web-dev-qa-db-ja.com

どのGnuPGファイルをバックアップする必要がありますか?

どのGnuPGファイル(通常は~/.gnupg/の下にあるもの)が必要ですか?

「個人情報」をバックアップするためのスクリプトがあり、すべてをタール化​​し、AES256でopensslを使用してパスワードで保護します。この方法は「安全」ですか?

今のところ、それは~/.gnupgのすべてを取得するだけです。クリーンインストールを開始しようとしていますが、取り戻せないものを失いたくありません。

2
user91025

GnuPGのバックアップ

どのGPGファイル(通常は~/.gnupg/の下にあるもの)が必要ですか?

関連ファイル

「通常の」GnuPGホームディレクトリ(Linuxおよびその他のunixoidシステムでは~/.gnupg、Windowsでは同様のパス)には、ほとんどのユーザー向けに次の情報が含まれています。

  • 公開鍵リングpubring.gpg、取得した公開鍵を保存します(他の署名を検証し、他のユーザーへの情報/メッセージを暗号化するため)
  • 秘密鍵リングsecring.gpg、独自の秘密鍵を保存します(これは、GnuPG 2.1以降の公開鍵リングとマージされます)
  • 信頼情報trustdb.gpg(他のキーの認証/署名とは異なり、信頼のWeb全体でキーを検証するために信頼を発行する必要もあります)
  • 構成gpg.confおよび可能なgpg-agent.conf

バックアップが必要なもの

通常、公開鍵は鍵サーバーから回復できますが、秘密鍵はバックアップすることが非常に重要です。失効証明書も手元にあります!信頼情報もプライベートであり、キーサーバーを介して共有されません。構成は議論の余地のある重要なものですが、構成された設定を失わないことを好む場合もあります(それをやり直すのは面倒なので)。

結局、私は~/.gnupgディレクトリ全体をバックアップに入れ、他のほとんどすべてをホームディレクトリに入れました。失効証明書の別のQRエンコード(暗号化されていない)紙のコピーを別の場所に保存しています。最悪の事態は、誰かがそれを使用して主キーを失効させることですが、私は間違いなくそうしますnotキーサーバーで制御できない認証を含むOpenPGPキーが必要です。

公式の推奨事項

man gpgは、公開鍵リング、秘密鍵リング(GnuPG 2.1より前の場合)をバックアップし、最後にエクスポートデータベースファイルをバックアップする代わりに信頼データベースをバックアップすることをお勧めします(gpg --export-ownertrustを実行) )。いくつかの事前バックアップスクリプトを使用してこれを行うことができるかもしれません。私は、個々のファイルを気にせずに、GnuPGディレクトリ全体をバックアップすることにしました。

バックアップの暗号化

「プライベート情報」をバックアップするためのスクリプトがあり、すべてをタール化​​し、AES256でopensslを使用してパスワードで保護します。この方法は「安全」ですか?

AES256は安全であると見なされており、OpenPGPでも使用できます。もちろん、マシンと(暗号化された)バックアップにのみ保存されている独自の公開鍵と秘密鍵のペアで暗号化しないでください。適切なパラメータを使用したGnuPG--symmetric暗号化もその目的には問題ないかもしれませんが、OpenSSLを使用すると同等のセキュリティが提供されます。

コンピュータのリセット中のバックアップ

今のところ、~/.gnupgのすべてを取得するだけです。クリーンインストールを開始しようとしていますが、取り戻せないものを失いたくありません。

バックアップを使用して新しいインストールに移行することは、最も合理的な方法ではないようです。 「毎日のスケジュール」から外れて管理タスクを実行しているため、実行中に障害が発生する可能性が高くなります。同時に、データのプライマリコピーを放棄し、2番目のコピーのすべてが正常であると信頼します。

プライマリデータ用のスペアディスク(または、さらに良いことに、しばらく保持している古いセットアップの完全なイメージ)がない場合は、バックアップですnotバックアップを購入してください。とにかく安いです。

1
Jens Erat

あなたの方法は正しいです、あなたは正しいディレクトリを安全な方法で保存します。

安全なバージョンを使用していることをopenssl versionで確認してください。

opensslの暗号化されたリポジトリを、~/.gnupgでキーリングをホストしているものとは別の物理メディアに配置します。確認したUSBキーをマウント解除し、閉じた引き出しに入れます。

0
dan

あなたは絶対にあなたの秘密鍵リングをバックアップする必要があります

おそらく公開鍵リングをバックアップしたい

他のすべては、厳密に言えば、オプションである必要があります

とは言うものの、これらのファイルは非常に小さい(数メガバイト以下のオーダー)傾向があるため、最近はすべてをバックアップしないことにメリットはありません〜/ .gnupgにあります。そうすることで、後で重要であることが判明したことを忘れないようにすることができます。

また、OpenSSLが生の暗号プリミティブを公開していることも指摘しておきます。自分が何をしているのか正確にわからない場合は、直接使用して不注意に問題を引き起こすリスクがかなり高くなります。このようにする特別な理由がない場合は、GnuPG自体を使用してアーカイブを暗号化することを検討してください。何かのようなもの tar cf - dir | gpg ...は良いスタートです(そしてディスク上に中間ファイルを作成することも避けます)。

0
a CVn