Seite 1 von 1
Dateiverschlüsselung mit GnuPG
Verfasst: 27.07.2011 16:23:16
von mod3
Hallo!
Um einige teilweise äußerst sensible Kundendaten zu sichern verwende ich momentan folgendes Verfahren:
Habe ein Skript verfasst, welches mir die Dateien in ein Verzeichnis kopiert, dieses Verzeichnis mit TAR packt, mit Bzip2 komprimiert und im Anschluss mit gpg verschlüsselt.
Hierzu muss ich von Hand ein Passwort eingeben, gpg läuft mit folgenden Parametern:
Die so entstandene verschlüsselte Datei kopiere ich dann auf einen mittelmäßig geschützten FTP-Server.
Es geht einfach darum, die Daten täglich zu sichern. Mich würde es ncihtmal stören, wenn jemand dieses Archiv in die Finger bekäme, solange die so realisierte Verschlüsselung wirklich sicher ist.
Was meint ihr dazu? Wäre es unter Umständen sicherer, statt eines Passwortes einen Key zu verwenden?
MfG
mod3
Re: Dateiverschlüsselung mit GnuPG
Verfasst: 27.07.2011 16:46:19
von FANA
mod3 hat geschrieben:Wäre es unter Umständen sicherer, statt eines Passwortes einen Key zu verwenden?
Ja. Key mit Passphrase. Damit muss derjenige erstmal an deinen Key gelangen und die Passphrase dazu
Re: Dateiverschlüsselung mit GnuPG
Verfasst: 27.07.2011 16:56:02
von uname
Naja. Liegt nicht zuletzt am Passwort. Wenn die Datei auf irgendeinem Server rumliegt sollte das Passwort schon sehr gut sein. Wenn es per Key verschlüsselt ist muss nur der Key an einem sicheren Ort sein und die zugehörige Passphrase kann geringer ausfallen, bei automatischen Sicherungen sogar evtl. ohne Passphrase.
Ich nutze
aespipe, welches ein Passwort von mindestens 20 Zeichen verlangt. Gibt auch eine Key-Option. Vorteil von
aespipe ist, dass man es direkt mit Pipes nutzen kann und das Ergebnis genauso groß ist wie das Original. Es sind anschließend keine Verschlüsselungsinformationen erhalten, ist scheinbar nur Datenmüll.
Vielleicht kannst du ja auch
curlftpfs in Verbindung mit
encfs nutzen. Das wäre cool wenn das gehen würde.
Re: Dateiverschlüsselung mit GnuPG
Verfasst: 27.07.2011 18:45:30
von BeWo
Ich mache es genauso, wenn ich Daten von der Firma zu mir nach Hause schicke:
- Daten in ein ZIP-Archiv packen
- Dieses ZIP Archiv mit meinem Public-Key meines E-Mail Accounts verschlüssen (Option: -encrypt)
- Zuhause dann das ZIP-Archiv mit meinem Private-Key entpacken
Um dieses ZIP Archiv zu entschlüsseln müsste jemand in meine Wohnung einbrechen, den Private-Key holen und den Passphrase meines Private-Key kennen.
Das ist sehr unwahrscheinlich.
Nun zu Deiner Frage:
Ich halte die Verschlüsselung mittels eines Schlüssels+Passphrase sicherer als die Verschlüsselung nur mit einem Passphrase.
Die Begründung: Es müssen zwei Hürden überwunden werden. Nicht nur eine Hürde.
Hoffentlich konnte ich weiterhelfen.
Re: Dateiverschlüsselung mit GnuPG
Verfasst: 28.07.2011 11:15:27
von mod3
Ok, um mit einem Key zu verschlüsseln (evtl mit Passphrase) muss ich also folgendes tun:
- ganz normalen ElGamal/DSA-Key generieren
- public-Key auf den Server übertragen, auf dem verschlüsselt werden soll
- mittels
verschlüsseln
Wie wähle ich den zugehörigen Public-Key aus? Er muss ja identifiziert werden.
Muss ich dem Key beim Erstellen eine Mail-Adresse zuweisen? Ist ja so gesehen unnötig, solange ich ihn nur zur Datenverschlüsselung einsetze.
Kann ich trotzdem explizit AES256 einsetzen? Denn das sollte der derzeit sicherste Verschlüsselungs-Algorithmus sein.
Re: Dateiverschlüsselung mit GnuPG
Verfasst: 28.07.2011 17:07:48
von BeWo
Hallo,
mod3 hat geschrieben:Wie wähle ich den zugehörigen Public-Key aus? Er muss ja identifiziert werden.
Damit wird die Datei test.txt mit dem öffentlichen Schlüssel
x@y.z verschlüsselt:
Falls dies vollautomatisch mit einem Skript erledigt werden soll, sollte dem Schlüssel bedingungslos vertraut werden.
Ansonsten fragt GnuPG, ob dieser Schlüssel wirklich verwendet werden soll.
Einfach einmal ausprobieren.
mod3 hat geschrieben:Muss ich dem Key beim Erstellen eine Mail-Adresse zuweisen?
Wäre sinnvoll.
Du mußt angeben, welcher Schlüssel verwendet werden soll.
Am einfachsten nimmst Du Deine E-Mail Adresse.
Alternativ kannst Du irgend eine Phantasieadresse (zum Beispiel:
mod3@home.work) eintragen.
GnuPG ist es egal, ob die E-Mail Adresse existiert oder nicht.
Hoffentlich konnte ich ein wenig weiterhelfen.
Grüße
Bernhard
Re: Dateiverschlüsselung mit GnuPG
Verfasst: 28.07.2011 17:10:09
von BeWo
Habe ich vergessen:
Zum Entschlüsseln von test.txt.gpg einfach folgendes eingeben:
Grüße
Bernhard