nicht angemeldet
gpg (Linux) - Sicherung von $HOME/.gnupg sinnvoll?
Hi,
ich möchte zukünftig meine Backups verschlüsselt auf CDs brennen.
Die Backups werden also erst getarrt, dann mit gpg verschlüsselt, daraufhin gebrannt.
Nun habe ich das Backup unter anderem dafür, dass wenn meine HD oder mein ganzes Laptop abhanden kommt oder beschädigt wird - doch kann könnte ich die Backup-CD ja nicht mehr entschlüsseln...
KONKRETE FRAGE:
Kann GPG eine verschlüsselte Datei entschlüsseln, wenn man in einem anderes System (andere Distribution, anderer Kernel, andere Version, andere UserID, ...) einfach $HOME/.gnupg einspielt (z.B. von einer CD, die an einem sicheren Ort gelagert wird).
Oder ist der Key irgend wie an das System gebunden.
Und: Zur entschlüsselung der Datei benötige ich sowohl den private Key als auch das Passwort - könnte ich da nicht ~/.gnupg einfach mit auf die Backup-CD brennen (ohne Passwort würde das doch auch nicht weiter helfen, oder?)?
Wäre echt super, wenn jemand die Antworten wüsste (und auch noch verraten würde :-) ),
Maax^
-
Hallo Forum,
Und: Zur entschlüsselung der Datei benötige ich sowohl den private Key als auch das Passwort - könnte ich da nicht ~/.gnupg einfach mit auf die Backup-CD brennen (ohne Passwort würde das doch auch nicht weiter helfen, oder?)?
Ganz genau korrekt richtig.
Gruß
Alexander Brock-
Hi,
danke für die Antwort.
Ich war mir da nur desshalb nicht so sicher, weil im Netz Infos "rumlaufen", die sich für mich so angehört haben als ob man den private Key niemals "veröffentlichen" solle...
Grüße,
Maax^-
Hallo Maax^.
Ich war mir da nur desshalb nicht so sicher, weil im Netz Infos "rumlaufen", die sich für mich so angehört haben als ob man den private Key niemals "veröffentlichen" solle...
Sollte man auch nicht. Was hat das mit einem Backup selbigen Keys zu tun?
Einen schönen Montag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
debian/rules-
Hallo Mathias.
Ich war mir da nur desshalb nicht so sicher, weil im Netz Infos "rumlaufen", die sich für mich so angehört haben als ob man den private Key niemals "veröffentlichen" solle...
Sollte man auch nicht. Was hat das mit einem Backup selbigen Keys zu tun?
Wenn ich zum (verschlüsselten) Backup auch gleich noch beide Keys brenne dann habe ich ihn doch praktisch (für denjenigen, der potenitell den Besitz der CD erlangen könnte) veröffentlicht?
Grüße,
Maax^-
Hallo Maax,
Wenn ich zum (verschlüsselten) Backup auch gleich noch beide Keys brenne dann habe ich ihn doch praktisch (für denjenigen, der potenitell den Besitz der CD erlangen könnte) veröffentlicht?
Nicht wirklich. Der Key wird ja auch nicht im Klartext gespeichert, sonst könnte man sich das ganze Verschlüsselgedöns ja direkt sparen. Ich frage mich allerdings, warum du deine Backups nicht mit einer symmetrischen Verschlüsselungsmethode (gpg -c) verschlüsselst? Dann müsstest du dir nur die Passphrase merken und keinen Schlüssel speichern.
Der Vorteil von asymmetrischen Verschlüsselungen ist nicht eine höhere Sicherheit, sondern die Tatsache, dass man keinen sicheren Kanal braucht, weil man den geheimen Schlüssel nicht weitergeben muss.
Schöne Grüße,
Johannes
-
Hi.
Nicht wirklich. Der Key wird ja auch nicht im Klartext gespeichert, sonst könnte man sich das ganze Verschlüsselgedöns ja direkt sparen. Ich frage mich allerdings, warum du deine Backups nicht mit einer symmetrischen Verschlüsselungsmethode (gpg -c) verschlüsselst? Dann müsstest du dir nur die Passphrase merken und keinen Schlüssel speichern.
Ok - noch mal zum mitschreiben.
Diese Methode, bei der ich nur mein Passwort brauche und keine weiteren Dateien ist nicht unsicherer.
Macht es dann überhaupt Sinn, Daten, die man selbst wieder entschlüsseln möchte mit der "Key-Methode" zu verschlüsseln?
Oder macht die nur Sinn, wenn Person A Daten verschlüsselt, die Person B entschlüsselt während beide das jeweils andere Passwort nicht kennen?Danke für die - und alle anderen - Antworten,
Maax^-
Hallo maax,
Diese Methode, bei der ich nur mein Passwort brauche und keine weiteren Dateien ist nicht unsicherer.
Ja. Die Sicherheit hängt vom konkreten Algorithmus und vom Schlüssel ab, nicht von der Art des Algorithmus'.
Macht es dann überhaupt Sinn, Daten, die man selbst wieder entschlüsseln möchte mit der "Key-Methode" zu verschlüsseln?
Nein. Das Verfahren, dass du meinst nennt sich übrigens korrekt Public-Key-Verschlüsselung.
Oder macht die nur Sinn, wenn Person A Daten verschlüsselt, die Person B entschlüsselt während beide das jeweils andere Passwort nicht kennen?
Genau.
Schöne Grüße,
Johannes
-
Hallo Johannes,
gut zu wissen, dass ich mir mal wieder das komplexeste aller Verfahren ausgesucht habe - hast du vielleicht auch noch einen praktischen Tipp für folgendes Problem: Man sagt, der nächste Aldi sei nur ca. 2 km von hier entfernt, aber ich brauche immer ca. 42.000 und so riesige Pfützen liegen auch noch auf dem Weg :-) .Anders gesagt - super nett von dir, dass du nicht einfach nur die Frage beantwortet hast (was auch schon sehr nett gewesen wäre) sondern gleich noch eine viel bessere Alternative genannt hast!!!
Vielen Dank (natürlich an alle, die geantwortet haben),
Maax^-
Hallo maax,
gut zu wissen, dass ich mir mal wieder das komplexeste aller Verfahren ausgesucht habe - hast du vielleicht auch noch einen praktischen Tipp für folgendes Problem: Man sagt, der nächste Aldi sei nur ca. 2 km von hier entfernt, aber ich brauche immer ca. 42.000 und so riesige Pfützen liegen auch noch auf dem Weg :-) .
Gummistiefel oder ein Auto wären hier sicherlich Lösungsansätze ;-)
Anders gesagt - super nett von dir, dass du nicht einfach nur die Frage beantwortet hast (was auch schon sehr nett gewesen wäre) sondern gleich noch eine viel bessere Alternative genannt hast!!!
Bitte sehr, gern geschehen.
Schöne Grüße,
Johannes
-
-
Hi.
Ja. Die Sicherheit hängt vom konkreten Algorithmus und vom Schlüssel ab, nicht von der Art des Algorithmus'.
3DES, CAST5, BLOWFISH, AES, AES192, AES256, oder TWOFISH?
Was haltet ihr für die beste Methode?
Mit bester Methode meine ich sicherste und vor allem kompatibelste - benötigte Rechenkapazität ist mir nicht so wichtig (mein Computer langeweilt sich ohnehin von morgends bis abends fast pausenlos (surfen, Filme anzeigen, emailen... langeweilt ihn wie :-) ).Grüße,
Maax^
-
-
-
-
Hallo Forum,
Wenn ich zum (verschlüsselten) Backup auch gleich noch beide Keys brenne dann habe ich ihn doch praktisch (für denjenigen, der potenitell den Besitz der CD erlangen könnte) veröffentlicht?
Nein, weil dein privater Schlüssel mit einem Passwort verschlüsselt ist (respektive sein sollte). Erst wenn du ein schwaches Passwort wählst oder das Passwort auch auf das Backup schreibst kann ein Angreifer mit dem Backup etwas anfangen.
Gruß
Alexander Brock -
Hallo Maax^.
Wenn ich zum (verschlüsselten) Backup auch gleich noch beide Keys brenne dann habe ich ihn doch praktisch (für denjenigen, der potenitell den Besitz der CD erlangen könnte) veröffentlicht?
Wenn du den Datenträger bereitwillig an jeden Passanten weitergibst, klar. Wenn du ihn jedoch bei dir zuhause verstaust, würde ich das nicht gerade als „veröffentlichen“ bezeichnen.
Einen schönen Montag noch.
Gruß, Mathias
--
sh:( fo:} ch:? rl:( br: n4:~ ie:{ mo:| va:) de:> zu:} fl:( ss:) ls:[ js:|
debian/rules-
Hallo Mathias,
Wenn du den Datenträger bereitwillig an jeden Passanten weitergibst, klar. Wenn du ihn jedoch bei dir zuhause verstaust, würde ich das nicht gerade als „veröffentlichen“ bezeichnen.
Selbst das sollte theoretisch keine Gefahr für die Sicherheit der Daten sein. Es empfiehlt sich in der Praxis natürlich, auch den verschlüsselten Private-Key nicht weiterzugeben.
Schöne Grüße,
Johannes
-
Hi.
Wenn ich zum (verschlüsselten) Backup auch gleich noch beide Keys brenne dann habe ich ihn doch praktisch (für denjenigen, der potenitell den Besitz der CD erlangen könnte) veröffentlicht?
Wenn du den Datenträger bereitwillig an jeden Passanten weitergibst, klar. Wenn du ihn jedoch bei dir zuhause verstaust, würde ich das nicht gerade als „veröffentlichen“ bezeichnen.
Ziel des ganzen ist es doch, die Daten auf der CD zu sichern.
Wo liegt dann der Unterschied, ob ~/.gnupg unverschlüsselt auf die CD brenne oder den Private Key veröffentliche?
Sollte jemand die CD bekommen (und nur wegen dieser Eventualität verschlüssele ich sie ja) hat er ja dann auch den Private Key.Oder stehe ich da jetzt komplett auf der Leitung?
Grüße,
Maax^-
Hallo maax,
Wo liegt dann der Unterschied, ob ~/.gnupg unverschlüsselt auf die CD brenne oder den Private Key veröffentliche?
Sollte jemand die CD bekommen (und nur wegen dieser Eventualität verschlüssele ich sie ja) hat er ja dann auch den Private Key.Nein, er hat den verschlüsselten Private-Key. Mit dem kann er aber nichts anfangen. In der Praxis sollte man den verschlüsselten Private-Key lediglich nicht veröffentlichen, weil man dem Angreifer dadurch eine Angriffsmöglichkeit schon mal gar nicht erst bietet.
Aber unverschlüsselt sollte der Private-Key sowieso nirgends dauerhaft gespeichert werden.
Schöne Grüße,
Johannes
-
Hi.
Aber unverschlüsselt sollte der Private-Key sowieso nirgends dauerhaft gespeichert werden.
Unverschlüsselter Private Key = Passphrase?
Danke für eure Bemühungen,
Maax^-
Hallo Maax,
Unverschlüsselter Private Key = Passphrase?
Der Private-Key ist der Schlüssel mit dem dur normalerweise deine Nachrichten an andere verschlüsselst. Der wird einmalig (bzw. regelmäßig erneuert) zusammen mit dem öffentlichen Schlüssel generiert und ist in der Regel für Menschen schlecht zu merken.
Damit du den nicht immer direkt eingeben musst, wird dieser Schlüssel gespeichert. Da dies aber ein Risiko wäre - jeder, der Zugriff auf deine Daten bekommt, hätte damit auch automatisch Zugriff auf deinen Private-Key - wird dieser Schlüssel noch mal verschlüsselt, und zwar mit einem symmetrischen Verschlüsselungsverfahren. Der Schlüssel für dieses Verfahren ist deine Passphrase.
Schöne Grüße,
Johannes
-
Hallo Johannes.
Der Private-Key ist der Schlüssel mit dem dur normalerweise deine Nachrichten an andere verschlüsselst. Der wird einmalig (bzw. regelmäßig erneuert) zusammen mit dem öffentlichen Schlüssel generiert und ist in der Regel für Menschen schlecht zu merken.
Damit du den nicht immer direkt eingeben musst, wird dieser Schlüssel gespeichert. Da dies aber ein Risiko wäre - jeder, der Zugriff auf deine Daten bekommt, hätte damit auch automatisch Zugriff auf deinen Private-Key - wird dieser Schlüssel noch mal verschlüsselt, und zwar mit einem symmetrischen Verschlüsselungsverfahren. Der Schlüssel für dieses Verfahren ist deine Passphrase.
Habe ich eine miese Allgemeinbildung :-) .
Vielen Dank für diese ausführliche und leicht verständliche Information!!!Grüße,
Maax^
-
-
-
-
-
-
-
-
-
