Criptografando arquivo apenas com SSH -priv-key?

Suponha que eu queira criptografar um arquivo para que somente eu possa lê-lo, conhecendo minha senha de chave privada SSH. Estou compartilhando um repositório no qual desejo criptografar ou ocultar informações confidenciais. Com isso, quero dizer que o repositório conterá as informações, mas eu as abrirei apenas em casos especiais.

1. Suponha que eu esteja usando o agente SSH, existe alguma maneira fácil de criptografar o arquivo para que eu o abra mais tarde?

2. Não vejo por que devo usar o GPG para essa pergunta aqui ; basicamente, eu sei a senha e quero apenas descriptografar o arquivo com a mesma senha da minha chave SSH. Isso é possível?

Acho que seu requisito é válido, mas, por outro lado, também é difícil, porque você está misturando criptografia simétrica e assimétrica. Por favor me corrija se eu estiver errado.

Raciocínio:

1. A senha da sua chave privada é para protegê-la e nada mais.
2. Isso leva à seguinte situação: Você deseja usar sua chave privada para criptografar algo que somente você pode descriptografar. Sua chave privada não se destina a isso, sua chave pública está lá para fazer isso. Tudo o que você criptografa com sua chave privada pode ser descriptografado por sua chave pública (assinatura), certamente não é o que você deseja. (O que for criptografado por sua chave pública só pode ser descriptografado por sua chave privada.)
3. Portanto, você precisa usar sua chave pública para criptografar seus dados, mas para isso, não precisa da sua senha de chave privada para isso. Somente se você quiser descriptografá-lo, precisará da sua chave privada e da senha.

Conclusão: Basicamente, você deseja reutilizar sua senha para criptografia simétrica. O único programa que você deseja fornecer à sua senha é ssh-agent e esse programa não executa criptografia / descriptografia apenas com a senha. A senha está lá apenas para desbloquear sua chave privada e depois esquecida.

Recomendação: Use openssl encou gpg -e --symmetriccom arquivos de chave protegidos por senha para criptografia. Se você precisar compartilhar as informações, poderá usar a infra-estrutura de chave pública de ambos os programas para criar uma PKI / Web of Trust.

Com o openssl, algo como isto:

$ openssl enc -aes-256-ctr -in my.pdf -out mydata.enc 

e descriptografia algo como

$ openssl enc -aes-256-ctr -d -in mydata.enc -out mydecrypted.pdf

Atualização: É importante observar que os comandos openssl acima NÃO impedem que os dados sejam violados. Um simples toque no arquivo enc resultará em dados descriptografados corrompidos também. Os comandos acima não podem ser detectados, é necessário verificar isso, por exemplo, com uma boa soma de verificação como SHA-256. Existem maneiras criptográficas de fazer isso de forma integrada, isso é chamado de HMAC (Código de autenticação de mensagens baseado em Hash).

Eu preferiria usar o opensslutilitário, pois parece bastante onipresente.

Converta a chave pública e a chave RSA no formato PEM:

$ openssl rsa -in ~/.ssh/id_rsa -outform pem > id_rsa.pem
$ openssl rsa -in ~/.ssh/id_rsa -pubout -outform pem > id_rsa.pub.pem

Criptografando um arquivo com sua chave pública:

$ openssl rsautl -encrypt -pubin -inkey id_rsa.pub.pem -in file.txt -out file.enc

Descriptografando o arquivo com sua chave privada:

$ openssl rsautl -decrypt -inkey id_rsa.pem -in file.enc -out file.txt

Mas, como Gilles comentou acima, isso é adequado apenas para criptografar arquivos menores que sua chave pública, então você pode fazer algo assim:

Gere uma senha, criptografar o arquivo simetricamente e criptografar a senha com o seu público, salvando a chave em arquivo:

$ openssl rand 64 | 
tee >(openssl enc -aes-256-cbc -pass stdin -in file.txt -out file.enc) |
openssl rsautl -encrypt -pubin -inkey id_rsa.pub.pem  -out file.enc.key

Descriptografe a senha com sua chave privada e use-a para descriptografar o arquivo:

$ openssl rsautl -decrypt -inkey id_rsa.pem -in file.enc.key | 
openssl enc -aes-256-cbc -pass stdin -d -in file.enc -out file.txt

Você terminará com dois arquivos, seu arquivo criptografado e sua senha criptografada, mas, em um script, ele funcionará bem.

Você pode até adicionar um tar cvf file file.enc file.enc.keypara arrumar.

Idealmente, você maximizaria o tamanho da sua senha e mudaria rand 64para o tamanho da sua chave pública.

Veja luks / dm-crypt . Você pode usar sua chave ssh-private-key como chave de criptografia, usando a opção apropriada.

Atualização: Exemplo de criptografia usando LUKS com um dispositivo de bloco LV (teste LV no sistema VG):

KEY=/home/youraccount/.ssh/id_dsa
DEVICE=/dev/system/test
cryptsetup luksFormat $DEVICE $KEY
cryptsetup luksOpen $DEVICE test_crypt --key-file $KEY

Isso deve gerar um dispositivo de bloco / dev / mapper / test_crypt no qual você pode armazenar seus dados (após formatá-los com um sistema de arquivos de sua escolha).

Para se livrar dele, desmonte e use cryptsetup luksClose test_crypt.