同步私钥是个好主意吗？

Question

Ubuntu的安全常见问题表示规范加密连接并限制对用户数据的访问。这一切都很好，而且我相信SSL为网上银行和其他比我的私钥更有价值的东西。

尽管如此，我非常担心把我的~/.ssh/id_dsa放在云端。显然，没有一个系统是完全安全的。那么，某个知识渊博的政党能以务实的方式量化风险吗？

Answer 1

Ubuntu存储不使用用户加密密钥

加密。

与Dropbox一样，Ubuntu商店不使用特殊密码进行加密。因此，从技术上讲，某人可以通过不值得信任的员工或安全漏洞访问您的数据。请看关于UbuntuOne存储数据加密的错误报告，它仍然是一个愿望清单。

因此，我不会将我的~/..ssh文件夹同步到云端。除非您设置了一个加密的容器，然后将其发送到云端，但是对于ssh密钥，它并不总是那么方便。但我给出了加密数据的方便的方法：

• 保护您在Ubuntu上的存储
• 安全使用云存储

更多信息

Ubuntu对连接使用加密(如前所述)，这意味着数据基本上是通过某种HTTPS传输的。您可以使用非常好的在使用HTTPS时，窃听者可以看到什么？动画，由电子边境基金会提供。

通过单击EFF动画中的HTTPS按钮，当您将SSH键放在Dropbox或Ubuntu容器中时，您将能够看到每个人都能看到什么。正如动画所示，site.com的许多人(例如one.ubuntu.com)能够查看您的数据(以及更多的数据)。即使您使用像Tor这样的东西来路由您的所有流量，这仍然意味着site.com的用户可以访问这些数据。

所以你必须在数据离开你的电脑之前对它进行加密。因此，它以他们不知道的凭据在site.com加密。当然，您必须使用强大的加密机制，这样才能使site.com的人员破解它的速度非常慢。

当然，在银行的情况下，你不能加密你的钱，因为你付钱给银行来处理它。因此，您别无选择，只能信任银行，使其IT系统与实体库一样安全，这样只有一小部分员工(管理您的帐户的员工)可以查看和修改您的数据。

Answer 2

我很担心把我的~/..ssh/id_dsa放在云中。

一种解决方案是我用Dropbox处理ssh和gpg私钥:将它们加密到存档中，并删除“原始”原件。无论何时需要，我都会临时提取它，然后在完成时删除它。

我使用p7zip (使用AES-256加密)，但您可以使用许多其他工具。这样，所有同步的都是加密的存档，即使云存储被破坏了，也没有人能够提取私钥，除非他们知道存档的密码。

为了使您经常做的事情(例如gpg解密)更容易，您可以使用一个简单的bash脚本来处理临时解密/使用/删除部分；它还应该暂时禁用任何同步守护进程，这样提取的密钥不会意外同步。

Answer 3

您可以通过备份工具Deja将您的密钥保存在U1上。如果设置密码，备份文件将在U1上自动加密。不需要手工操作。