Beim verschlüsseln der Backups vai duplicity frägt selbiges nach dem "Signature Key". Solange man das Backup manuell per Hand startet, ist ja alles in Butter und man gibt das PW direkt beim Backup ein.
Wenn man das ganze "unattended" laufen lassen will, z.B. via Cron musst man zwangsläufig den Passphrase irgendwo "plain" hinterlegen. Da macht es Sinn zwei unterschiedliche Keys für Encrypt und Sign zu nehmen, da man somit nur den Passphrase des Signatures Keys hinterlegt, nicht aber den des Encryption Keys.
wozu unterschiedliche keys?
der verschlüsslungs-key darf ja gerne unverschlüsselt bei den Originaldaten liegen, wer da dran kommt kann auch direkt die Originaldaten klauen.
Bei mir besteht ein verschlüsseltes Delta Backup mit duplicity aus genauer einer Kommandozeile...
zB via FTP
export PASSPHRASE=SomeLongGeneratedHardToCrackKey
export FTP_PASSWORD=WhateverPasswordYouSetUp
duplicity /etc ftp://FtpUserID@ftp.domain.com/etc
Somit sicherst Du Dein Backup nur symetrisch, sprich nur mit einem Passphrase - nicht aber asymetrisch wie im Key Verfahren
Ganz einfach:
Beim verschlüsseln der Backups vai duplicity frägt selbiges nach dem "Signature Key". Solange man das Backup manuell per Hand startet, ist ja alles in Butter und man gibt das PW direkt beim Backup ein.
Wenn man das ganze "unattended" laufen lassen will, z.B. via Cron musst man zwangsläufig den Passphrase irgendwo "plain" hinterlegen. Da macht es Sinn zwei unterschiedliche Keys für Encrypt und Sign zu nehmen, da man somit nur den Passphrase des Signatures Keys hinterlegt, nicht aber den des Encryption Keys.
Paranoid - aber wirksam