Dateiverschlüsselung mit GnuPG

Alles rund um sicherheitsrelevante Fragen und Probleme.
Antworten
mod3

Dateiverschlüsselung mit GnuPG

Beitrag von mod3 » 27.07.2011 16:23:16

Hallo!

Um einige teilweise äußerst sensible Kundendaten zu sichern verwende ich momentan folgendes Verfahren:

Habe ein Skript verfasst, welches mir die Dateien in ein Verzeichnis kopiert, dieses Verzeichnis mit TAR packt, mit Bzip2 komprimiert und im Anschluss mit gpg verschlüsselt.
Hierzu muss ich von Hand ein Passwort eingeben, gpg läuft mit folgenden Parametern:

Code: Alles auswählen

gpg -c --cipher aes256 datei.tar.bz2
Die so entstandene verschlüsselte Datei kopiere ich dann auf einen mittelmäßig geschützten FTP-Server.
Es geht einfach darum, die Daten täglich zu sichern. Mich würde es ncihtmal stören, wenn jemand dieses Archiv in die Finger bekäme, solange die so realisierte Verschlüsselung wirklich sicher ist.
Was meint ihr dazu? Wäre es unter Umständen sicherer, statt eines Passwortes einen Key zu verwenden?

MfG
mod3

Benutzeravatar
FANA
Beiträge: 482
Registriert: 30.03.2005 17:50:55

Re: Dateiverschlüsselung mit GnuPG

Beitrag von FANA » 27.07.2011 16:46:19

mod3 hat geschrieben:Wäre es unter Umständen sicherer, statt eines Passwortes einen Key zu verwenden?
Ja. Key mit Passphrase. Damit muss derjenige erstmal an deinen Key gelangen und die Passphrase dazu

uname
Beiträge: 12045
Registriert: 03.06.2008 09:33:02

Re: Dateiverschlüsselung mit GnuPG

Beitrag von uname » 27.07.2011 16:56:02

Naja. Liegt nicht zuletzt am Passwort. Wenn die Datei auf irgendeinem Server rumliegt sollte das Passwort schon sehr gut sein. Wenn es per Key verschlüsselt ist muss nur der Key an einem sicheren Ort sein und die zugehörige Passphrase kann geringer ausfallen, bei automatischen Sicherungen sogar evtl. ohne Passphrase.

Ich nutze Debianaespipe, welches ein Passwort von mindestens 20 Zeichen verlangt. Gibt auch eine Key-Option. Vorteil von Debianaespipe ist, dass man es direkt mit Pipes nutzen kann und das Ergebnis genauso groß ist wie das Original. Es sind anschließend keine Verschlüsselungsinformationen erhalten, ist scheinbar nur Datenmüll.

Vielleicht kannst du ja auch Debiancurlftpfs in Verbindung mit Debianencfs nutzen. Das wäre cool wenn das gehen würde.

BeWo
Beiträge: 271
Registriert: 21.10.2006 11:17:35

Re: Dateiverschlüsselung mit GnuPG

Beitrag von BeWo » 27.07.2011 18:45:30

Ich mache es genauso, wenn ich Daten von der Firma zu mir nach Hause schicke:
- Daten in ein ZIP-Archiv packen
- Dieses ZIP Archiv mit meinem Public-Key meines E-Mail Accounts verschlüssen (Option: -encrypt)
- Zuhause dann das ZIP-Archiv mit meinem Private-Key entpacken
Um dieses ZIP Archiv zu entschlüsseln müsste jemand in meine Wohnung einbrechen, den Private-Key holen und den Passphrase meines Private-Key kennen.
Das ist sehr unwahrscheinlich.

Nun zu Deiner Frage:
Ich halte die Verschlüsselung mittels eines Schlüssels+Passphrase sicherer als die Verschlüsselung nur mit einem Passphrase.
Die Begründung: Es müssen zwei Hürden überwunden werden. Nicht nur eine Hürde.

Hoffentlich konnte ich weiterhelfen.

mod3

Re: Dateiverschlüsselung mit GnuPG

Beitrag von mod3 » 28.07.2011 11:15:27

Ok, um mit einem Key zu verschlüsseln (evtl mit Passphrase) muss ich also folgendes tun:

- ganz normalen ElGamal/DSA-Key generieren
- public-Key auf den Server übertragen, auf dem verschlüsselt werden soll
- mittels

Code: Alles auswählen

--encrypt
verschlüsseln

Wie wähle ich den zugehörigen Public-Key aus? Er muss ja identifiziert werden.
Muss ich dem Key beim Erstellen eine Mail-Adresse zuweisen? Ist ja so gesehen unnötig, solange ich ihn nur zur Datenverschlüsselung einsetze.
Kann ich trotzdem explizit AES256 einsetzen? Denn das sollte der derzeit sicherste Verschlüsselungs-Algorithmus sein.

BeWo
Beiträge: 271
Registriert: 21.10.2006 11:17:35

Re: Dateiverschlüsselung mit GnuPG

Beitrag von BeWo » 28.07.2011 17:07:48

Hallo,
mod3 hat geschrieben:Wie wähle ich den zugehörigen Public-Key aus? Er muss ja identifiziert werden.
Damit wird die Datei test.txt mit dem öffentlichen Schlüssel x@y.z verschlüsselt:

Code: Alles auswählen

gpg --encrypt --recipient x@y.z test.txt
Falls dies vollautomatisch mit einem Skript erledigt werden soll, sollte dem Schlüssel bedingungslos vertraut werden.
Ansonsten fragt GnuPG, ob dieser Schlüssel wirklich verwendet werden soll.
Einfach einmal ausprobieren.
mod3 hat geschrieben:Muss ich dem Key beim Erstellen eine Mail-Adresse zuweisen?
Wäre sinnvoll.
Du mußt angeben, welcher Schlüssel verwendet werden soll.
Am einfachsten nimmst Du Deine E-Mail Adresse.
Alternativ kannst Du irgend eine Phantasieadresse (zum Beispiel: mod3@home.work) eintragen.
GnuPG ist es egal, ob die E-Mail Adresse existiert oder nicht.

Hoffentlich konnte ich ein wenig weiterhelfen.

Grüße
Bernhard

BeWo
Beiträge: 271
Registriert: 21.10.2006 11:17:35

Re: Dateiverschlüsselung mit GnuPG

Beitrag von BeWo » 28.07.2011 17:10:09

Habe ich vergessen:
Zum Entschlüsseln von test.txt.gpg einfach folgendes eingeben:

Code: Alles auswählen

gpg --decrypt --output test.txt test.txt.gpg
Grüße
Bernhard

Antworten