Vrei să protejezi cu criptare fișierele esențiale, dar nu dorești să criptezi întregul spațiu de stocare al sistemului tău Linux? Atunci, gocryptfs este o soluție excelentă. Cu acesta, vei avea un director special care va cripta și decripta automat tot ce vei stoca în el.
gocryptfs: Protecție eficientă împotriva scurgerilor de date
Confidențialitatea datelor este un subiect tot mai important. Aproape săptămânal apar știri despre breșe de securitate la diverse organizații. Companiile raportează fie incidente recente, fie dezvăluie atacuri cibernetice care au avut loc cu ceva timp în urmă. În ambele cazuri, este o veste proastă pentru cei ale căror informații au fost compromise.
Având în vedere că milioane de persoane utilizează servicii cloud precum Dropbox, Google Drive și Microsoft OneDrive, zilnic, cantități enorme de date sunt stocate în cloud. Dacă și tu îți stochezi datele (parțial sau integral) în cloud, cum poți proteja documentele confidențiale în cazul unei breșe de securitate?
Scurgerile de date apar în diverse forme și nu se limitează la cloud. Un stick USB pierdut sau un laptop furat reprezintă, de asemenea, o breșă de securitate, chiar dacă la o scară mai mică. Dar dimensiunea nu este factorul decisiv. Dacă informațiile sunt sensibile sau confidențiale, accesul neautorizat poate avea consecințe grave.
O soluție este criptarea documentelor. În mod obișnuit, acest lucru se realizează prin criptarea completă a hard disk-ului. Deși este o metodă sigură, poate încetini ușor computerul. Mai mult, o defecțiune majoră poate complica recuperarea sistemului din backup.
Cu gocryptfs, poți cripta doar directoarele care necesită protecție, evitând suprasolicitarea resurselor cauzată de criptarea și decriptarea la nivelul întregului sistem. Este rapid, simplu de utilizat și permite transferul ușor al directoarelor criptate pe alte computere. Atâta timp cât cunoști parola, datele tale vor fi protejate pe orice dispozitiv, fără a lăsa urme.
gocryptfs este conceput ca un sistem de fișiere criptat, ușor de folosit. Se montează prin conturi obișnuite, fără privilegii de root, utilizând pachetul Filesystem in Userspace (FUSE). Acesta funcționează ca o legătură între gocryptfs și rutinele sistemului de fișiere din kernel.
Instalarea gocryptfs
Pentru a instala gocryptfs pe Ubuntu, introdu următoarea comandă:
sudo apt-get install gocryptfs
Pentru Fedora, folosește:
sudo dnf install gocryptfs
Pe Manjaro, comanda este:
sudo pacman -Syu gocryptfs
Crearea unui director criptat
Unul dintre marile avantaje ale gocryptfs este simplitatea utilizării. Pașii de bază sunt:
Creează un director în care vei stoca fișierele și subdirectoarele protejate.
Folosește gocryptfs pentru a inițializa directorul.
Creează un director gol ca punct de montare, apoi montează directorul criptat în el.
În punctul de montare, poți vedea și utiliza fișierele decriptate și poți adăuga altele noi.
La final, demontează directorul criptat.
Vom crea un director numit „seif” pentru a stoca datele criptate. Pentru aceasta, introducem comanda:
mkdir vault
Acum trebuie să inițializăm noul director. Această acțiune creează sistemul de fișiere gocryptfs în interiorul directorului:
gocryptfs -init vault
Introdu o parolă când ți se cere, confirmând-o a doua oară pentru a te asigura că este corectă. Alege o parolă puternică: trei cuvinte fără legătură, cu semne de punctuație, cifre sau simboluri, reprezintă un model bun.
Cheia principală este generată și afișată. Salveaz-o într-un loc sigur și privat. În exemplul nostru, creăm un director gocryptfs pe o mașină de cercetare care este ștearsă după redactarea fiecărui articol.
Pentru a înțelege exemplul, poți vedea cheia principală a directorului nostru. Totuși, în realitate, cheia ta trebuie păstrată secretă. Dacă cineva obține cheia principală, poate accesa toate datele tale criptate.
Dacă navighezi în noul director, vei vedea că au fost create două fișiere. Introdu următoarele comenzi:
cd vault
ls -ahl
„gocryptfs.diriv” este un fișier binar scurt, în timp ce „gocryptfs.conf” conține setări și informații care trebuie protejate.
Când încarci datele criptate în cloud sau creezi copii de rezervă pe medii de stocare portabile, nu include acest fișier. Dacă faci backup pe un mediu local, aflat sub controlul tău, poți include acest fișier.
Cu suficient timp și efort, este posibil să extragi parola din intrările „cheie criptată” și „sare”, după cum se vede mai jos:
cat gocryptfs.conf
Montarea directorului criptat
Directorul criptat este montat într-un punct de montare, care este un simplu director gol. Vom crea unul numit „geek”:
mkdir geek
Acum putem monta directorul criptat în punctul de montare. De fapt, este montat sistemul de fișiere gocryptfs din directorul criptat. Ni se va cere parola:
gocryptfs vault geek
Odată ce directorul criptat este montat, putem utiliza punctul de montare ca pe orice alt director. Tot ce edităm și creăm în acest director este, de fapt, scris în directorul montat, criptat.
Putem crea un fișier text simplu, ca acesta:
touch secret-notes.txt
Îl putem edita, adăuga conținut și apoi salva:
gedit secret-notes.txt
Noul nostru fișier a fost creat:
ls
Dacă navigăm în directorul criptat, observăm că a fost creat un nou fișier cu un nume criptat. Nu ne putem da seama ce tip de fișier este doar din nume:
cd vault
ls -hl
Dacă încercăm să vedem conținutul fișierului criptat, observăm că este complet ilizibil:
less aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU
Fișierul nostru text simplu, prezentat mai jos, nu mai poate fi descifrat cu ușurință.
Demontarea directorului criptat
Când ai terminat cu directorul criptat, îl poți demonta folosind comanda fusermount. Aceasta, parte a pachetului FUSE, demontează sistemul de fișiere gocryptfs din punctul de montare:
fusermount -u geek
Dacă introduci următoarele comenzi pentru a verifica directorul punctului de montare, vei vedea că este din nou gol:
ls
Tot ce ai făcut este stocat în siguranță în directorul criptat.
Simplu și sigur
Sistemele simple au avantajul că sunt utilizate mai frecvent, în timp ce procesele complicate sunt adesea evitate. Utilizarea gocryptfs nu este doar simplă, ci și sigură. Simplitatea fără securitate nu ar fi de folos.
Poți crea oricâte directoare criptate ai nevoie, sau doar unul pentru a păstra toate datele sensibile. Poți, de asemenea, crea aliasuri pentru a monta și demonta rapid sistemele de fișiere criptate, simplificând și mai mult procesul.