La privacidad es un tema cada vez más candente. En Linux, el gpg El comando permite a los usuarios cifrar archivos mediante criptografía de clave pública, en cuyo caso perder las claves de cifrado sería catastrófico. Aquí se explica cómo respaldarlos.
Protección de privacidad de OpenPGP y GNU
Una de las ventajas de los archivos electrónicos sobre las copias impresas en papel es que puede cifrar los archivos electrónicos para que solo las personas autorizadas puedan acceder a ellos. Si caen en las manos equivocadas, no importa. Solo usted y el destinatario previsto pueden acceder a la contenido de los archivos
El estándar OpenPGP describe un sistema de encriptación llamado encriptación de clave pública. La implementación de GNU Privacy Guard de ese estándar resultó en gpguna herramienta de línea de comandos para cifrar y descifrar de acuerdo con el estándar.
El estándar describe un esquema de cifrado de clave pública. Aunque se llama “clave pública”, hay dos claves involucradas. Cada persona tiene una clave pública y una clave privada. Las claves privadas, como sugiere su nombre, nunca se revelan ni se transmiten a nadie más. Las claves públicas se pueden compartir de forma segura. de hecho, las claves públicas deben compartirse para que el esquema funcione.
Cuando se cifra un archivo, la clave privada del remitente y la clave pública del destinatario se utilizan en el proceso de codificación. A continuación, el archivo se puede entregar al destinatario. Utilizan su clave privada y la clave pública del remitente para descifrar el archivo.
Las claves públicas y privadas se generan como un par coincidente y se vinculan a una identidad particular. Incluso si no transmite material confidencial a otras personas, puede usarlo en su propia computadora para agregar una capa adicional de protección a los documentos privados.
El cifrado utiliza algoritmos de clase mundial y funciones criptográficas. Sin las claves públicas y privadas adecuadas, simplemente no puede acceder a los archivos cifrados. Y, si pierdes tus llaves, eso también se aplica a ti. Generar nuevas claves no ayudará. Para descifrar sus archivos, necesita las claves que se usaron en el proceso de cifrado.
No hace falta decir que hacer una copia de seguridad de sus claves es de suma importancia, al igual que saber cómo restaurarlas. Aquí se explica cómo realizar estas tareas.
El directorio .gnupg
Sus claves se almacenan en un directorio llamado «.gnupg» en su directorio de inicio. Este directorio también almacenará las claves públicas de cualquier persona que le haya enviado archivos cifrados. Cuando importa sus claves públicas, se agregan a un archivo de base de datos indexado en ese directorio.
Nada en este directorio se almacena en texto sin formato, por supuesto. Cuando genera sus claves GPG, se le solicita una frase de contraseña. Con suerte, has recordado cuál es esa frase de contraseña. Lo vas a necesitar. Las entradas en el directorio «.gnugp» no se pueden descifrar sin él.
Si usamos el tree utilidad para mirar el directorio, veremos esta estructura de subdirectorios y archivos. Encontrarás tree en los repositorios de su distribución si aún no lo tiene en su computadora.
tree .gnupg
El contenido del árbol de directorios es:
- openpgp-revocs.d: este subdirectorio contiene su certificado de revocación. Necesitará esto si su clave privada alguna vez se vuelve de conocimiento común o se ve comprometida de otra manera. Su certificado de revocación se usa en el proceso de retirar sus claves antiguas y adoptar claves nuevas.
- claves-privadas-v1.d: este subdirectorio almacena sus claves privadas.
- pubring.kbx: Un archivo encriptado. Contiene claves públicas, incluida la suya, y algunos metadatos sobre ellas.
- pubring.kbx~: Esta es una copia de seguridad de «pubring.kbx». Se actualiza justo antes de que se realicen cambios en «pubring.kbx».
- confianzadb.gpg: Esto mantiene las relaciones de confianza que ha establecido para sus propias claves y para cualquier clave pública aceptada que pertenezca a otras personas.
De todos modos, debe realizar copias de seguridad periódicas y frecuentes de su directorio de inicio, incluidos los archivos y carpetas ocultos. Eso hará una copia de seguridad del directorio «.gnupg» como algo natural.
Pero puede pensar que sus claves GPG son lo suficientemente importantes como para garantizar una copia de seguridad periódica propia, o tal vez desee copiar sus claves de su computadora de escritorio a su computadora portátil para tenerlas en ambas máquinas. Eres tú en ambas máquinas, después de todo.
Determinar qué claves respaldar
Podemos preguntar gpg para decirnos qué llaves están en su sistema GPG. Usaremos el --list-secret-keys opciones y el --keyid-format LONG opciones
gpg --list-secret-keys --keyid-format LONG
Se nos dice que GPG está buscando dentro del archivo “/home/dave/.gnupg/pubring.kbx”.
Nada de lo que aparece en la pantalla es su clave secreta real.
- La línea «sec» (secreto) muestra el número de bits en el cifrado (4096 en este ejemplo), el ID de la clave, la fecha en que se creó la clave y «[SC].” La «S» significa que la clave se puede usar para firmas digitales y la «C» significa que se puede usar para la certificación.
- La siguiente línea es la huella dactilar clave.
- La línea «uid» contiene la identificación del propietario de la clave.
- La línea «ssb» muestra la subclave secreta, cuándo se creó y «E». La «E» indica que se puede utilizar para el cifrado.
Si ha creado varios pares de claves para usar con diferentes identidades, también aparecerán en la lista. Solo hay un par de claves para respaldar para este usuario. La copia de seguridad incluirá cualquier clave pública que pertenezca a otras personas que el propietario de esta clave haya recopilado y haya decidido confiar.
Copia de seguridad
Podemos preguntar gpg para hacer una copia de seguridad de todas las claves para todas las identidades, o para hacer una copia de seguridad de las claves asociadas con una única identidad. Realizaremos una copia de seguridad de la clave privada, la clave secreta y el archivo de la base de datos de confianza.
Para hacer una copia de seguridad de las claves públicas, utilice el --export opción. También vamos a utilizar el --export-options backup opciones Esto garantiza que se incluyan todos los metadatos específicos de GPG para permitir que los archivos se importen correctamente en otra computadora.
Especificaremos un archivo de salida con el --output opción. Si no hiciéramos eso, la salida se enviaría a la ventana de la terminal.
gpg --export --export-options backup --output public.gpg
Si solo desea hacer una copia de seguridad de las claves para una sola identidad, agregue la dirección de correo electrónico asociada con las claves a la línea de comando. Si no puede recordar qué dirección de correo electrónico es, use el --list-secret-keys opción, como se describió anteriormente.
gpg --export --export-options backup --output public.gpg [email protected]
Para hacer una copia de seguridad de nuestras claves privadas, necesitamos usar el --export-secret-keys opción en lugar de la --export opción. Asegúrese de guardar esto en un archivo diferente.
gpg --export-secret-keys --export-options backup --output private.gpg
Debido a que esta es su clave privada, deberá autenticarse con GPG antes de poder continuar.
Tenga en cuenta que usted es no se le pide su contraseña. Lo que necesitas para entrar es el frase de contraseña proporcionó cuando creó sus claves GPG por primera vez. Los buenos administradores de contraseñas le permiten guardar información como esa como notas seguras. Es un buen lugar para guardarlos.
Si se acepta la frase de contraseña, se realiza la exportación.
Para hacer una copia de seguridad de sus relaciones de confianza, necesitamos exportar la configuración de su archivo «trustdb.gpg». Estamos enviando el resultado a un archivo llamado «trust.gpg». Este es un archivo de texto. Se puede ver usando cat.
gpg --export-ownertrust > trust.gpg
cat trust.gpg
Aquí están los tres archivos que hemos creado.
ls -hl *.gpg
Los moveremos a otra computadora y los restauraremos. Esto establecerá nuestra identidad en esa máquina y nos permitirá usar nuestras claves GPG existentes.
Si no está moviendo las claves a otra computadora y solo está haciendo una copia de seguridad porque quiere estar doblemente seguro de que están seguras, cópielas en algún otro medio y guárdelas de manera segura. Incluso si caen en las manos equivocadas, su clave pública es pública de todos modos, por lo que no hay daño allí. Y sin su frase de contraseña, su clave privada no se puede restaurar. Pero aún así, mantenga sus copias de seguridad seguras y privadas.
Hemos copiado los archivos a una computadora Manjaro 21.
ls *.gpg
Por defecto, Manjaro 21 usa el shell Z, zsh, por eso se ve diferente. Pero esto no importa, no afectará nada. Lo que estamos haciendo se rige por el gpg programa, no el shell.
Para importar nuestras llaves, necesitamos usar el --import opción.
gpg --import public.gpg
Los detalles de la clave se muestran a medida que se importa. El archivo “trustdb.gpg” también se crea para nosotros. Importar la clave privada es igual de fácil. usamos el --import opción de nuevo.
gpg --import private.gpg
Se nos solicita que ingresemos la frase de contraseña.
Escríbalo en el campo «Frase de contraseña», presione la tecla «Tab» y presione «Enter».
Se muestran los detalles de las claves importadas. En nuestro caso, solo tenemos una llave.
Para importar nuestra base de datos de confianza, escriba:
gpg --import-ownertrust trust.gpg
Podemos comprobar que todo se ha importado correctamente utilizando el --list-secret-keys opción una vez más.
gpg --list-secret-keys --keyid-format LONG
Esto nos da exactamente el mismo resultado que vimos en nuestra computadora con Ubuntu anteriormente.
Protege tu privacidad
Asegúrese de que sus claves GPG estén seguras haciendo una copia de seguridad de ellas. Si tiene un problema con la computadora o simplemente actualiza a un modelo más nuevo, asegúrese de saber cómo transferir sus claves a la nueva máquina.
RELACIONADO: Cómo hacer una copia de seguridad de su sistema Linux con rsync