Estou procurando um utilitário para criptografar certos diretórios no Linux. Não estou procurando nenhum serviço de criptografia de disco completo, mas simplesmente criptografar alguns diretórios com o objetivo de armazenar arquivos na nuvem. Depois de recuperá-los, eu devo descriptografá-los antes que possam ser acessados. Procurando fazer isso em alguns diretórios (algumas centenas de GB de tamanho). Alguma ideia? De preferência com base em CLI.
Respostas:
Eu uso apenas o GnuPG para esta tarefa. As pastas são compactadas primeiro em um arquivo TAR-GZ:
tar czf files.tar.gz /path/to/my/files
Se ainda não o tiver feito, primeiro crie um par de chaves público / privado GPG:
gpg --gen-key
Siga as instruções. Os padrões devem ser suficientes para um primeiro teste. Algo assim aparecerá:
gpg (GnuPG) 2.0.18; Direitos autorais (C) 2011 Free Software Foundation, Inc.
Este é um software livre: você pode alterá-lo e redistribuí-lo.
NÃO HÁ GARANTIA, na extensão permitida por lei.
Selecione o tipo de chave que você deseja:
(1) RSA e RSA (padrão)
(2) DSA e Elgamal
(3) DSA (somente assinatura)
(4) RSA (somente sinal)
Sua seleção? 1
As chaves RSA podem ter entre 1024 e 4096 bits.
Qual tamanho de chave você deseja? (2048) 4096
O tamanho da chave solicitado é 4096 bits
Especifique por quanto tempo a chave deve ser válida.
0 = chave não expira
= chave expira em n dias
w = chave expira em n semanas
m = chave expira em n meses
y = chave expira em n anos
A chave é válida para? (0)
A chave não expira em absoluto
Isso está correto? (s / N) s
O GnuPG precisa construir um ID do usuário para identificar sua chave.
Nome real: Chave de criptografia de arquivo
Endereço de e-mail: admin@company.org
Comentário: Chave de Criptografia de Arquivo
Você selecionou este USER-ID:
"Chave de criptografia de arquivos (chave de criptografia de arquivos)"
Alterar (N) nome, (C) omento, (E) correio ou (O) kay / (Q) uit? o
Você será solicitado a fornecer uma senha para a chave. É altamente recomendável usar um forte. De qualquer forma, não é necessário criptografar arquivos, portanto, não se preocupe com o uso em lote posteriormente.
Se tudo estiver pronto, algo assim aparecerá na sua tela:
Precisamos gerar muitos bytes aleatórios. É uma boa ideia executar
alguma outra ação (digite no teclado, mova o mouse, utilize o
discos) durante a geração principal; isso dá o número aleatório
gerador uma chance melhor de obter entropia suficiente.
Precisamos gerar muitos bytes aleatórios. É uma boa ideia executar
alguma outra ação (digite no teclado, mova o mouse, utilize o
discos) durante a geração principal; isso dá o número aleatório
gerador uma chance melhor de obter entropia suficiente.
gpg: chave FE53C811 marcada como confiável em última análise
chave pública e secreta criada e assinada.
gpg: verificando o trustdb
gpg: 3 marginais necessários, 1 completos necessários, modelo de confiança PGP
gpg: depth: 0 válido: 1 assinado: 0 confiança: 0-, 0q, 0n, 0m, 0f, 1u
pub ***** / ******** 19/03/2013
Impressão digital chave = **** **** **** **** **** **** **** **** **** **** ****
Chave de criptografia de arquivos uid (Chave de criptografia de arquivos)
sub ***** / ******** 19/03/2013
Agora você pode exportar o arquivo de chave público para importá-lo em outras máquinas:
gpg --armor --output file-enc-pubkey.txt --export 'File Encryption Key'
O File Encryption Keyé o nome que eu inseri durante o procedimento de geração de chave.
Agora estou usando o GnuPG no arquivo recém-criado:
gpg --encrypt --recipient 'File Encryption Key' files.tar.gz
Agora você tem um files.tar.gz.gpgarquivo criptografado.
Você pode descriptografá-lo com o seguinte comando (sua senha será solicitada):
gpg --output files.tar.gz --decrypt files.tar.gz.gpg
Essa é toda a mágica.
Certifique-se de fazer backup da sua chave! E nunca esqueça sua senha! Se não for feito backup ou esquecido, você terá gigabytes de lixo eletrônico de dados!
Faça backup da sua chave privada com este comando:
gpg --armor --output file-enc-privkey.asc --export-secret-keys 'File Encryption Key'
Vantagens
Da minha parte, eu principalmente uso dois métodos:
tar cvf backup.tar /path/to/folder
Você pode remover a opção [v] do comando tar para desativar o modo detalhado.
openssl aes-128-cbc -salt -in backup.tar -out backup.tar.aes -k yourpassword
Você pode alterar o aes-128-cbc para qualquer outro método de criptografia que o openssl suporte (openssl --help).
openssl aes-128-cbc -d -salt -in backup.tar.aes -out backup.restored.tar
Ele solicitará a senha.
zip -r -0 -e backup.zip /path/to/folder
Ele solicitará a senha.
Uma vantagem disso: funcionará melhor com o sistema baseado em Windows.
ziphá rumores de que a criptografia é quebrável.
Se você não deseja criptografar seus arquivos com um par de chaves pública / privada e usar apenas criptografia simétrica com uma frase secreta, use o seguinte comando:
gpg --symmetric --cipher-algo aes256 files.tar.gz
Você será solicitado a digitar sua senha. Depois disso, um arquivo criptografado chamado files.tar.gz.gpgé criado.
Para descriptografar, use o comando
gpg --decrypt files.tar.gz.gpg > files.tar.gz
Você pode usar truecrypt solução muito simples e agradável. Possui pacote para uso exclusivo do console. É muito simples de aprender e usar. http://www.truecrypt.org
Para esse propósito, sugiro a criptografia do FUSE (como encfs ) - para dados menores, eu usaria o gpg.
É fs implementado no espaço do usuário para que você não precise de privilégios especiais.
Uma maneira muito simples de criptografar um arquivo é:
gpg -c filename.ext
Você será solicitado a digitar uma senha duas vezes e o gpg será criado filename.ext.gpg. Carregue o arquivo criptografado no seu serviço de nuvem. Para recuperar o arquivo, use:
gpg filename.ext.gpg
O que será recriado filename.ext. Observe que os arquivos não criptografados não são seguros e os dados relevantes permanecerão na sua mídia de armazenamento, mesmo após a exclusão. Somente o contêiner de gpg é seguro. O EncFS é uma alternativa mais prática para criptografia baseada em nuvem no nível do arquivo.
tarsem azopção para evitar compactá-los.