gocryptfs (Español)
De gocryptfs:
- gocryptfs utiliza un cifrado basado en archivos que se implementa como un sistema de archivos FUSE que se puede montar. Cada archivo en gocryptfs se almacena con el correspondiente archivo cifrado en el disco duro.
- Los aspectos más destacados son: cifrado de contraseña de Scrypt, cifrado de bloque GCM para todo el contenido del archivo, cifrado de bloque EME para nombres de archivo con un vector de inicialización por directorio.
Consulte la página principal del proyecto gocryptfs para obtener más información sobre sus características, puntos de referencia, etc. Consulte Data-at-rest encryption (Español)#Cuadro comparativo para obtener una descripción general de métodos alternativos y EncFS como una alternativa directa.
Instalación
Instale gocryptfs o gocryptfs-gitAUR.
Como sistema de archivos FUSE, gocryptfs es totalmente configurable por el usuario (sin necesidad de poderes administrativos) y almacena sus archivos de configuración en el directorio del usuario.
Utilización
Vea gocryptfs(1) y sus ejemplos primero.
- Para lograr su objetivo de diseñar un cifrado autenticado, gocryptfs implementa un modo de cifrado AES-EME (para nombres de archivos, no el contenido). Si bien este modo aún no se ha usado/auditado ampliamente, ofrece protección de integridad para los datos, una característica que no está disponible para métodos alternativos de cifrado directo.
- Consulte el bug report del seguimiento del proyecto con respecto a los hallazgos de la primera auditoría de seguridad para obtener más información.
gocryptfs -speed para probar el rendimiento de los métodos de cifrado disponibles. Tenga en cuenta que el modo más lento AES-SIV-512-Go es obligatorio (y se selecciona automáticamente) para el modo inverso.Ejemplo usando el modo inverso
Una aplicación importante para los métodos de cifrado basados en archivos son las copias de seguridad cifradas. Los sistemas de archivos basados en FUSE son flexibles para esto, ya que permiten una amplia gama de destinos de las copias de respaldo utilizando herramientas estándar. Por ejemplo, un punto de montaje FUSE encriptado con gocryptfs puede ser fácilmente creado directamente en una ubicación Samba/NFS o Dropbox, sincronizado con un servidor remoto con rsync, o basta con copiarse manualmente en un almacenamiento de respaldo remoto.
El modo inverso de gocryptfs es particularmente útil para crear copias de seguridad cifradas, ya que prácticamente no requiere capacidad de almacenamiento adicional en la máquina para realizar las copias de seguridad.
A continuación se muestra un ejemplo de usuario archie que crea una copia de seguridad de /home/archie:
Primero, archie deberá inicializar la configuración para el directorio home:
$ gocryptfs -init -reverse /home/archie
Choose a password for protecting your files. Password: ...
En segundo lugar, creará y montará un directorio vacío para la versión cifrada del directorio home:
$ mkdir /tmp/crypt $ gocryptfs -reverse /home/archie /tmp/crypt Password: Decrypting master key Your master key is: ... Filesystem mounted and ready. $
-exclude carpeta está disponible durante el montaje. Tenga en cuenta que con un software como rsync pueden producirse errores o advertencias si las exclusiones se realizan más adelante. [1]
Tercero, archie creará una copia de seguridad del directorio encriptado, una copia local simple para este ejemplo:
$ cp -a /tmp/crypt /tmp/backup
y hecho.
El directorio encriptado puede permanecer montado durante la sesión del usuario, o desmontarse manualmente:
$ fusermount -u /tmp/crypt $ rmdir /tmp/crypt
Para restaurar el contenido desde la copia de seguridad cifrada, se monta una vista de texto sin formato utilizando el modo normal de gocryptfs:
$ mkdir /tmp/restore $ gocryptfs /tmp/backup/ /tmp/restore Password: Decrypting master key ... Filesystem mounted and ready. $
Ahora se pueden restaurar los archivos necesarios.
Véase también
- A first security audit de gocryptfs
- RFC5297 Synthetic Initialization Vector (SIV) Authenticated Encryption Using the Advanced Encryption Standard (AES)