Como criptografar arquivos com gocryptfs no Linux

Um gráfico de uma janela de terminal em um laptop.
Fatmawati Achmad Zaenuri / Shutterstock

Você deseja criptografar arquivos importantes, mas não todo o disco rígido do sistema Linux? Em caso afirmativo, recomendamos gocryptfs. Você obterá um diretório que, essencialmente, criptografa e descriptografa tudo o que você armazena.

gocryptfs oferece proteção contra violações de dados

A privacidade é uma grande notícia. Dificilmente uma semana se passa sem o anúncio de uma violação em uma organização ou outra. As empresas relatam incidentes recentes ou divulgam violações que ocorreram há algum tempo. Em ambos os casos, é uma má notícia para aqueles cujos dados foram expostos.

Como milhões de pessoas usam serviços como Dropbox , Google Drive e Microsoft OneDrive , um fluxo aparentemente interminável de dados é enviado para a nuvem todos os dias. Se você armazenar alguns (ou todos) seus dados na nuvem, o que pode fazer para proteger as informações confidenciais e os documentos privados caso ocorra uma violação?

As violações de dados ocorrem em todas as formas e tamanhos, é claro, e não estão limitadas à nuvem. Um pen drive perdido ou um laptop roubado é apenas uma violação de dados em menor escala. Mas a escala não é o fator crítico. Se os dados forem sigilosos ou confidenciais, outra pessoa os possuir pode ser desastroso.

Uma solução é criptografar seus documentos. Tradicionalmente, isso é feito criptografando todo o seu disco rígido. Isso é seguro, mas também torna o computador um pouco lento. Além disso, se você sofrer uma falha catastrófica, isso pode complicar o processo de restauração do sistema a partir de backups.

Recomendado:  O que é o arquivo NTUSER.DAT no Windows?

O gocryptfssistema permite que você criptografe apenas os diretórios que precisam de proteção e evita a sobrecarga de criptografia e descriptografia em todo o sistema. É rápido, leve e fácil de usar. Também é fácil mover diretórios criptografados para outros computadores. Contanto que você tenha a senha para acessar esses dados, ela não deixa rastros de seus arquivos no outro computador.

O gocryptfssistema é construído como um sistema de arquivos criptografado leve. Também é montável por contas normais não root porque usa o  pacote Filesystem in Userspace (FUSE). Isso atua como uma ponte entre gocryptfsas rotinas do sistema de arquivos do kernel que ele precisa acessar.

Instalando gocryptfs

Para instalar gocryptfsno ubuntu, digite este comando:

sudo apt-get install gocryptfs

sudo apt-get install gocryptfs em uma janela de terminal.

Para instalá-lo no Fedora digite:

sudo dnf install gocryptfs

sudo dnf instalar gocryptfs em uma janela de terminal

No Manjaro, o comando é:

sudo pacman -Syu gocryptfs

sudo pacman -Syu gocryptfs em uma janela de terminal

Criação de um diretório criptografado

Parte da glória do gocryptfsé como é simples de usar. Os princípios são:

  • Crie um diretório para conter os arquivos e subdiretórios que você está protegendo.
  • Use gocryptrfspara inicializar esse diretório.
  • Crie um diretório vazio como ponto de montagem e, a seguir, monte nele o diretório criptografado.
  • No ponto de montagem, você pode ver e usar os arquivos descriptografados e criar novos.
  • Desmonte a pasta criptografada quando terminar.

Vamos criar um diretório chamado “cofre” para armazenar os dados criptografados. Para fazer isso, digitamos o seguinte:

cofre mkdir

cofre mkdir em uma janela de terminal.

Precisamos inicializar nosso novo diretório. Esta etapa cria o gocryptfssistema de arquivos dentro do diretório:

gocryptfs -init vault

gocryptfs -init vault em uma janela de terminal.

Digite uma senha quando for solicitado; você digitará duas vezes para garantir que está correto. Escolha uma palavra forte: três palavras não relacionadas que incluem pontuação, dígitos ou símbolos é um bom modelo.

Recomendado:  O que significa “ROFL” e como usá-lo?

Sua chave mestra é gerada e exibida. Copie e salve em um lugar seguro e privado. Em nosso exemplo, estamos criando um gocryptfs diretório em uma máquina de pesquisa que é apagado depois que cada artigo é escrito.

Como é necessário para um exemplo, você pode ver a chave mestra para este diretório. Você definitivamente vai querer ser muito mais reservado com o seu. Se alguém obtiver sua chave mestra, poderá acessar todos os seus dados criptografados.

Se você mudar para o novo diretório, verá que dois arquivos foram criados. Digite o seguinte:

cofre de cd
ls -ahl

cofre de CD em uma janela de terminal.

O “gocryptfs.diriv” é um arquivo binário curto, enquanto “gocryptfs.conf” contém configurações e informações que você deve manter em segurança.

Se você enviar seus dados criptografados para a nuvem ou fazer backup em uma mídia pequena e transportável, não inclua esse arquivo. Se, no entanto, você fizer backup na mídia local que permanece sob seu controle, poderá incluir esse arquivo.

Com tempo e esforço suficientes, pode ser possível extrair sua senha das entradas “chave criptografada” e “salt”, conforme mostrado abaixo:

cat gocryptfs.conf

cat gocryptfs.conf em uma janela de terminal.

Montando o diretório criptografado

O diretório criptografado é montado em um ponto de montagem, que é simplesmente um diretório vazio. Vamos criar um chamado “geek”:

mkdir geek

Agora podemos montar o diretório criptografado no ponto de montagem. Estritamente falando, o que está realmente montado é o gocryptfssistema de arquivos dentro do diretório criptografado. A senha é solicitada:

gocryptfs vault geek

Quando o diretório criptografado é montado, podemos usar o diretório do ponto de montagem da mesma forma que usaríamos qualquer outro. Tudo o que editarmos e criarmos neste diretório é, na verdade, gravado no diretório criptografado montado.

Recomendado:  Por que alguns computadores precisam de ventiladores?

Podemos criar um arquivo de texto simples, como o seguinte:

toque em secret-notes.txt

Podemos editá-lo, adicionar algum conteúdo e salvar o arquivo:

gedit secret-notes.txt

Nosso novo arquivo foi criado:

ls

geek mkdir em uma janela de terminal.

Se mudarmos para nosso diretório criptografado, conforme mostrado abaixo, veremos que um novo arquivo foi criado com um nome criptografado. Você não consegue nem dizer que tipo de arquivo é pelo nome:

cofre de cd
ls -hl

cofre de CD em uma janela de terminal.

Se tentarmos ver o conteúdo do arquivo criptografado, podemos ver que ele está realmente embaralhado:

menos aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU

menos aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU em uma janela de terminal.

Nosso arquivo de texto simples, mostrado abaixo, agora é tudo menos simples de decifrar.

Conteúdo de um arquivo de texto criptografado em menos em uma janela de terminal.

Desmontando o diretório criptografado

Quando terminar de usar seu diretório criptografado, você pode desmontá-lo com o fusermountcomando . Parte do pacote FUSE, o seguinte comando desmonta o gocryptfssistema de arquivos dentro do diretório criptografado do ponto de montagem:

fusermount -u geek

fusermount -u geek em uma janela de terminal.

Se você digitar o seguinte para verificar o diretório do ponto de montagem, verá que ainda está vazio:

ls

ls em uma janela de terminal.

Tudo o que você fez é armazenado com segurança no diretório criptografado.

Simples e seguro

Os sistemas simples têm a vantagem de serem usados ​​com mais frequência, enquanto os processos mais complicados tendem a ser deixados de lado. O uso gocryptfs não é apenas simples, também é seguro. Simplicidade sem segurança não valeria a pena.

Você pode criar quantos diretórios criptografados precisar ou apenas um para armazenar todos os seus dados confidenciais. Você também pode querer criar alguns aliases para montar e desmontar seu sistema de arquivos criptografado e simplificar ainda mais o processo.