В дополнение к регулярному резервному копированию на месте (хранящемуся в огнестойком сейфе) мы также раз в месяц отправляем ленты зашифрованные с помощью AES. Так что, если однажды наш сайт испарится из-за инопланетного теплового луча, у нас должна быть хотя бы одна недавняя резервная копия, от которой можно будет оправиться.
За исключением того, что 128-битный ключ шифрования хранится только на месте. Таким образом, в случае настоящей катастрофы у нас фактически останется одна зашифрованная резервная копия, и нет возможности расшифровать это.
Вопрос: Какова наилучшая политика для хранения ключа шифрования вне офиса?
Какой бы метод мы ни выбрали, он должен пройти аудит безопасности, поэтому «хранить копию дома» недостаточно, а «хранить ее на удаленных лентах», очевидно, в первую очередь сводит на нет цель их шифрования! Мы рассматриваем несколько вариантов:
Конечно, второй вариант ставит другой вопрос: как сохранить который безопасный пароль.
Это будет ужасно субъективно. Я думаю, нам нужно больше узнать о вашей отрасли и любых конкретных нормативных требованиях, чтобы дать хороший совет. То, что может быть достаточным для малого бизнеса в нерегулируемой отрасли, вероятно, не сработает для крупного бизнеса в регулируемой отрасли.
Хранения ключа в сейфе может быть достаточно, учитывая, что банк должен аутентифицировать стороны, которые имеют доступ к сейфу (обычно с удостоверением личности с фотографией против списка уполномоченных лиц). Также есть физический ключ, необходимый для открытия коробки. Когда вы объединяете эти атрибуты с ящиком, хранящимся в физически безопасном месте, это больше похоже на хорошее место для хранения ключа для меня. Лично я больше беспокоюсь о том, что кассеты могут быть потеряны / украдены при перемещении в депозитный сейф или из него, а не в том, что их украдут из самого сейфа. В качестве альтернативы вы можете получить сейф в другом банке с различными уполномоченными сторонами, названными просто для хранения ключевого материала.
Вы можете попросить корпоративного юриста хранить ключ, если у вас нет штатных поверенных.
Чтобы получить техническую информацию, существуют различные алгоритмы, которые позволяют вам разбить секретный ключ на несколько частей, так что для восстановления секрета необходимо сотрудничество некоторого необходимого количества сторон (известные как пороговые схемы). Я не знаю сразу о каких-либо практических реализациях любой из этих схем, но держу пари, что они есть, если вы достаточно внимательно посмотрите. Вы можете раздать ключевой материал нескольким сторонам, чтобы некоторая их часть, собравшись вместе, могла восстановить ключ. Компрометация любой отдельной части ключа (или любого меньшего количества частей, чем требуется порогом) не приведет к компрометации ключа.
Редактировать:
Появился быстрый поиск sharesecret, реализация пороговой схемы GPL.
Практическое решение:
Создайте 4096-битный закрытый ключ ssh на USB-накопителе. затем создайте сильно зашифрованный файловый контейнер с помощью truecrypt и используйте ключ ssh в качестве «ключевого файла», то есть зашифрованный диск разблокируется с помощью ключевого файла ssh. Смонтируйте файловый контейнер как раздел и создайте на нем файловую систему (например, mkfs.ext4). Смонтируйте раздел и напишите файл паролей, который вы хотите заархивировать. Размонтируйте все и отправьте свой USB-ключ вместе с архивными лентами. Созданный вами файловый контейнер можно (довольно безопасно) поместить в учетную запись dropbox для операций на дискете (кто бы серьезно на это посмотрел?) И т. Д. По сути, без ключевого файла было бы невозможно получить доступ к резервной копии , а ключевой файл, хранящийся за пределами сайта, бесполезен без зашифрованного раздела, который вы храните ... где угодно.
Это может показаться сложным решением, но, возможно, оно укажет вам правильное направление. В качестве альтернативы может быть достаточно зашифрованного флеш-накопителя.
http://www.pcworld.com/article/254816/the_best_encrypted_flash_drives.html
Какое бы решение вы ни выбрали, самое главное - очень четкие и актуальные инструкции о том, что делать, скажем, если вас сбил автобус в тот же день, когда инопланетные зомби атаковали ваш офис. Достаточно чего-нибудь простого, например пакета «на случай аварии», который идет с вашими резервными копиями.
Одно довольно очевидное решение - хранить копию ключа в другом месте вне офиса. например Банковская депозитная ячейка или другая, полностью независимая, складская компания вне офиса.
В зависимости от того, насколько жесткими являются ваши требования, вы можете обнаружить, что достаточно оставить ключ директорам компании, юристам или бухгалтерам.
Я работаю в крупной организации, и у нас есть аналогичная система для шифрования резервных копий серверов сертификатов. У нас есть отдельная собственная система, которая защищает ключевую фразу для используемых нами ключей, общих идентификаторов и т. Д.
Система требует "проверить" пароль ключа с нашим идентификатором пользователя, номером инцидента, причиной и т. Д. Когда мы завершим его использование, мы должны проверить его снова. Если мы не проверим его снова через 24 часа. часов, система автоматически проверит его, а также менеджеров электронной почты и т. д., которые мы не зарегистрировали.
Никто другой не может получить кодовую фразу и т. Д., Пока мы ее проверяем, и при проверке возникает дополнительная проблема / ответ. Система находится в совершенно другом месте.
Поскольку это большая организация, это стоило того, но могут быть продукты, которые могли бы выполнять аналогичную деятельность.
Ничего себе сейфы, адвокаты и другие замысловатые методы в этой ветке. Все совершенно ненужное.
Закрытый ключ может содержаться в небольшом текстовом файле, верно? Итак, создайте Аккаунт SpiderOak и синхронизируйте файл с облаком. Затем, если вы потеряете весь свой сайт из-за пожара, вы извлекаете ленты хранилища резервных копий из другого удаленного местоположения, затем входите в систему через веб-сайт SpiderOak и загружаете файл закрытого ключа. Все, что вам нужно для входа на сайт SpiderOak, - это имя пользователя и пароль. Так что, возможно, вы и кто-то другой в организации запомните это в своей голове. Выберите названия двух ваших любимых фильмов или что-нибудь в этом роде. Нетрудно вспомнить.
SpiderOak хорош тем, что для доступа к данным вам нужны только имя пользователя и пароль. Он также сильно зашифрован. Он также более безопасен, чем DropBox, потому что они не хранят ключи шифрования / дешифрования и не знают, что такое ваши данные, и не имеют возможности получить доступ к вашим данным в вашей учетной записи. DropBox, однако, открыт для их сотрудников или правительства США для доступа к данным при наличии ордера. Если вы использовали DropBox, вам нужно было поместить ключ в KeyPass файл и запомните пароль для доступа к нему.
В конце концов, это простой текстовый файл с ключом. Что касается всех, кто имеет доступ к этому ключу в SpiderOak или DropBox, они абсолютно не знают, для чего нужен ключ, или что он открывает, или даже где находятся ваши физические резервные копии. Так что для них это практически бесполезно, даже если они его получают.