße
Bernhard

[BeWo]

Habe ich vergessen:
Zum Entschlüsseln von test.txt.gpg einfach folgendes eingeben:

Code: Alles auswählen

gpg --decrypt --output test.txt test.txt.gpg

Grüße
Bernhard