Ich habe Probleme, mit Duplicity eine funktionierende und robuste Konfiguration für meine Backups zu erstellen, da ich eine asymmetrische GPG-Verschlüsselung auf Basis von Schlüsselpaaren möchte. Und ich möchte in der Lage sein, von mehreren Geräten aus sicher Backups zu erstellen.
Was ich heute habe:
- Ein offline mit Tails generierter GPG-Hauptschlüssel, gemäß dieser Anleitung:https://wiki.debian.org/GnuPG/AirgappedMasterKey
- mit2 passwortgeschützte Unterschlüssel: eins fürVerschlüsselungund eine fürUnterzeichnung
- Mit Duply werden Duplicity-Sicherungsbefehle ausgeführt, die verschlüsselte Sicherungen auf einem Remote-S3-ähnlichen Cloud-Speicher speichern, der von Scaleway gehostet wird:https://www.scaleway.com/fr/object-storage/ Verwenden Sie die oben generierten Verschlüsselungsschlüssel.
Ich habe erfolgreich verschlüsselte Daten an den Remote-Speicher gesendet und die gesicherten Dateien von dort wiederhergestellt.
Jetzt habe ich zwei Probleme mit diesem Setup:
- Ich muss bei jedem Backupvorgang die Schlüsselpassphrase eingeben
Ich vermute, dass dies daran liegt, dass mein Signaturschlüssel passwortgeschützt ist (dasselbe Passwort wird zum Schutz aller Unterschlüssel verwendet, was meines Wissens nach eine GPG-Einschränkung ist). Ich habe versucht, den GPG-Agenten einzurichten und das Passwort für unbegrenzte Zeit im Cache zu speichern. Das funktioniert nicht und ist vielleicht sowieso keine gute Idee. Diese Einschränkung macht es wirklich schwierig/unmöglich, unbeaufsichtigte Backups einzurichten.
-> soll ich einen Sign-Unterschlüssel verwenden, der nicht kennwortgeschützt ist? Das scheint auch nicht das Richtige zu sein ...
- Ich möchte von mehreren Geräten ein Backup erstellen
Mit meiner aktuellen Konfiguration müsste ich denselben Schlüsselsatz auf ein neues Gerät importieren. Das möchte ich natürlich vermeiden. Wenn ein Gerät kompromittiert wird, möchte ich nicht, dass alle meine Backups für einen Angreifer zugänglich sind, der alle Daten mit den gestohlenen Schlüsseln entschlüsseln könnte. -> „Legen Sie nicht alle Eier in denselben Korb“.
Zunächst einmal könnte man „nicht alle Eier in einen Korb legen“ auch so verstehen, dass man sich nicht für alles auf ein PGP-Schlüsselpaar verlassen sollte. Sie sollten beispielsweise ein Schlüsselpaar für „Backup/Speicher“ getrennt von Ihrem Schlüsselpaar für „E-Mail/Git“ erstellen. Schließlich haben sie völlig unterschiedliche Verwendungszwecke und Anforderungen – Ihre Backups sind vollständig intern, sodass sie ohnehin nicht davon profitieren, mit Ihrem „Haupt“-PGP-Schlüsselpaar signiert zu werden.
=> Das macht Sinn, danke. Das Erstellen eines neuen Backup-spezifischen Schlüsselpaars erscheint sinnvoll.
Wenn ich das System richtig verstehe, muss Duplicity Ihre Backups aber auch nicht entschlüsseln können – es muss sie nur verschlüsseln. (Es sei denn, Sie müssen sie wiederherstellen.) Das bedeutet, dass Sie den privaten Teil des Verschlüsselungsunterschlüssels auf keinem der Geräte benötigen, die zum Backup-Repository beitragen. Er muss nur zum Zeitpunkt der Wiederherstellung vorhanden sein.
=> Ich denke, Sie haben Recht. Außer vielleicht in dem Fall, dass ein inkrementelles Backup fehlgeschlagen ist und neu gestartet werden muss, da diese Situation nicht so oft vorkommen sollte, ist ein manueller Eingriff meiner Meinung nach akzeptabel. All dies, um zu sagen, dass der private Unterschlüssel für die Verschlüsselung möglicherweise auf keinem der Geräte vorhanden ist.
-> Welche Strategie wäre hier empfehlenswert? So wie ich es heute verstehe, ist es nicht machbar, mehrere Verschlüsselungs-/Signatur-Unterschlüssel mit demselben GPG-Hauptschlüssel zu verwalten? Soll ich zu Sicherungszwecken mehrere Hauptschlüssel generieren?
Ich versuche, zusammenzufassen:
- Wenn ich beispielsweise für jedes Gerät einen anderen Verschlüsselungsschlüssel möchte (was die sicherste Option zu sein scheint), muss ich für jedes Gerät ein neues Schlüsselpaar generieren, richtig?
- was den Signaturschlüssel betrifft, bin ich immer noch verwirrt, wie ich weiter vorgehen soll ...
- soll es als Unterschlüssel des gerätespezifischen Schlüsselpaares verwaltet werden?
- oder ein einziger Schlüssel für alle Geräte?
- Mehrere Signaturschlüssel als Unterschlüssel eines separaten Schlüsselpaares?
Macht das Sinn? Nochmals vielen Dank für Ihre Hilfe!
Antwort1
Ich möchte von mehreren Geräten ein Backup erstellen
Mit meiner aktuellen Konfiguration müsste ich denselben Schlüsselsatz auf ein neues Gerät importieren. Das möchte ich natürlich vermeiden. Wenn ein Gerät kompromittiert wird, möchte ich nicht, dass alle meine Backups für einen Angreifer zugänglich sind, der alle Daten mit den gestohlenen Schlüsseln entschlüsseln könnte. -> „Legen Sie nicht alle Eier in denselben Korb“.
Zunächst einmal könnte man „nicht alle Eier in einen Korb legen“ auch so verstehen, dass man sich nicht für alles auf ein PGP-Schlüsselpaar verlassen sollte. Sie sollten beispielsweise ein Schlüsselpaar für „Backup/Speicher“ getrennt von Ihrem Schlüsselpaar für „E-Mail/Git“ erstellen. Schließlich haben sie völlig unterschiedliche Verwendungszwecke und Anforderungen – Ihre Backups sind vollständig intern, sodass sie ohnehin nicht davon profitieren, mit Ihrem „Haupt“-PGP-Schlüsselpaar signiert zu werden.
Aber wenn ich das System richtig verstehe, muss Duplicity auch nicht in der Lage sein,entschlüsselnIhre Backups – es muss nurVerschlüsseln(Es sei denn, Sie müssen sie wiederherstellen.) Das sollte bedeuten, dass Sie den privaten Teil des Verschlüsselungsunterschlüssels eigentlich nicht benötigen.beliebigder Geräte, die zum Backup-Repository beitragen, muss es nur zum Zeitpunkt der Wiederherstellung vorhanden sein.
So wie ich es heute verstehe, ist es nicht machbar, mehrere Verschlüsselungs-/Signatur-Unterschlüssel mit demselben GPG-Hauptschlüssel zu verwalten?
Sie können nicht mehrere Verschlüsselungs-Unterschlüssel haben (da der Absender nicht wissen kann, auf welchem Gerät Sie Nachrichten lesen möchten, daher ist die einzige funktionierende Option die Verschlüsselung aufalleIhrer Verschlüsselungsunterschlüssel – was den Sinn mehrerer Schlüssel zunichte macht).
Andererseits können Sie problemlos mehrereUnterzeichnungUnterschlüssel pro Schlüssel, da es sich um die umgekehrte Situation zur Verschlüsselung handelt.
(zum Schutz aller Unterschlüssel wird dasselbe Passwort verwendet, was meines Wissens nach eine GPG-Einschränkung ist)
Es ist eher eine UI-Entscheidung. Der gpg-agenttutunterstützt für jeden privaten Schlüssel einen unterschiedlichen Schutz (die Beziehung ist dabei eigentlich egal), aber wenn die GnuPG-Benutzeroberfläche die Operation „Passwort ändern“ nur auf den jeweiligen Unterschlüssel anwenden würde, würde dies wahrscheinlich mehr Benutzer verwirren als helfen.
Suchen Sie den „Keygrip“ jedes privaten Schlüssels unter gpg -K --with-keygripund verwenden Sie ihn dann, gpg-connect-agentum dessen Passphrase direkt zu ändern (unter Umgehung von GnuPG):
gpg-connect-agent "passwd KEYGRIP" /bye