同步私钥是个好主意吗？

Ubuntu One的安全性常见问题解答表明Canonical加密连接并限制对用户数据的访问。一切都很好，我确实相信SSL可以用于网上银行和其他比我的私钥更有价值的东西。

也就是说，我非常担心将自己~/.ssh/id_dsa置于云中。显然，没有系统是完全安全的。那么，有知识的一方可以实用地量化风险吗？

Ubuntu One存储未使用用户加密密钥加密

与Dropbox一样，Ubuntu One商店也没有使用特殊密码来加密。因此，从技术上讲，某人可以通过不值得信任的员工或安全漏洞来访问您的数据。看到有关UbuntuOne存储数据加密的错误报告，它仍然是一个愿望清单。

因此，我不会将〜/ .ssh文件夹同步到云中。除非您设置一个加密的容器，然后将其发送到云，然后再使用ssh密钥，否则它并不总是那么方便。但我仍然为您提供方便的加密数据的方法：

• 保护您在Ubuntu One上的存储
• 安全使用云存储

更多信息

Ubuntu One正在使用加密进行连接（实际上是这样说的），这意味着基本上数据是通过某种HTTPS传输的。在使用HTTPS的情况下，您可以使用窃听者可以看到的效果非常出色的动画，这要归功于EFF（电子前沿基金会）。

通过单击EFF动画上的HTTPS按钮，当您将SSH密钥放入Dropbox或Ubuntu One容器中时，您将能够看到所有人可见的内容。正如动画所示，site.com上的许多人（例如one.ubuntu.com）都可以查看您的数据（以及更多）。即使您使用诸如Tor之类的方法来路由所有流量，这仍然意味着site.com上的人员可以访问数据。

因此，您必须在数据离开计算机之前对其进行加密。因此它以他们不知道的凭据加密到达site.com。当然，您将必须使用强大的加密机制，以使site.com上的人员破解它的速度极慢。

当然，在银行的情况下，您无法加密您的钱，因为您需要支付给银行来为您处理。因此，您别无选择，只能信任银行，使他们的IT系统像物理仓库一样安全，以便只有一小部分员工（管理您的帐户的员工）可以查看和修改您的数据。

我很担心将〜/ .ssh / id_dsa放在云中。

好的，一种解决方案是使用Dropbox处理ssh和gpg私钥：将它们加密为存档，然后删除“原始”原始文件。每当需要时，我都会临时将其提取，然后在完成后将其删除。

我使用p7zip（使用AES-256加密），但是您可以使用许多其他工具。这样，所有同步的都是加密的存档，即使云存储受到损害，也没有人可以提取私钥，除非他们知道存档的密码。

为了使您经常做的事情（例如gpg解密）的生活更轻松，您可以让一个简单的bash脚本处理临时解密/使用/删除部分；它还应暂时禁用所有同步守护程序，以免提取的密钥被意外同步。

您可以通过备份工具Deja-dup将密钥保存在U1上。如果设置密码，则备份文件将在U1上自动加密。无需手动执行此操作。

有多种可用的度量标准来定义风险，但是您需要考虑密钥可以访问的数据或系统的价值。如果密钥丢失了，并且某些实体可以使用它获得访问权限，将遭受什么损害？是否担心会暴露机密数据，数据丢失，从管理级别或帐户级别破坏帐户的可能性等？如果您可以重新创建非机密数据，并且安全存储（例如加密）了机密数据，那么压力就小了。我认为枚举针对系统中各种弱点的变通办法是定义整体风险的一部分。实用上来说，存储.id_rsa不太可能成为问题，尤其是如果您以一定间隔旋转密钥。这取决于几个假设，但是

简单的解决方案。有点。如果您无法使用USB闪存驱动器之类的东西，请将密码短语放在SSH密钥上。即时两因素身份验证（一种）。您甚至不必上载新的公共密钥。