Các tệp được mã hóa được lưu trữ bên cạnh Khóa GPG trong bản sao lưu – giải pháp thay thế?

Trong một lần chạy thử nghiệm gần đây để xem các bản sao lưu cá nhân của tôi có hoạt động như dự kiến ​​hay không, tôi nhận thấy rằng tôi lưu trữ khóa GPG của mình bên cạnh các tệp được mã hóa bằng khóa đó trên cùng một ổ đĩa. Mặc dù đĩa được mã hóa (LUKS) và khóa có cụm mật khẩu mạnh, nhưng điều này có vẻ hơi khó hiểu.

Mặc dù có một ổ đĩa thứ hai chỉ dành cho chìa khóa có thể cải thiện tình hình, nhưng nó cũng cảm thấy hơi quá mức cần thiết. Do đó tôi đang tìm kiếm một giải pháp thực dụng hơn. Tôi đã nghĩ đến việc đặt khóa trên một phân vùng riêng biệt được mã hóa riêng (tất nhiên là với một mật khẩu khác), nhưng tôi không chắc liệu đó có phải là một ý tưởng hay hay không.

1. Việc lưu trữ khóa và tệp được mã hóa cạnh nhau có được coi là một thông lệ không tốt không?
2. Một phân vùng riêng biệt sẽ cải thiện bảo mật theo bất kỳ cách đáng kể nào? Rốt cuộc nó vẫn là cùng một đĩa.
3. Có bất kỳ lựa chọn thay thế cho tình trạng khó xử đó?

Trên thực tế, tệp khóa không gì khác hơn là một loại "siêu mật khẩu", vì vậy nếu đến lượt nó, nó có một mật khẩu đủ dài, tôi không thấy bất kỳ rủi ro cụ thể nào. Tôi nhấn mạnh đủ lâu: để mở rộng không gian của cả từ điển và tìm kiếm vũ phu, điều quan trọng hơn nhiều là phải có nhiều ký tự, thay vì một bảng chữ cái lớn hơn

1. Việc lưu trữ khóa và tệp được mã hóa cạnh nhau có được coi là một thông lệ không tốt không? Trên thực tế, có

2. Một phân vùng riêng biệt sẽ cải thiện bảo mật theo bất kỳ cách đáng kể nào? Trên thực tế, không

3. Có bất kỳ lựa chọn thay thế cho tình trạng khó xử đó? Trong một số trường hợp cực đoan, mã thông báo USB được sử dụng, được gỡ bỏ và lắp vào một cách vật lý khi được yêu cầu, đôi khi với cấp độ truy cập thứ hai (ví dụ: bộ chứa TrueCrypt/VeraCrypt, v.v.).

Nhưng tôi đề nghị, tầm thường hơn, một mật khẩu mạnh và "dài dài" và một mật mã đối xứng tốt để sao lưu.

Việc lưu trữ khóa và các tệp được mã hóa tiếp theo có bị coi là một hành vi không tốt không với nhau?

Có, không lý tưởng để đặt khóa ở cùng một vị trí với văn bản mật mã. Ví dụ: có thể các tệp trên bộ chứa LUKS đang mở được lưu trữ và tải lên cùng một tài khoản lưu trữ đối tượng, dưới dạng bản sao lưu dựa trên tệp. Kẻ thù chú ý sẽ lấy khóa riêng tư và cố gắng giải mã bằng nó.

Một ổ đĩa LUKS riêng biệt có thể an toàn hơn ở mức độ nó làm cho văn bản thuần túy khó truy cập hơn. Chỉ mở âm lượng miễn là bạn thực hiện các thao tác GPG sẽ làm giảm độ phơi sáng.

Trong thế giới thực, những thỏa hiệp thực tế là cần thiết. Trên các phím đĩa rất dễ sử dụng. Khóa được bảo vệ bằng cụm mật khẩu làm chậm kẻ tấn công sử dụng nó, nhưng đó chỉ là vấn đề thời gian. Nếu một bản sao của khóa riêng GPG bị lấy đi, hãy coi như nó đã bị xâm phạm. Cân nhắc đánh lại khóa.

Có bất kỳ lựa chọn thay thế cho tình trạng khó xử đó?

Lý tưởng nhất là không lưu trữ khóa cá nhân trên kho lưu trữ trực tuyến. Sử dụng mã thông báo phần cứng thẻ thông minh cho khóa cá nhân, YubiKey hoặc tương tự. Lưu trữ các bản sao lưu lạnh trên các thiết bị lưu trữ nhỏ hoặc khóa giấy và đặt chúng ở một nơi ngoại tuyến an toàn, chẳng hạn như két an toàn cho hoạt động kinh doanh liên tục. Các biện pháp phi thường, nhưng bí mật là đặc biệt khi chúng mở khóa các dữ liệu khác.