¿Qué archivos GnuPG (los que normalmente están debajo ~/.gnupg/) necesito?
Tengo un script para hacer una copia de seguridad de la "información privada" que lo bloquea todo y la contraseña lo protege opensslcon AES256. ¿Es este método "seguro"?
En este momento, solo agarra todo ~/.gnupg. Estoy a punto de comenzar una instalación limpia y no quiero perder nada que no pueda recuperarse.
Respuestas:
¿Qué archivos GPG (los que normalmente están debajo
~/.gnupg/) necesito?
Un directorio de inicio de GnuPG "habitual" ( ~/.gnupgen Linux y otros sistemas unixoides, una ruta similar en Windows) contiene la siguiente información para la mayoría de los usuarios:
pubring.gpg, almacenando las claves públicas que obtuvo (para verificar otras firmas y encriptar información / mensajes a otros usuarios)secring.gpg, almacenando sus propias claves privadas (esta se fusiona con el llavero público a partir de GnuPG 2.1)trustdb.gpg(diferente a las certificaciones / firmas en otras claves, también debe emitir confianza para verificar las claves en toda la web de confianza)gpg.confy posiblegpg-agent.confSi bien generalmente las claves públicas se pueden recuperar de los servidores de claves, las claves privadas son muy importantes para realizar copias de seguridad; ¡también tenga un certificado de revocación a mano! La información de confianza también es privada y no se comparte a través de servidores clave. La configuración es algo de importancia discutible, pero también puede preferir no perder sus preferencias configuradas (ya que es una molestia rehacer eso).
Al final, simplemente pongo todo el ~/.gnupgdirectorio en mi copia de seguridad, junto con casi todo lo demás en mi directorio de inicio. Tengo una copia en papel separada, codificada con QR (sin cifrar) de mi certificado de revocación almacenada en otro lugar, porque lo peor que podría pasar es que alguien la use para revocar mi clave principal, pero definitivamente no quiero tener una clave OpenPGP con certificaciones fuera de mi control en los servidores clave.
man gpgrecomienda hacer una copia de seguridad de su anillo de clave pública, anillo de clave privada (si usa GnuPG pre 2.1) y finalmente exportar su base de datos de confianza en lugar de hacer una copia de seguridad del archivo de base de datos (en ejecución gpg --export-ownertrust). Es posible que pueda hacerlo utilizando alguna secuencia de comandos previa a la copia de seguridad, decidí simplemente hacer una copia de seguridad de todo el directorio GnuPG y no preocuparme por los archivos individuales.
Tengo un script para hacer una copia de seguridad de "información privada" que lo bloquea todo y la contraseña lo protege usando openssl con AES256. ¿Es este método "seguro"?
AES256 se considera seguro y también se puede usar con OpenPGP. Asegúrese de no cifrarlo con su propio par de claves pública / privada solo almacenado en su máquina y en la copia de seguridad (cifrada), por supuesto. El --symmetriccifrado GnuPG con los parámetros apropiados también podría estar bien para ese propósito, pero el uso de OpenSSL proporciona una seguridad equivalente.
En este momento, solo agarra todo
~/.gnupg. Estoy a punto de comenzar una instalación limpia y no quiero perder nada que no pueda recuperarse.
Usar su copia de seguridad para migrar a una nueva instalación parece no ser lo más razonable. Está realizando tareas de administración fuera del "horario diario", lo que resulta en una mayor probabilidad de fallas al hacerlo; al mismo tiempo, renuncia a su copia principal de sus datos y confía en que todo en su segunda copia está bien.
Si no tiene un disco de repuesto para sus datos primarios (o mejor aún, una imagen completa de su configuración anterior que conserva durante un tiempo) que no es su copia de seguridad, compre uno. Son baratos, de todos modos.
Su método es correcto, guarda el directorio correcto y con un método seguro.
Verifique openssl versionsi está utilizando una versión segura.
Coloque el opensslrepositorio cifrado en otro medio físico que no sea el que aloja sus llaveros ~/.gnupg, por ejemplo. una llave USB que verificó, desmonte y coloque en un cajón cerrado.
Es absolutamente necesario hacer una copia de seguridad de sus llaveros privados.
Probablemente quieras hacer una copia de seguridad de tus llaveros públicos.
Todo lo demás debería , estrictamente hablando, ser opcional.
Dicho esto, esos archivos tienden a ser tan pequeños (del orden de unos pocos megabytes o menos) que en estos días realmente no hay ningún beneficio en no hacer una copia de seguridad de todo en ~ / .gnupg. Si lo hace, se asegurará de que no olvide algo que luego resulte importante.
También señalaría que OpenSSL expone primitivas criptográficas sin procesar. Si no sabe exactamente lo que está haciendo, existe un riesgo bastante alto de presentar problemas inadvertidamente al usarlos directamente. Si no tiene alguna razón específica para hacerlo de esta manera, considere usar GnuPG para cifrar el archivo. Algo así tar cf - dir | gpg ...debería ser un buen comienzo (y también evita crear un archivo intermedio en el disco).