Backups criptografados fora do local - onde armazenar a chave de criptografia?

Além de backups regulares no local (mantidos em um cofre resistente ao fogo), também enviamos fitas para o exterior uma vez por mês, criptografadas com o AES. Portanto, se um dia nosso site for vaporizado por um raio de calor alienígena, deveremos ter pelo menos um backup recente para recuperar.

Exceto que a chave de criptografia de 128 bits é armazenada apenas no local. Portanto, no caso de um verdadeiro desastre, ficaríamos de fato com um backup criptografado e não havia como descriptografá-lo .

Pergunta: Qual é a melhor política para armazenar a chave de criptografia fora do local?

Qualquer que seja o método escolhido, precisamos passar por uma auditoria de segurança; portanto, "manter uma cópia em casa" não é adequado e "mantê-la com as fitas externas" obviamente derrota o propósito de criptografá-las! Algumas opções que estamos considerando incluem:

• Um cofre em um banco
• Armazenado na nuvem ou em uma rede geograficamente separada em forma protegida por senha (por exemplo, usando software como Keepass ou Password Safe)

Obviamente, a segunda opção coloca outra questão: como mantemos essa senha segura.

Isso vai ser muito subjetivo. Acho que precisaríamos saber mais sobre seu setor e quaisquer requisitos regulatórios específicos para dar bons conselhos. O que pode ser suficiente para uma pequena empresa em um setor não regulamentado provavelmente não funcionará para uma grande empresa em um setor regulamentado.

Manter a chave no cofre pode ser suficiente, uma vez que o banco deve autenticar as partes que têm acesso à caixa (normalmente com identificação com foto em uma lista de partes autorizadas). Há também uma chave física necessária para abrir a caixa. Quando você combina esses atributos com a caixa armazenada em um local fisicamente seguro, parece mais um bom local para guardar a chave para mim. Pessoalmente, eu me preocupo mais com a perda / roubo de fitas movidas para ou do cofre, não sendo roubadas do próprio cofre. Como alternativa, você pode obter um cofre em outro banco com diferentes partes autorizadas, nomeadas simplesmente para armazenar o material principal.

Você pode procurar um advogado corporativo para guardar a chave, desde que não tenha advogados internos.

Para ficar nerd e técnico, existem vários algoritmos que permitem dividir uma chave secreta em várias partes, de modo que a cooperação de um número necessário de partes seja necessária para reconstruir o segredo (conhecido como esquema de limites). Não estou ciente de nenhuma implementação prática de nenhum desses esquemas, mas aposto que existem alguns por aí, se você procurar bastante. Você pode distribuir o material chave para várias partes, de modo que uma fração delas, ao se reunir, possa reconstruir a chave. O comprometimento de qualquer peça individual da chave (ou qualquer número menor de peças que o limite requer) não resultaria em comprometimento da chave.

Editar:

Uma pesquisa rápida revelou o sharesecret , uma implementação de esquema de limite da GPL.

Uma solução bastante óbvia é manter uma cópia da chave em outro local externo. por exemplo, uma caixa de depósito bancário ou outra empresa de armazenamento externo totalmente independente.

Dependendo da rigidez de seus requisitos, você pode achar que deixar a chave com os diretores, advogados ou contadores da empresa pode ser adequado.

Uma solução prática:

Gere uma chave ssh privada de 4096 bits em uma unidade USB. em seguida, crie um contêiner de arquivo altamente criptografado usando truecrypt e use a chave ssh como um 'arquivo de chave', ou seja, a unidade criptografada é desbloqueada com o arquivo de chave ssh. Monte o contêiner de arquivos como uma partição e crie um sistema de arquivos nele (por exemplo, mkfs.ext4.) Monte a partição e escreva o arquivo de senha que deseja arquivar. Desmonte tudo e envie sua chave USB junto com suas fitas de arquivo. O contêiner de arquivo que você criou, você pode (com bastante segurança) colocar em uma conta da caixa de operações, em um disquete (quem iria olhar seriamente para ele?) Etc. Essencialmente, sem o arquivo de chave, seria impossível acessar o backup , e o arquivo de chaves armazenado fora do local é inútil sem a partição criptografada que você armazena ... em qualquer lugar.

Isso pode parecer uma solução complexa, mas talvez o aponte na direção certa. Como alternativa, uma unidade flash criptografada pode ser suficiente.

https://www.ironkey.com/

http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html

Qualquer que seja a solução, a coisa mais importante é muito clara: instruções atuais sobre o que fazer, por exemplo, se você foi atropelado por um ônibus no mesmo dia, zumbis alienígenas destruíram seu escritório. Algo tão simples quanto um pacote "em caso de desastre" que acompanha seus backups deve ser suficiente.

Eu trabalho para uma organização grande e temos um sistema semelhante para a criptografia de backups de servidores de certificação. Temos um sistema interno exclusivo e separado que protege a frase-chave das chaves que usamos, IDs compartilhados etc.

O sistema exige 'check-out' da senha da chave com nosso ID de usuário, número de incidente, motivo etc. Quando concluirmos o uso, precisaremos fazer o check-in novamente. Se não o fizermos após 24 horas, o sistema fará o check-in automaticamente e enviará aos gerentes de e-mail, etc., que ainda não o fizemos.

Ninguém mais pode obter a senha, etc. enquanto a fazemos o check-out e há um desafio / resposta adicional quando fazemos o check-out. O sistema está alojado em um local completamente diferente.

Ser uma organização grande, custou muito, mas pode haver produtos por aí que poderiam fazer uma atividade semelhante.

Uau cofres, advogados e outros métodos complicados neste tópico. Tudo completamente desnecessário.

A chave privada pode basicamente estar contida em um pequeno arquivo de texto, certo? Portanto, configure uma conta SpiderOak e sincronize o arquivo com a nuvem. Então, no caso de você perder o site inteiro devido a incêndio, recupera as fitas de armazenamento de backup de outro local externo, efetua login no site do SpiderOak e baixa o arquivo da chave privada. Tudo o que você precisa para acessar o site SpiderOak é um nome de usuário e uma senha. Então, talvez você e outra pessoa na organização possam se lembrar disso na cabeça deles. Escolha os nomes dos seus dois filmes favoritos ou algo assim. Não é difícil de lembrar.

SpiderOak é bom porque você só precisa de um nome de usuário e senha para acessar os dados. Também é fortemente criptografado. Também é mais seguro que o DropBox, porque eles não armazenam as chaves de criptografia / descriptografia e não têm conhecimento do que são seus dados e não têm capacidade de acessar seus dados em sua conta. No entanto, o DropBox está aberto para que seus funcionários ou o governo dos EUA acessem os dados com um mandado. Se você estava usando o DropBox, seria necessário colocar a chave dentro de um arquivo KeyPass e lembrar a senha para acessá-lo também.

No final do dia, porém, é um arquivo de texto simples com uma chave nele. Tanto quanto qualquer outra pessoa acessando essa chave no SpiderOak ou no DropBox, eles não têm absolutamente nenhuma idéia para que serve a chave, ou o que ela desbloqueia, ou mesmo a localização de seus backups físicos. Portanto, é praticamente inútil para eles, mesmo que eles entendam.