Ну, одно решение - это то, что я делаю с закрытыми ключами ssh и gpg с Dropbox: зашифруйте их в архив и удалите «исходные» оригиналы. Когда это необходимо, я временно извлекаю его, а затем удаляю, когда это делается.
Я использую p7zip (использует шифрование AES-256), но вы можете использовать ряд других инструментов. Таким образом, все, что синхронизируется, - это зашифрованный архив, и даже если облачное хранилище скомпрометировано, никто не может извлекать секретные ключи, если они не знают кодовую фразу для архива.
Чтобы облегчить жизнь вещам вы часто делаете (скажем, дешифрование gpg), у вас может быть простой скрипт bash обрабатывать временную часть дешифрования / использования / удаления; он также должен временно отключить любые демоны синхронизации, чтобы извлеченные ключи не были случайно синхронизированы.