Şifrelenmiş tesis dışı yedeklemeler - şifreleme anahtarının nerede depolanacağı?

Düzenli yerinde yedeklemelere ek olarak (yangına dayanıklı kasa içinde tutulur), ayda bir kez bantları AES ile şifrelenmiş olarak göndeririz. Sitemiz bir gün uzaylı bir ısı ışını ile buharlaşmışsa, en azından kurtarmak için en az bir yedek almamız gerekir.

128 bit şifreleme anahtarının yalnızca yerinde depolanması dışında. Bu nedenle, gerçek bir felaket durumunda, şifrelenmiş bir yedekle kalırdık ve şifresini çözmenin hiçbir yolu yoktur .

Soru: Şifreleme anahtarını tesis dışında depolamak için en iyi politika nedir?

Hangi yöntemi seçersek seçelim, bir güvenlik denetiminden geçmelidir, bu nedenle "evde bir kopyasını sakla" yeterli değildir ve "saha dışı bantlarla saklayın" açık bir şekilde onları şifreleme amacını ortadan kaldırır! Düşündüğümüz birkaç seçenek şunları içerir:

• Bankadaki emanet kasası
• Bulutta veya coğrafi olarak ayrı bir ağda parola korumalı biçimde depolanır (örn. Keepass veya Password Safe gibi yazılımlar kullanarak)

Tabii ki, ikinci seçenek başka bir soru soruyor: bu şifreyi nasıl güvende tutacağız .

Bu çok öznel olacak. İyi tavsiyelerde bulunmak için sektörünüz ve özel yasal gereksinimler hakkında daha fazla bilgi sahibi olmamız gerektiğini düşünüyorum. Düzenlenmeyen bir sektördeki küçük bir işletme için yeterli olabilecek şey, yasal düzenlemelere tabi bir sektördeki büyük bir işletme için muhtemelen işe yaramayacaktır.

Bankanın kutuya erişimi olan tarafların kimliğini doğrulaması gerektiği göz önüne alındığında, anahtarı kasada tutmak yeterli olabilir (genellikle yetkili tarafların bir listesine karşı fotoğraflı kimlikle). Kutuyu açmak için gerekli fiziksel bir anahtar da vardır. Bu öznitelikleri fiziksel olarak güvenli bir yerde saklanan kutu ile birleştirdiğinizde, anahtarı bana depolamak için iyi bir yer gibi görünüyor. Şahsen, kasanın kaybolması / çalınması, kasanın kendisinden çalınmaması ve kasanın çalınmaması konusunda daha fazla endişeleniyorum. Alternatif olarak, sadece anahtar malzemeyi saklamak için adlandırılmış farklı yetkili taraflarla başka bir bankada kasa alabilirsiniz.

Şirket avukatınız olmadığını varsayarak, kurumsal danışmanın anahtarı saklamasını isteyebilirsiniz.

Geeky ve teknik almak için, bir sırrı bir dizi parçaya bölmenize izin veren çeşitli algoritmalar vardır, böylece gerekli sayıda tarafın işbirliği, sırrı yeniden oluşturmak için gereklidir (eşik şemaları olarak bilinir). Bu şemaların herhangi bir pratik uygulamasının hemen farkında değilim, ancak yeterince sert arama yaparsanız orada bazılarının olduğunu iddia ediyorum. Anahtar malzemeyi birden fazla tarafa dağıtabilirsiniz, böylece bir kısmı bir araya geldikten sonra anahtarı yeniden inşa edebilir. Anahtarın herhangi bir parçasının (veya eşiğin gerektirdiğinden daha az sayıda parçanın) ele geçirilmesi anahtarın tehlikeye girmesine neden olmaz.

Düzenle:

Çabuk bir arama , bir GPL'd eşik şeması uygulaması olan shareecret'i ortaya çıkardı .

Oldukça açık bir çözüm, anahtarın bir kopyasını farklı bir site dışında tutmaktır. örneğin bir banka kasası veya tamamen bağımsız, başka bir tesis dışı depolama şirketi.

Gereksinimlerinizin ne kadar katı olduğuna bağlı olarak, anahtarı şirket yöneticileri, avukatlar veya muhasebecilerle bırakmanın yeterli olabileceğini görebilirsiniz.

Pratik bir çözüm:

USB sürücüsünde 4096 bit özel ssh anahtarı oluşturun. daha sonra truecrypt kullanarak yoğun şekilde şifrelenmiş bir dosya kapsayıcısı oluşturun ve ssh anahtarını 'keyfile' olarak kullanın, yani şifreli sürücünün kilidi ssh keyfile ile açılır. Dosya kapsayıcısını bölüm gibi bağlayın ve üzerinde bir dosya sistemi oluşturun (örn. Mkfs.ext4.) Bölümü monte edin ve arşivlemek istediğiniz parola dosyasını yazın. Her şeyi çıkarın ve usb anahtarınızı arşiv bantlarınızla birlikte gönderin. Oluşturduğunuz dosya kapsayıcısı, (oldukça güvenli bir şekilde) bir işlem dropbox hesabına, bir diskete (kim ciddi bir şekilde bakar?) Vb. Koyabilirsiniz. ve dışarıda depolanan anahtar dosyası depoladığınız şifreli bölüm olmadan işe yaramaz ... her yerde.

Bu karmaşık bir çözüm gibi gelebilir, ancak belki de sizi doğru yönde gösterecektir. Alternatif olarak, şifreli bir flash sürücü yeterli olabilir.

https://www.ironkey.com/

http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html

Hangi çözümle giderseniz gidin, en önemli şey çok açıktır, ne yapacağınıza dair güncel talimatlar, diyelim, aynı gün bir otobüste vurulduysanız uzaylı zombiler ofisinizi nuked etti. Yedeklerinizle birlikte gelen "afet durumunda" paket kadar basit bir şey yeterli olmalıdır.

Büyük bir kuruluş için çalışıyorum ve sertifika sunucularının yedeklerinin şifrelenmesi için benzer bir sistemimiz var. Kullandığımız anahtarlar, paylaşılan kimlikler vb. İçin anahtar kelimeyi koruyan ayrı, tescilli bir şirket içi sistemimiz var.

Sistem, anahtarın şifresini kullanıcı kimliğimiz, bir olay numarası, neden vb. İle 'kontrol etmeyi' gerektirir. Kullanımımızı tamamladığımızda, tekrar kontrol etmeliyiz. 24 saat sonra tekrar kontrol etmezsek 24 saat içinde, sistem otomatik olarak tekrar kontrol eder ve kontrol etmediğimiz e-posta yöneticileri vb.

Biz teslim var ve biz bir check-out yaptığınızda ek bir meydan okuma / yanıt parola vb başka alabilirsiniz. Sistem tamamen farklı bir yere yerleştirilmiştir.

Büyük bir organizasyon olmanın bedeli büyük bir bedeldi ama orada benzer bir faaliyette bulunabilecek ürünler olabilir.

Vay canına güvenlik kasaları, avukatlar ve diğer kıvrımlı yöntemler. Tamamen gereksiz.

Özel anahtar temelde küçük bir metin dosyasında bulunabilir değil mi? Bu yüzden bir SpiderOak hesabı oluşturun ve dosyayı buluta senkronize edin. Daha sonra yangın nedeniyle tüm sitenizi kaybetmeniz durumunda, yedek depolama bantlarını diğer tesis dışı konumlarınızdan alırsınız, ardından SpiderOak web sitesi üzerinden giriş yapar ve özel anahtar dosyasını indirirsiniz. SpiderOak web sitesinde oturum açmak için ihtiyacınız olan tek şey bir kullanıcı adı ve şifredir. Belki de siz ve organizasyondaki bir başkası bunu kafasında hatırlayabilirdiniz. En sevdiğiniz iki filmin veya başka bir şeyin adlarını seçin. Hatırlaması zor değil.

SpiderOak iyidir çünkü verilere erişmek için sadece bir kullanıcı adı ve parolaya ihtiyacınız vardır. Ayrıca çok şifreli. Ayrıca, DropBox'tan daha güvenlidir, çünkü şifreleme / şifre çözme anahtarlarını saklamaz ve verilerinizin ne olduğu hakkında sıfır bilgiye sahiptirler ve hesabınızdaki verilerinize erişme yeteneği yoktur. Ancak DropBox, çalışanlarının veya ABD hükümetinin verilere bir varantla erişmesine açıktır. DropBox ile devam ediyorsanız, anahtarı bir KeyPass dosyasının içine koymanız ve buna erişmek için şifreyi hatırlamanız gerekir.

Günün sonunda, içinde bir anahtar bulunan basit bir metin dosyası. SpiderOak veya DropBox'ta bu anahtara erişen herkes, anahtarın ne için olduğu, ne kilidini açtığı ve hatta fiziksel yedeklemelerinizin yeri hakkında hiçbir fikre sahip değildir. Bu yüzden, onlar alsalar bile, pratik olarak hiçbir işe yaramazlar.