「Gocryptfs」の版間の差分
(→使用方法: ノーマルモードの使用例を翻訳して追加) |
(→リバースモードの使用例: 情報を更新) |
||
| 63行目: | 63行目: | ||
ファイルベースの暗号化を使うのに適している用途としてバックアップの暗号化があります。FUSE ベースのファイルシステムは標準ツールでバックアップ先として使うことができます。例えば gocryptfs で暗号化された FUSE マウントポイントは [[Samba]]/[[NFS]] 共有を直接作成したり [[Dropbox]] に保存したり、[[rsync]] でリモートホストと同期したり、あるいは単純にリモートのバックアップストレージにコピーすることが可能です。 |
ファイルベースの暗号化を使うのに適している用途としてバックアップの暗号化があります。FUSE ベースのファイルシステムは標準ツールでバックアップ先として使うことができます。例えば gocryptfs で暗号化された FUSE マウントポイントは [[Samba]]/[[NFS]] 共有を直接作成したり [[Dropbox]] に保存したり、[[rsync]] でリモートホストと同期したり、あるいは単純にリモートのバックアップストレージにコピーすることが可能です。 |
||
| + | |||
| + | {{Warning| デフォルトでは、{{ic|gocryptfs.conf}} ファイルは便宜上バックアップ ディレクトリ内に保存されます。{{ic|gocryptfs.conf}} ファイルをオンラインソースにアップロードすると、パスワードが知られているか解読された場合にバックアップが復号化される可能性があります。強力なパスワードの使用を推奨します。[https://github.com/rfjakob/gocryptfs/issues/100] 設定ファイルへのパスとともに {{ic|-config}} オプションを指定することで、別の場所にある {{ic|gocryptfs.conf}} ファイルを使用することを選択できます。}} |
||
暗号化バックアップを作成する際は gocryptfs の [https://nuetzlich.net/gocryptfs/reverse_mode/ リバースモード] が特に有用です。バックアップを行うマシンに追加のストレージ容量を必要としません。 |
暗号化バックアップを作成する際は gocryptfs の [https://nuetzlich.net/gocryptfs/reverse_mode/ リバースモード] が特に有用です。バックアップを行うマシンに追加のストレージ容量を必要としません。 |
||
2024年1月31日 (水) 05:40時点における版
公式ウェブサイト より:
- gocryptfs は FUSE ファイルシステムとして実装されているファイルベースの暗号化を使用します。gocryptfs 内のファイルはハードディスクでは暗号化されたファイルとして保存されます。特徴: Scrypt パスワードハッシュ化、全てのファイル内容の GCM 暗号化、ディレクトリごとの IV によるファイル名の EME ワイドブロック暗号化。
機能やベンチマークなど詳しくは gocryptfs のプロジェクトホームページを見てください。他の暗号化方法はディスク暗号化#比較表や EncFS を見てください。
インストール
gocryptfs または gocryptfs-gitAUR パッケージをインストールしてください。
FUSE ファイルシステムとして、gocryptfs はユーザーが設定することができ、設定ファイルはユーザーのディレクトリパスに保存されます。
使用方法
最初に gocryptfs(1) を参照してください。
ノーマルモードの使用例
暗号化されたデータを保存するための cipher ディレクトリと、復号化されたデータにアクセスするための plain ディレクトリを作成します。次に、gocryptfs 初期化を実行して暗号化をセットアップします。
$ mkdir cipher plain $ gocryptfs -init cipher Choose a password for protecting your files. Password: [...]
暗号化されたディレクトリ cipher を開いて、plain からアクセスするには:
$ gocryptfs cipher plain Password: Decrypting master key Filesystem mounted and ready
これで、動作する gocryptfs が cipher に保存され、plain にマウントされたはずです。これを確認するには、plain ディレクトリに空のファイルを作成します。このファイルは暗号化されて cipher ディレクトリに表示されます。
$ touch plain/test.txt $ ls cipher gocryptfs.conf gocryptfs.diriv ZSuIZVzYDy5-TbhWKY-ciA==
リバースモードの使用例
ファイルベースの暗号化を使うのに適している用途としてバックアップの暗号化があります。FUSE ベースのファイルシステムは標準ツールでバックアップ先として使うことができます。例えば gocryptfs で暗号化された FUSE マウントポイントは Samba/NFS 共有を直接作成したり Dropbox に保存したり、rsync でリモートホストと同期したり、あるいは単純にリモートのバックアップストレージにコピーすることが可能です。
暗号化バックアップを作成する際は gocryptfs の リバースモード が特に有用です。バックアップを行うマシンに追加のストレージ容量を必要としません。
以下は archie ユーザーで /home/archie のバックアップを作成する例です。
まず archie で暗号化されたビューとして空ディレクトリを作成します:
$ mkdir /tmp/crypt.archie
そしてホームディレクトリの暗号化ビューを作成:
/home/archie
$ gocryptfs -reverse /home/archie /tmp/crypt.archie Password: Decrypting master key Your master key is: ... Filesystem mounted and ready. $
暗号化されたディレクトリのバックアップを作成します。単純にローカルコピーを作成します:
$ cp -a /tmp/crypt.archie /tmp/backup.archie
暗号化ディレクトリはユーザーセッションの間、マウントし続けることができます。手動でアンマウントするには:
$ fusermount -u /tmp/crypt.archie $ rmdir /tmp/crypt.archie
暗号化されたバックアップからリストアするには、gocryptfs のノーマルモードを使って平文ビューをマウントします:
$ mkdir /tmp/restore.archie $ gocryptfs /tmp/backup.archie /tmp/restore.archie Password: Decrypting master key ... Filesystem mounted and ready. $
これで必要なファイルをリストアできます。
参照
- A first security audit of gocryptfs
- RFC5297 Synthetic Initialization Vector (SIV) Authenticated Encryption Using the Advanced Encryption Standard (AES)