「Gocryptfs」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(同期)
(カテゴリの修正)
 
1行目: 1行目:
 
{{Lowercase title}}
 
{{Lowercase title}}
[[Category:ディスク暗号化]]
+
[[Category:保存ータ暗号化]]
 
[[Category:FUSE]]
 
[[Category:FUSE]]
 
[[en:Gocryptfs]]
 
[[en:Gocryptfs]]

2024年6月8日 (土) 13:49時点における最新版

関連記事

公式ウェブサイト より:

gocryptfs は FUSE ファイルシステムとして実装されているファイルベースの暗号化を使用します。gocryptfs 内のファイルはハードディスクでは暗号化されたファイルとして保存されます。特徴: Scrypt パスワードハッシュ化、全てのファイル内容の GCM 暗号化、ディレクトリごとの IV によるファイル名の EME ワイドブロック暗号化。

機能やベンチマークなど詳しくは gocryptfs のプロジェクトホームページを見てください。他の暗号化方法はディスク暗号化#比較表EncFS を見てください。

ノート:
  • 認証付き暗号 の設計目標を満たすために gocryptfs は AES-EME 暗号化モードを実装しています。(ファイル名の場合、コンテンツは標準ライブラリを使用して暗号化されます) このモードはまだ広く使用/監査されているわけではありませんが、gocryptfs 暗号化モードはデータの整合性保護をもたらします。
  • 詳しくはセキュリティ監査の結果に関するプロジェクトの バグレポート を参照してください。

インストール

gocryptfs または gocryptfs-gitAUR パッケージをインストールしてください。

FUSE ファイルシステムとして、gocryptfs はユーザーが設定することができ、設定ファイルはユーザーのディレクトリパスに保存されます。

使用方法

最初に gocryptfs(1) を参照してください。初めて使用する場合は、gocryptfs の Best-Practices を確認してください。

ディレクトリの暗号化の初期化時に、マスターキーは、gocryptfs.conf ファイルに暗号的にラップされる前に出力されます。緊急時の復元手順については、Recreate configuration using the masterkey を参照してください。マスターキー自体は紛失したが、設定ファイルを利用できる場合には、暗号化パスワードを使用して再度出力する方法について gocryptfs-xray(1) を参照してください。

ヒント:
  • gocryptfs -speed を実行して、利用可能な暗号化モードのスループットをテストします。自動選択では、システムで利用可能な最速のモードが選択されます。
  • -fido2 オプションを使用すると、U2F ハードウェアトークンを使用して暗号化されたデータを初期化してマウントできるようになります。PIN 入力などのトークン機能は現在切り替えることができず、トークンモデルによって異なる場合があることに注意してください。

ノーマルモードの使用例

暗号化されたデータを保存するための cipher ディレクトリと、復号化されたデータにアクセスするための plain ディレクトリを作成します。次に、gocryptfs 初期化を実行して暗号化をセットアップします。

$ mkdir cipher plain
$ gocryptfs -init cipher
Choose a password for protecting your files.
Password:
[...]

暗号化されたディレクトリ cipher を開いて、plain からアクセスするには:

$ gocryptfs cipher plain
Password: 
Decrypting master key
Filesystem mounted and ready

これで、動作する gocryptfs が cipher に保存され、plain にマウントされたはずです。これを確認するには、plain ディレクトリに空のファイルを作成します。このファイルは暗号化されて cipher ディレクトリに表示されます。

$ touch plain/test.txt
$ ls cipher
  gocryptfs.conf  gocryptfs.diriv  ZSuIZVzYDy5-TbhWKY-ciA==

リバースモードの使用例

ファイルベースの暗号化を使うのに適している用途としてバックアップの暗号化があります。FUSE ベースのファイルシステムは標準ツールでバックアップ先として使うことができます。例えば gocryptfs で暗号化された FUSE マウントポイントは Samba/NFS 共有を直接作成したり Dropbox に保存したり、rsync でリモートホストと同期したり、あるいは単純にリモートのバックアップストレージにコピーすることが可能です。

警告: デフォルトでは、gocryptfs.conf ファイルは便宜上バックアップ ディレクトリ内に保存されます。gocryptfs.conf ファイルをオンラインソースにアップロードすると、パスワードが知られているか解読された場合にバックアップが復号化される可能性があります。強力なパスワードの使用を推奨します。[1] 設定ファイルへのパスとともに -config オプションを指定することで、別の場所にある gocryptfs.conf ファイルを使用することを選択できます。

暗号化バックアップを作成する際は gocryptfs の リバースモード が特に有用です。バックアップを行うマシンに追加のストレージ容量を必要としません。

以下は archie ユーザーで /home/archie のバックアップを作成する例です。

まず archie で暗号化されたビューとして空ディレクトリを作成します:

$ gocryptfs -init -reverse /home/archie
Choose a password for protecting your files.
Password:
...

そしてホームディレクトリの暗号化ビューを作成:

$ mkdir /tmp/crypt
$ gocryptfs -reverse /home/archie /tmp/crypt
Password:
Decrypting master key

Your master key is:
...
Filesystem mounted and ready.
$
ヒント: ファイルまたはディレクトリを逆マウントから除外するためのオプションが多数用意されています。gocryptfs(1) § EXCLUDING_FILES を参照してください。rsync のようなソフトウェアでは、除外が後でのみ行われる場合にエラーまたは警告が発生する可能性があることに注意してください。[2]

暗号化されたディレクトリのバックアップを作成します。単純にローカルコピーを作成します:

$ cp -a /tmp/crypt /tmp/backup

これで完了しました。

暗号化ディレクトリはユーザーセッションの間、マウントし続けることができます。手動でアンマウントするには:

$ fusermount -u /tmp/crypt
$ rmdir /tmp/crypt

暗号化されたバックアップからリストアするには、gocryptfs のノーマルモードを使ってプレーンテキストビューをマウントします:

$ mkdir /tmp/restore
$ gocryptfs /tmp/backup/ /tmp/restore
Password: 
Decrypting master key
...
Filesystem mounted and ready.
$

これで必要なファイルをリストアできます。

GUI ラッパー

gocryptfs のグラフィカルユーザーインターフェイスを提供するアプリケーションがいくつか利用可能です。

SiriKali

gocryptfs、eCryptfscryfsEncFSfscrypt、および securefs 暗号化フォルダーを管理する Qt/C++ GUI アプリケーション。SSHFS を使用して SSH サーバーに接続することもできます。sirikaliAUR からインストールして下さい。

gocryptfs-ui

bash スクリプト gocryptfs-ui は、暗号化されたディレクトリをマウントおよびアンマウントするための gocryptfs コマンド ライン ユーティリティを中心としたシンプルな zenity GUI を提供します。デスクトップランチャーが含まれています。gocryptfs-uiAUR からインストールして下さい。

cryptor

cryptor は、暗号化されたディレクトリを作成およびマウントするための GUI を提供します、vala/gtk3 ベースのアプリケーションです。暗号化されたディレクトリのリストを含む設定ファイルを保存でき、トレイアイコンがサポートされ、デスクトップランチャーが含まれています。cryptorAUR からインストールして下さい。

参照

  • A first security audit of gocryptfs
  • RFC5297 Synthetic Initialization Vector (SIV) Authenticated Encryption Using the Advanced Encryption Standard (AES)