Potřebujete zašifrovat citlivé soubory, ale nechcete šifrovat celý disk vašeho Linuxového systému? Pak doporučujeme vyzkoušet nástroj gocryptfs. S jeho pomocí získáte adresář, který bude automaticky šifrovat a dešifrovat veškerá uložená data.
gocryptfs: Ochrana vašich dat před neoprávněným přístupem
Ochrana soukromí je v dnešní době velmi důležitá. Téměř každý týden se objevují zprávy o narušení bezpečnosti dat u různých organizací. Společnosti hlásí jak nedávné incidenty, tak i úniky dat, které se staly v minulosti. V obou případech je to špatná zpráva pro ty, jejichž osobní údaje se dostaly do nepovolaných rukou.
Miliony lidí využívají cloudové služby, jako je Dropbox, Google Disk a Microsoft OneDrive, a do cloudu se tak denně nahrává obrovské množství dat. Pokud ukládáte svá data do cloudu, jak můžete ochránit své tajné informace a soukromé dokumenty v případě narušení bezpečnosti?
Úniky dat se samozřejmě objevují v různých formách a rozsazích a netýkají se pouze cloudu. Ztracená paměťová karta nebo odcizený notebook představují únik dat v menším měřítku. Nicméně, i menší únik může mít katastrofální následky, pokud se jedná o citlivá nebo důvěrná data.
Jedním z řešení je šifrování dokumentů. Běžně se to provádí šifrováním celého pevného disku. To je sice bezpečné, ale může to mírně zpomalit váš počítač. Navíc, v případě selhání disku může být obnova systému ze zálohy komplikovanější.
Systém gocryptfs vám umožňuje šifrovat pouze vybrané adresáře, které potřebujete ochránit, čímž se vyhnete plošnému šifrování celého systému. Je rychlý, nenáročný na zdroje a snadno se používá. Navíc, zašifrované adresáře můžete snadno přesouvat mezi počítači. Pokud máte správné heslo, na druhém počítači se neobjeví žádné stopy vašich souborů.
gocryptfs je navržen jako lehký, šifrovaný souborový systém. Může být připojen běžnými uživatelskými účty bez nutnosti oprávnění roota, protože využívá balíček Filesystem in Userspace (FUSE). FUSE funguje jako most mezi gocryptfs a systémovými rutinami, ke kterým potřebuje přistupovat.
Instalace gocryptfs
Pro instalaci gocryptfs na Ubuntu použijte tento příkaz:
sudo apt-get install gocryptfs
Pro instalaci na Fedoru použijte příkaz:
sudo dnf install gocryptfs
Na Manjaro použijte příkaz:
sudo pacman -Syu gocryptfs
Vytvoření šifrovaného adresáře
Jednou z výhod gocryptfs je jeho jednoduchost použití. Princip je následující:
Vytvořte adresář pro uložení šifrovaných souborů a podadresářů.
Pomocí gocryptfs inicializujte tento adresář.
Vytvořte prázdný adresář jako bod připojení a připojte k němu šifrovaný adresář.
V bodě připojení můžete prohlížet, používat a vytvářet dešifrované soubory.
Po dokončení odpojte šifrovanou složku.
Vytvoříme adresář s názvem „vault“ pro uložení zašifrovaných dat. Zadejte následující příkaz:
mkdir vault
Nyní musíme inicializovat náš nový adresář. Tento krok vytvoří souborový systém gocryptfs v adresáři:
gocryptfs -init vault
Po zobrazení výzvy zadejte heslo (dvakrát pro ověření). Zvolte silné heslo, například tři nesouvisející slova obsahující interpunkci, číslice nebo symboly.
Nyní se zobrazí vygenerovaný hlavní klíč. Zkopírujte a uložte si ho na bezpečném a soukromém místě. V našem příkladu vytváříme adresář gocryptfs na výzkumném počítači, který je po napsání každého článku vymazán.
Pro demonstraci je zobrazen hlavní klíč pro tento adresář, ale vy byste měli být s vaším klíčem mnohem opatrnější. Pokud se někdo dostane k vašemu hlavnímu klíči, získá přístup ke všem vašim zašifrovaným datům.
Pokud přejdete do nového adresáře, uvidíte, že byly vytvořeny dva soubory. Zadejte následující příkazy:
cd vault
ls -ahl
Soubor „gocryptfs.diriv“ je krátký binární soubor, zatímco soubor „gocryptfs.conf“ obsahuje nastavení a informace, které by měly být v bezpečí.
Pokud nahráváte zašifrovaná data do cloudu nebo zálohujete na malá přenosná média, tento soubor nezahrnujte. Pokud však zálohujete na místní médium, které máte pod kontrolou, můžete tento soubor zahrnout.
S dostatečným časem a úsilím by mohlo být možné získat vaše heslo z údajů „encrypted key“ a „salt“, jak je uvedeno níže:
cat gocryptfs.conf
Připojení šifrovaného adresáře
Šifrovaný adresář se připojuje k bodu připojení, což je prostě prázdný adresář. Vytvoříme adresář s názvem „geek“:
mkdir geek
Nyní můžeme připojit zašifrovaný adresář k bodu připojení. Přesněji řečeno, připojuje se souborový systém gocryptfs uvnitř zašifrovaného adresáře. Budeme vyzváni k zadání hesla:
gocryptfs vault geek
Když je šifrovaný adresář připojen, můžeme používat adresář bodu připojení jako jakýkoliv jiný. Vše, co v tomto adresáři upravíme nebo vytvoříme, se ve skutečnosti zapisuje do připojeného zašifrovaného adresáře.
Můžeme vytvořit jednoduchý textový soubor, například:
touch secret-notes.txt
Můžeme ho upravit, přidat do něj nějaký obsah a poté soubor uložit:
gedit secret-notes.txt
Náš nový soubor byl vytvořen:
ls
Pokud se přepneme do našeho zašifrovaného adresáře, vidíme, že se vytvořil nový soubor se zašifrovaným názvem. Z názvu nelze ani poznat, o jaký typ souboru se jedná:
cd vault
ls -hl
Pokud se pokusíme zobrazit obsah zašifrovaného souboru, uvidíme, že je skutečně zašifrovaný:
less aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU
Náš jednoduchý textový soubor, který je zobrazen níže, je nyní cokoli, jen ne jednoduchý.
Odpojení šifrovaného adresáře
Po dokončení práce se zašifrovaným adresářem jej můžete odpojit pomocí příkazu fusermount. Následující příkaz, který je součástí balíčku FUSE, odpojí systém souborů gocryptfs v šifrovaném adresáři od bodu připojení:
fusermount -u geek
Pokud zadáte následující příkaz pro kontrolu adresáře bodu připojení, uvidíte, že je stále prázdný:
ls
Všechny vaše úpravy jsou bezpečně uloženy v zašifrovaném adresáři.
Jednoduché a bezpečné řešení
Jednoduché systémy mají tu výhodu, že se používají častěji. Komplikované procesy mají naopak tendenci ustupovat do pozadí. Používání gocryptfs je nejen jednoduché, ale také bezpečné. Jednoduchost bez bezpečnosti by neměla smysl.
Můžete si vytvořit libovolný počet šifrovaných adresářů, nebo pouze jeden, který bude obsahovat všechna vaše citlivá data. Možná budete chtít vytvořit několik aliasů pro připojení a odpojení vašeho šifrovaného systému souborů, čímž si celý proces ještě více zjednodušíte.