Cómo hacer una copia de seguridad y restaurar sus claves GPG en Linux

La privacidad es un tema cada vez más candente. En Linux, el gpg El comando permite a los usuarios cifrar archivos mediante criptografía de clave pública, en cuyo caso perder las claves de cifrado sería catastrófico. Aquí se explica cómo respaldarlos.

Protección de privacidad de OpenPGP y GNU

Una de las ventajas de los archivos electrónicos sobre las copias impresas en papel es que puede cifrar los archivos electrónicos para que solo las personas autorizadas puedan acceder a ellos. Si caen en las manos equivocadas, no importa. Solo usted y el destinatario previsto pueden acceder al contenido de los archivos.

El estándar OpenPGP describe un sistema de encriptación llamado encriptación de clave pública. los Protección de privacidad de GNU la implementación de esa norma resultó en gpg una herramienta de línea de comandos para cifrar y descifrar en de acuerdo con el estándar .

El estándar describe un esquema de cifrado de clave pública. Aunque se llama “clave pública”, hay dos claves involucradas. Cada persona tiene una clave pública y una clave privada. Las claves privadas, como sugiere su nombre, nunca se revelan ni se transmiten a nadie más. Las claves públicas se pueden compartir de forma segura. de hecho, las claves públicas deben compartirse para que el esquema funcione.

Cuando se cifra un archivo, la clave privada del remitente y la clave pública del destinatario se utilizan en el proceso de codificación. A continuación, el archivo se puede entregar al destinatario. Utilizan su clave privada y la clave pública del remitente para descifrar el archivo.

Las claves públicas y privadas se generan como un par coincidente y se vinculan a una identidad particular. Incluso si no transmite material confidencial a otras personas, puede usarlo en su propia computadora para agregar una capa adicional de protección a los documentos privados.

El cifrado utiliza algoritmos de clase mundial y funciones criptográficas. Sin las claves públicas y privadas adecuadas, simplemente no puede acceder a los archivos cifrados. Y, si pierdes tus llaves, eso también se aplica a ti. Generar nuevas claves no ayudará. Para descifrar sus archivos, necesita las claves que se usaron en el proceso de cifrado.

No hace falta decir que hacer una copia de seguridad de sus claves es de suma importancia, al igual que saber cómo restaurarlas. Aquí se explica cómo realizar estas tareas.

El directorio .gnupg

Sus claves se almacenan en un directorio llamado “.gnupg” en su directorio de inicio. Este directorio también almacenará las claves públicas de cualquier persona que le haya enviado archivos cifrados. Cuando importa sus claves públicas, se agregan a un archivo de base de datos indexado en ese directorio.

Nada en este directorio se almacena en texto sin formato, por supuesto. Cuando genera sus claves GPG, se le solicita una frase de contraseña. Con suerte, has recordado cuál es esa frase de contraseña. Lo vas a necesitar. Las entradas en el directorio “.gnugp” no se pueden descifrar sin él.

Si usamos el tree utilidad para mirar el directorio, veremos esta estructura de subdirectorios y archivos. Encontrarás tree en los repositorios de su distribución si aún no lo tiene en su computadora.

                      tree .gnupg
                    

El contenido del árbol de directorios es:

  • openpgp-revocs.d : este subdirectorio contiene su certificado de revocación. Necesitará esto si su clave privada alguna vez se vuelve de conocimiento común o se ve comprometida de otra manera. Su certificado de revocación se usa en el proceso de retirar sus claves antiguas y adoptar claves nuevas.
  • claves-privadas-v1.d : este subdirectorio almacena sus claves privadas.
  • pubring.kbx : Un archivo encriptado. Contiene claves públicas, incluida la suya, y algunos metadatos sobre ellas.
  • pubring.kbx~ : Esta es una copia de seguridad de “pubring.kbx”. Se actualiza justo antes de que se realicen cambios en “pubring.kbx”.
  • confianzadb.gpg : Esto mantiene las relaciones de confianza que ha establecido para sus propias claves y para cualquier clave pública aceptada que pertenezca a otras personas.

De todos modos, debería realizar copias de seguridad periódicas y frecuentes de su directorio de inicio, incluidos los archivos y carpetas ocultos. Eso hará una copia de seguridad del directorio “.gnupg” como algo natural.

Pero puede pensar que sus claves GPG son lo suficientemente importantes como para garantizar una copia de seguridad periódica propia, o tal vez desee copiar sus claves de su computadora de escritorio a su computadora portátil para tenerlas en ambas máquinas. Eres tú en ambas máquinas, después de todo.

Determinar qué claves respaldar

Podemos preguntar gpg para decirnos qué llaves están en su sistema GPG. Usaremos el --list-secret-keys opciones y el --keyid-format LONG opciones

                      gpg --list-secret-keys --keyid-format LONG
                    

Listado de los detalles de la clave GPG en la ventana del terminal

Se nos dice que GPG está buscando dentro del archivo “/home/dave/.gnupg/pubring.kbx”.

Nada de lo que aparece en la pantalla es su clave secreta real.

  • La línea “sec” (secreto) muestra el número de bits en el cifrado (4096 en este example), el ID de la clave, la fecha en que se creó la clave y “[SC].” La “S” significa que la clave se puede usar para firmas digitales y la “C” significa que se puede usar para la certificación.
  • La siguiente línea es la huella dactilar clave.
  • La línea “uid” contiene la identificación del propietario de la clave.
  • La línea “ssb” muestra la subclave secreta, cuándo se creó y “E”. La “E” indica que se puede utilizar para el cifrado.

Si ha creado varios pares de claves para usar con diferentes identidades, también aparecerán en la lista. Solo hay un par de claves para respaldar para este usuario. La copia de seguridad incluirá cualquier clave pública que pertenezca a otras personas que el propietario de esta clave haya recopilado y haya decidido confiar.

Copia de seguridad

Podemos preguntar gpg para hacer una copia de seguridad de todas las claves para todas las identidades, o para hacer una copia de seguridad de las claves asociadas con una sola identidad. Realizaremos una copia de seguridad de la clave privada, la clave secreta y el archivo de la base de datos de confianza.

Para hacer una copia de seguridad de las claves públicas, utilice el --export opción. También vamos a utilizar el --export-options backup opciones Esto garantiza que se incluyan todos los metadatos específicos de GPG para permitir que los archivos se importen correctamente en otra computadora.

Especificaremos un archivo de salida con el --output opción. Si no hiciéramos eso, la salida se enviaría a la ventana de la terminal.

                      gpg --export --export-options backup --output public.gpg
                    

Exportar las claves GPG públicas

Si solo desea hacer una copia de seguridad de las claves para una sola identidad, agregue la dirección de correo electrónico asociada con las claves a la línea de comando. Si no puede recordar qué dirección de correo electrónico es, use el --list-secret-keys opción, como se describió anteriormente.

                      gpg --export --export-options backup --output public.gpg [email protected]
                    

Exportación de claves GPG públicas para una única identidad

Para hacer una copia de seguridad de nuestras claves privadas, necesitamos usar el --export-secret-keys opción en lugar de la --export opción. Asegúrese de guardar esto en un archivo diferente.

                      gpg --export-secret-keys --export-options backup --output private.gpg
                    

Exportar las claves GPG privadas

Debido a que esta es su clave privada, deberá autenticarse con GPG antes de poder continuar.

Tenga en cuenta que no se le pide su contraseña. Lo que debe ingresar es la frase de contraseña que proporcionó cuando creó sus claves GPG por primera vez. Los buenos administradores de contraseñas le permiten guardar información como esa como notas seguras. Es un buen lugar para guardarlos.

Proporcionar la frase de contraseña GPG para exportar las claves privadas

Si se acepta la frase de contraseña, se realiza la exportación.

Para hacer una copia de seguridad de sus relaciones de confianza, necesitamos exportar la configuración de su archivo “trustdb.gpg”. Estamos enviando el resultado a un archivo llamado “trust.gpg”. Este es un archivo de texto. Se puede ver usando cat .

                      gpg --export-ownertrust > trust.gpg
                    
                      cat trust.gpg
                    

Exportación de las relaciones de confianza de GPG

Aquí están los tres archivos que hemos creado.

                      ls -hl *.gpg
                    

Los tres archivos creados por los comandos de exportación.

Los moveremos a otra computadora y los restauraremos. Esto establecerá nuestra identidad en esa máquina y nos permitirá usar nuestras claves GPG existentes.

Si no está moviendo las claves a otra computadora y solo está haciendo una copia de seguridad porque quiere estar doblemente seguro de que están seguras, cópielas en algún otro medio y guárdelas de manera segura. Incluso si caen en las manos equivocadas, su clave pública es pública de todos modos, por lo que no hay daño allí. Y sin su frase de contraseña, su clave privada no se puede restaurar. Pero aún así, mantenga sus copias de seguridad seguras y privadas.

Hemos copiado los archivos a una computadora Manjaro 21.

                      ls *.gpg
                    

Los archivos exportados transferidos a una computadora Manjaro

Por defecto, Manjaro 21 utiliza el caparazón Z , zsh , por eso se ve diferente. Pero esto no importa, no afectará nada. Lo que estamos haciendo se rige por el gpg programa, no el shell.

Para importar nuestras llaves, necesitamos usar el --import opción.

                      gpg --import public.gpg
                    

Importación de las claves GPG públicas

Los detalles de la clave se muestran a medida que se importa. El archivo “trustdb.gpg” también se crea para nosotros. Importar la clave privada es igual de fácil. usamos el --import opción de nuevo.

                      gpg --import private.gpg
                    

Importación de las claves GPG privadas

Se nos solicita que ingresemos la frase de contraseña.

Ingresar la frase de contraseña para importar las claves GPG privadas

Escríbalo en el campo “Frase de contraseña”, presione la tecla “Tab” y presione “Enter.”

Confirmación de las claves GPG privadas importadas

Se muestran los detalles de las claves importadas. En nuestro caso, solo tenemos una llave.

Para importar nuestra base de datos de confianza, escriba:

                      gpg --import-ownertrust trust.gpg
                    

Importación de las relaciones de confianza de GPG

Podemos comprobar que todo se ha importado correctamente utilizando el --list-secret-keys opción una vez más.

                      gpg --list-secret-keys --keyid-format LONG
                    

Verificando que la importación ha funcionado

Esto nos da exactamente el mismo resultado que vimos en nuestra computadora con Ubuntu anteriormente.

Protege tu privacidad

Asegúrese de que sus claves GPG estén seguras haciendo una copia de seguridad de ellas. Si tiene un problema informático o simplemente actualiza a un modelo más nuevo, asegúrese de saber cómo transferir sus claves a la nueva máquina.

Cómo hacer una copia de seguridad de su sistema Linux con rsync

Related Posts