it-swarm.com.de

Gibt es einen Grund, warum ich eine GPG-verschlüsselte Datei nicht öffentlich zugänglich machen sollte?

Ich arbeite an einem Projekt, bei dem einige bestimmte Dateien leicht zugänglich, aber verschlüsselt sein müssen. Meine Idee, dies zu erreichen, ist es, die Dateien auf der öffentlichen Website des Projekts verfügbar zu haben, die mit allen PGP-Schlüsseln der Mitglieder verschlüsselt sind. Ich weiß, dass dies theoretisch bedeutet, dass nur diese Mitglieder es entschlüsseln können und die Dateien sicher sind, aber besteht das Risiko, dass ich vermisse?

30
Chris

Es besteht immer das Risiko, dass eine bestimmte Chiffre irgendwann beschädigt wird und solche Daten wirklich öffentlich werden. Ja, es gibt einige Risiken, aber das bedeutet nicht, dass Sie keinen angemessenen Kompromiss bei der Sicherheit eingehen.

Einige Dinge, die Sie beachten sollten:

Was ist Ihr Worst-Case-Szenario, wenn die Daten veröffentlicht werden, und gibt es Auswirkungen auf diese Daten, die Ihnen möglicherweise nicht bekannt sind?

Gibt es zeitbasierte Faktoren für diese Daten, z. B. sind die Daten nur für ein Jahr, eine Woche usw. nützlich?

Gibt es regulatorische, rechtliche oder ethische Auswirkungen der Veröffentlichung dieser Daten?

Können Sie zusätzliche Sicherheitskontrollen hinzufügen, sodass es sich nicht nur um eine Kontrolle zum Schutz der Daten handelt?

Benötigen die Personen, mit denen Sie diese Daten teilen möchten, ALLE Daten oder könnten sie ihre Bedürfnisse mit einer kleineren Teilmenge von Daten befriedigen?

Ist Datenmaskierung (Ersetzen sensibler Daten durch bekannte gefälschte Daten) hier eine Option, die zusätzliche Sicherheit bietet?

Wo wird es entschlüsselt und wo werden die Entschlüsselungsschlüssel gespeichert?

Ist die Passphrase zum Entschlüsseln leicht zu brachialer Gewalt?

etc ... Millionen anderer Fragen gehen hier.

Nichts ist 100% sicher, alles ist ein Kompromiss, daher müssen Sie die Entscheidung zuerst aus verschiedenen Blickwinkeln betrachten.

Wenn ich eine einzelne Sicherheitskontrolle sehe, rate ich Ihnen im Allgemeinen, Ihnen mitzuteilen, dass Sie zusätzliche Sicherheitsstufen benötigen und nicht nur eine. Ich müsste Ihnen also raten, zusätzliche Kontrollen in Betracht zu ziehen, aber selbst dann weiß ich nicht, was Sie schützen, und wenn es sich nur um eine Sammlung von Internet-Katzenfotos handelt, ist es vielleicht gut genug, nur GPG zu verwenden ... (keine Beleidigung dafür GPG natürlich, das ist ein großartiges Tool, aber Katzenfotos sind überall)

37
Trey Blalock

Ich denke, eines der größten Risiken besteht darin, dass jemand versehentlich eine verschlüsselte Datei durch ihre unverschlüsselte Version ersetzt. Das Aufbewahren der Dateien an einem privaten Ort schützt davor. Es ist Teil des Konzepts der mehrschichtigen Sicherheit, das andere erwähnt haben: Wenn eine Ebene umgangen wird , ob böswillig oder versehentlich , haben Sie immer noch einen gewissen Schutz Bedecke dich, während du merkst, was passiert ist.

Niemals vergessen, die größte Verwundbarkeit sind (so ziemlich) immer die Menschen.

(XKCD 538

11
David Z

Wenn Sie Vertrauen in die Verschlüsselung haben (die Sie sollten), können abhängig von Ihrer Implementierung möglicherweise Metadaten verloren gehen, z. B.:

  • "Benutzer A nutzt den Dienst" oder
  • "Benutzer B-Konfiguration wurde seit ... nicht mehr aktualisiert" oder
  • "Ein neuer Benutzer C wurde kürzlich erstellt" oder
  • "80% der Benutzer haben sich kürzlich vom Dienst entfernt".
9
techraf

Angenommen, die Kryptografie ist korrekt implementiert. Wenn die Schlüssel des Mitglieds offengelegt oder gehackt werden, sind Ihre Daten anfällig.

Je mehr Personen Sie in dieser Verteilung haben, desto größer ist das Risiko der Offenlegung von Informationen.

Schauen Sie sich auch diesen Link an: Verschlüsselung und "Sicherheitszeitverfall" zuvor verschlüsselter Daten

3

Nein, es ist eine ziemlich akzeptierte Praxis, dies zu tun. Einmal verschlüsselt, kann es nicht schaden, wenn die verschlüsselte Datei öffentlich zugänglich ist vorausgesetzt, Sie haben alle üblichen Vorsichtsmaßnahmen getroffen :

  • Speichern Sie die privaten Schlüssel nicht am selben Ort
  • Überprüfen Sie regelmäßig, wer Zugriff hat, und entfernen Sie sie entsprechend
1
HashHazard

Es hängt davon ab, ob. Es kommt auf das Risikomanagement an.

Indem Sie die Nutzdaten öffentlich zugänglich machen, setzen Sie auf Fehler, die bei der Verschlüsselung (und/oder Implementierung) entdeckt werden, und auf Technologien, die so weit fortgeschritten sind, dass die verschlüsselten Daten brutal erzwungen werden.

Wenn Ihre Daten im Laufe der Zeit an Wert verlieren, sind die oben genannten Risiken im Vergleich zu dem Komfort, den Sie gewinnen, möglicherweise akzeptabel. Dies müssen Sie jedoch bewerten.

0
qnm