Mange Linux-distribusjoner tilbyr industristyrke disk krypteringsverktøy, enten slik at du kan kryptere hele partisjoner eller bare brukernes (inkludert rot s) hjemmemapper, ved in- tid eller i ettertid. Men hva hvis du bare trenger å kryptere en enkelt fil eller katalog, for eksempel en følsom mappe du kan fergen frem og tilbake mellom ulike områder? Og hva hvis du trenger for å sikre at du får tilgang til innholdet i mappen selv fra et ikke-Linux-maskin? Landskapet: Secrets, Keys, filer og mapper på grunn av sin sterke Unix røtter, er det ingen mangel på kryptering verktøy for den moderne Linux-bruker. Gnu Privacy Guard (GPG), OpenSSL, og OpenSSH er bærebjelkene for å beskytte e-post, HTTP, og SSH, henholdsvis; og det er enda høy kvalitet grafiske verktøy for å gjøre kort prosess med de potensielt forvirrende oppgavene med å administrere alle nøkler, signaturer, og duk-of-trust involvert. Likeledes er full-disk (eller, mer spesifikt, full-partisjon) kryptering viktig for samlokaliserte servere og bærbare datamaskiner, og mange Linux-verktøy har blitt bygget for denne oppgaven, for eksempel EncFS, CryptoFS og sløyfe-AES. Problemet med disse løsningene er at, først og fremst blir designet for en annen bruk tilfellet, bruke dem til å kryptere en enkelt fil eller en mappe er heller ikke mulig, ikke på tvers av plattformer, eller krever et separat trinn, slik som å opprettholde og beskytte en offentlig nøkkel par. EncFS, for eksempel, er en FUSE filsystem. Så selv om det er enkelt å sette opp på en Linux-boks (spesielt med Cryptkeeper applet), er den resulterende krypterte mappen ikke bærbar på non-FUSE-kompatible operativsystemer. Det er ikke til å foreslå at noen av løsningene ovenfor er dårlig openssl AES-256-CBC -a -Salt -i unencrypted_input_file.txt utsjekking encrypted_output_file.txt.enc. OpenSSL binære vil be deg om å opprette et passord. AES-256-CBC-parameteren spesifiserer bruken av 256-bit AES som chiffer, og -Salt parameter legger en salt til kryptering oppsett for ekstra sikkerhet. Alle med passordet kan da dekryptere filen ved å kjøre: openssl AES-256-CBC -d -a -i encrypted_output_file.txt.enc utsjekking newly_decrypted_original_file.txt. Dette er bærbar, og OpenSSL er allment tilgjengelig på ikke-Linux operativsystemer, men det virkelig fungerer bare på en enkelt fil. Du kan gzip en katalog for portabilitet, men det finnes andre måter. Alternativer for kryptering mapper på sparket Flere prosjekter eksisterer for å kryptere mapper på en mer praktisk måte, både for portabilitet på tvers av operativsystemer og å utnytte det viktig " på fly " funksjon - noe som betyr at når passord for å dekryptere mappen blir lagt inn, mappe fulle innholdet er umiddelbart tilgjengelig for brukeren, i en helt gjennomsiktig måte. Kanskje den mest kjente er TrueCrypt, som er fritt tilgjengelig, fullt opprettholdes for Linux, Mac OS X og Windows, og der kildekoden er tilgjengelig. Den største hindringen for å TrueCrypt er lisens inkompatibilitet, men - utviklerne valgte å rulle sine egne forsøk på åpen kildekode /fri programvare lisens, og de fleste distribusjoner finner det uforenlig og inkluderer ikke TrueCrypt pakker i standardinstallasjoner eller pakke styringssystemer. I tillegg trenger skaperne av TrueCrypt ikke opprettholde en offentlig kildekode repository og trekk gamle kilde utgivelser av av sin offentlige nettsted når en ny utgivelse er gjort; dette gjør også opprettholde kompatibiliteten en alvorlig utfordring. Men hvis du ikke har noe imot utfordringen, kan du laste ned den nyeste TrueCrypt utgivelsen fra prosjektets nettside. Per i dag er den nyeste versjonen nummerert 6.3a (selv om dette ikke representerer en " alfa " kvalitet utgivelse; annet avvik fra vanlig åpen kildekode praksis), fra november 2009. 32-bit og 64-bit bygger er tilgjengelig for Intel-kompatible arkitekturer, i tjære arkiver. Kildekoden er tilgjengelig som en separat nedlasting. TrueCrypt har både et kommandolinjegrensesnitt og en GUI klient. Å sette opp en kryptert katalog, er den enkleste ting å gjøre gå gjennom GUI er " skape volum " veiviseren. Du vil være å skape en TrueCrypt container, etter noe som er en kryptert fil som TrueCrypt monterer inn i filsystemet som en vanlig volum. Under oppsettet kan du angi krypterings chiffer, hash algoritme, intern filsystem format, og passphrase. Du må også forhånds velge den totale størrelsen på volumet - dette er en av TrueCrypt svake punkter; det skaper hele volumet til en fast størrelse som ikke kan utvides dersom det er nødvendig senere. Merk også at du ikke kan kryptere en eksisterende mappe med TrueCrypt; du kan bare opprette et nytt volum og kopiere eksisterende innhold i den. For Linux-bare mappekryptering, er en bedre løsning eCryptfs, som du vil sannsynligvis finne pakket som ecryptfs-utils. Dette er en standard pakke tilgjengelig på de fleste distribusjoner som fungerer ved å opprette en " stablet " filsystem på toppen av eksisterende disk filsystemet. Det er ingen eCryptfs binær; heller, når den er installert, " ecryptfs " blir et filsystem type alternativ for montere. La oss anta at du gjør to partisjoner, /dev /sdd1 for ukryptert lagring og /dev /sdd2 for kryptert lagring. Du kan deretter slå /dev /sdd2 inn en LUKS-formatert partisjon med cryptsetup --verbose --verify-passphrase luksFormat /dev /sdd2. Cryptsetup vil be deg om å velge og bekrefte et passord for partisjonen. Deretter kjører cryptsetup luksOpen /dev /sdd2 sdd2 og skriv inn passordet. Denne kommandoen lager en enhet-mapper blokk enhet som heter /dev /mapper /sdd2 - dette er den enheten du vil bruke når du åpner denne beskyttet lagring. Du kan deretter opprette et filsystem på /dev /mapper /sdd2 akkurat som om det var en vanlig fysisk disk, med mkfs eller distribusjonens GUI filsystem verktøy. Bruk mkfs.vfat -F 16 /dev /mapper /sdd2 å skape et FAT filsystem for maksimal portabilitet. Til slutt, montere nye filsystemet med sudo mount /dev /mapper /sdd2 /home /brukernavn /usb_secrets. Innholdet i katalogen vil bli transparent kryptert når de er skrevet til den fysiske enheten, /dev /sdd2, men for alle programmer, /dev /mapper /sdd2 vil være perfekt tilgjengelig. Oppsettet er kun nødvendig en gang, selvfølgelig. På påfølgende aksesser, trenger du bare å kjøre mount kommandoen. Den virkelige magien er at fordi cryptsetup bruker LUKS som sin on-disk format, partisjon innholdet kan leses andre steder. Den beste Windows-løsning er FreeOTFE (for " på fly kryptering "). Den FreeOTFE Prosjektet gir binærfiler for Windows-maskiner og Windows Mobile-enheter og selv inkluderer en " bærbare apps " pakke som du kan lagre på USB-nøkkel selv. Situasjonen for Mac OS X er ikke fullt så rosenrød, selv om OSXCrypt prosjektet arbeider med den. For mange hemmeligheter? Som ofte er tilfellet med kraftig kryptering, har du mange valg, hver med oppturer og nedturer. Hvis alt du trenger er å kryptere en enkelt fil og sende den et sted i en engangs-bruk måte, er det vanskelig å slå OpenSSL eksempel enkelhet. På den annen side, for mapper og gjentatt bruk, du har mer sammensatte behov for å veie. eCryptfs er den enkleste måten å kryptere en katalog for Linux, men TrueCrypt er helt på tvers av plattformer. Hvis du kan stå å begrense beskyttet katalogen til en USB-nøkkel, men Cryptsetup med LUKS tilbyr den beste samlede miksen: formatet er standardisert for portabilitet, og kryptering er virkelig gjennomsiktig til systemet ved bruk. For ekstra kreditt, prøve å opprette en USB-nøkkel som inneholder én partisjon for Luks data, en FAT partisjon med FreeOTFE verktøy, og en partisjon med en liten oppstartbar Linux-distribusjon på det som den ultimate fallback. Men ikke glem å ta med krypterings pakker i Linux distro, fordi du gjør det ville forlate deg akkurat der du startet.
; tvert imot, kan du enkelt bruke GPG sterkt kryptere en enkelt fil med gpg -e -r Denne e-postadressen er beskyttet mot programmer som samler. Du må aktivere Javascript for å kunne se -o encrypted_output_file.pgp unencrypted_input_file.txt, der Denne e-postadressen er beskyttet mot programmer som samler. Du må aktivere Javascript for å kunne se adressen er e-postadressen til noen i din nøkkelring. Kommandoen kan knapt bli enklere, og kryptering er lufttett, men det krypterer filen slik at bare Denne e-postadressen er beskyttet mot programmer som samler. Du må aktivere Javascript for å kunne se den kan dekryptere den. OpenSSL, på den annen side, kan kryptere en fil uten å binde den kun til en enkelt krypteringsnøkkel. Bare skriv:
Å bruke den, opprette en ny katalog, for eksempel mkdir ./filevault. Du kan deretter montere den katalogen på toppen av seg selv som type eCryptfs med sudo mount -t ecryptfs ./filevault ./filevault. Første gang du montere denne katalogen, vil systemet be deg om hvorvidt den skal bruke passord, OpenSSL, eller andre nøkkeltyper for adgangskontroll, samt kryptering chiffer og blokkstørrelse å bruke. Når montert, ./filevault vil oppføre seg som enhver annen katalog. Når du er ferdig med det, men du kan avmontere den med umount ./filevault, og innholdet er beskyttet fra nysgjerrige øyne. Hvis du vil, kan du angi passordet i mount kommandoen på påfølgende bruk for å spare et trinn (kanskje til og med automatisere mount prosessen). Bare legge det etter -o flagg: sudo mount -t ecryptfs -o key = passphrase_passwd = MySecretPassword ./filevault ./filevault. For bedre sikkerhet, kan du lagre passordet i en fil og bruke passphrase_passwd_file stedet. Sanne portabilitet Som nevnt, skjønt, eCryptfs er så langt gjennomført kun for Linux. De koder den støtter er standardisert, selvfølgelig, men formatet som alle
disse krypteringsverktøy skrive relevante overskrifter og data til disk er ikke standardisert. En bedre langsiktig idé er å bruke cryptsetup, et verktøy som er utviklet i samråd med LUKS, Linux Unified Key Setup. LUKS seg selv er en spesifikasjon for hvordan kryptert innholdet blir lagret i filsystemet, som gjør det mulig å bygge LUKS-kompatible verktøy for alle OS. Cryptsetup bruker enheten-mapper infrastruktur på Linux, det samme delsystem som tillater software RAID, logisk volum manager (LVM), og andre " virtuell enhet " filsystem niceties. Verktøyet er enkelt å bruke, men dessverre fungerer på partisjonen-nivå bare, så du kan ikke bare lage en kryptert katalogen inne Hjem-mappen og flytte den med letthet, som TrueCrypt og eCryptfs tillate. Likevel, hvis portabilitet er det du trenger, kan du i det minste kryptere en partisjon på et flyttbart medium, for eksempel en USB-nøkkel, og være sikker på at det vil være lesbare på andre operativsystemer. For å begynne, montere flyttbare lagringsenheten som vanlig. Hvis det er nytt, kan du vie hele partisjonen til din LUKS-beskyttet innhold uten videre arbeid. Hvis du ønsker å lagre ukryptert innhold også, skjønt, må du bruke fdisk til å splitte disken inn mer enn én partisjon. Dette er trolig en god idé i det lange løp, siden det ville tillate deg å bruke den ukryptert lagring for å bære noen filsystem verktøy og bærbare apps, også.