Linux: Šifrujeme data a disky (LUKS, EncFS, eCryptFS)

02.04.2017 napsal Hanz (update: 08.10.2018)
0

Linux: Šifrujeme data a disky (LUKS, EncFS, eCryptFS)

V dnešní době by člověk neměl být lhostejný k zabezpečení svých soukromých dat, prosté heslo do notebooku citlivá data rozhodně nezabezpečí v případě jeho odcizení. Chcete-li útočníkovi alespoň stížit čitelnost vašich dat, je třeba se poohlédnout možnostech jejich zašifrování. V tomto článku se podíváme na pár možností na linuxových systémech - zašifrování souborů (adresáře) pomocí EncFS (+GUI Cryptkeeper), zašifrování adresáře a home adresáře s eCryptFS (balíček eCryptFS-utils) a zašifrování disku / oddílu s LUKS (Linux Unified Key Setup - balíček ecryptsetup).

Šifrování oddílu či celého disku (LUKS)


PŘÍKLAD: Zašifrujeme pomocí ecryptsetup celé zařízení /dev/sdc1 na luksFormat s doporučovaným módem XTS, to pak namapujeme jako blokové zařízení luks1 a naformátujeme na ext4.

# Zašifrování

  • apt-get install cryptsetup

  • cryptsetup -y -v luksFormat -c aes-xts-plain64 -s 512 /dev/sdc1

  • cryptsetup luksOpen /dev/sdc1 luks1

  • mkfs.ext4 /dev/mapper/luks1



#Odpojení

  • umount luks1

  • cryptsetup luksClose luks1



# Dešifrování

  • cryptsetup luksOpen /dev/sdc1 luks1

  • mount /dev/mapper/luks1 /mnt/disk







Zašifrování adresáře (EncFS - CryptKeeper)


Chceme-li zašifrovat jen nějaký citlivý adresář, stačí použít CryptKeeper (GUI pro EncFS šifrování). Tento balíček se běžně nachází v oficiálním debianím repositáři. Technologie EncFS má oproti zašifrovanému kontejneru např. z Truecryptu/Veracryptu výhodu v tom, že se šifruje na úrovni souborů (nikoliv na úrovni diskového bloku) = není potřeba zabírat na disku předem definované vyhrazené místo. EncFS je ideální mimo jiné pro ochranu soukromých dat na free cloudech či externích zařízeních. Další výhodou je kompatibilita s Windows (EncFS MP), iOS či Androidem (Encdroid).


EncFS: Použití Cryptkeeper


Nejjednodušší metoda pro běžné uživatele, kdy se vše provádí prostým naklikáním - jen se v aplikaci Cryptkeeper zvolí adresář, který chcete zašifrovat a vyplníte k němu své šifrovací heslo.


# Zašifrování

  • apt-get install encfs cryptkeeper

  • Cryptkeeper - New encrypted folder

  • Označit existující adresář - Vyplnit heslo


# Dešifrování

  • Cryptkeeper - Encrypted folders - Označit - Vyplnit heslo





EncFS: Postup z terminálu


PŘÍKLAD: Soubory, které chceme zašifrovat pomocí EncFS nahrajeme do adresáře /home/k-zasifrovani/ a ty se nám zakryptují do /home/sifrovane/ .


# Zašifrování

  • apt-get install encfs

  • encfs /home/sifrovane/ /home/k-zasifrovani/

  • #spustí se průvodce nastavením



#Odpojení

  • fusermount -u /home/k-zasifrovani/


# Dešifrování dat se provádí stejně jako jejich zašifrování

  • encfs /home/sifrovane/ /home/k-zasifrovani/





Šifrování domovského ($HOME) adresáře (eCryptFS-utils)


Zašifrování domovského $HOME adresáře je možné pohodlně zapnout během instalace distribucí založených na debianu (Ubuntu, Linux Mint, Xubuntu atd.). V tomto případě je použití a nastavení tohoto nástroje velmi snadné.

Pokud však chcete zašifrování provést na již běžícím systému včetně migrace dat, tak je postup o hodně komplikovanější. Samotné zašifrování a migrace je však vcelku jednoduchá záležitost. Trošku horší je nastavení automountu po bootu, který zde popisovat nebudu - eCryptFS aktivně nepoužívám (případně hledejte na netu spojení "Auto mount eCryptFS encrypted partition at boot").:

eCryptFS-utils: Postup k zašifrování $HOME




  • apt-get install ecryptfs-utils

  • cp -frp /home/user1 /home/backup #záloha dat

  • mount -t ecryptfs /home/user1 /home/user1 #zašifrování adresáře /home/user1

  • cp -frp /home/backup /home/user1 #obnovat dat

  • rm -rf /home/backup #smazání zálohy




eCryptFS: Postup k zašifrování adresáře


Jak vyplynulo z příkladu zašifrování $HOME, tak eCryptFS je také možné použít podobně jako EncFS k zašifrování libovolného adresáře:

# Zašifrování

  • mount -t ecryptfs /data /data

  • # spustí se průvodce zašifrováním /data


# Dešifrování

  • mount -t ecryptfs /data /data







Vaše reakce na článek Linux: Šifrujeme data a disky (LUKS, EncFS, eCryptFS)

Napsat komentář k článku

03.09.2017 napsal komentář Pavel [1]

Zdravím, delší dobu používám. Ale napadá mě otázka, zda při rozšifrování do adresáře po těchto souborech na disku nezůstává nezašifrovaná stopa (resp. např. smazané čitelné soubory případně jejich názvy.) Děkuji. Pavel

04.09.2017 napsal komentář Rusty [2]

Dobry den, zajimava myslenka u ensfs sifrovani. Patral jsem po tom a nic jsem nenalezl. Domnivam se ale, ze toto bude osetrene, jinak by to byla vazna chyba.

05.09.2017 napsal komentář Pavel [3]

Zdravím. Díky za odpověď. V běžném provozu se to z vyrovnávací paměti smaže při vypnutí počítače, ovšem u některých programů bych si nebyl jistý jestli si to nenačtou a neuloží na disk, třeba jen ve formě náhledu. Např. u obrázků, videí apod. Není to asi nic extra závažného, ale někdy by únik mohl způsobit problém. Hodně zdaru.

08.10.2018 napsal komentář Michael [4]

Nic jsem z uvedených programů nenašel.Použival jsem truecrypt 7.1. ve windowsech. Mám Ubuntu 18.04 mohl by mi někdo poradit kde to stáhnout a jak to nainstalovat?Teprve začínám s linuxem.Děkuji všem za pomoc a radu.Michael

08.10.2018 napsal komentář Hanz [5]

U všech příkladů máte na začátku uveden příkaz sudo apt-get install balicek, což je příkaz na stažení (+ instalaci) daného balíčku z ubuntího repozitáře.

Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace