5 nejlepších způsobů šifrování souborů v Linuxu

Soukromí je něco, co trápí téměř každého z nás. Mnoho lidí přechází na Linux kvůli jeho lepším možnostem ochrany soukromí. V dnešní době, kdy se mnoho lidí (zcela oprávněně) domnívá, že soukromí již neexistuje, poskytuje Linux paprsek naděje. Distribuce jako Tails OS jsou pro tento účel speciálně navrženy.

Nejbezpečnější způsoby šifrování souborů v systému Linux

Důležitým prvkem soukromí je šifrování. Dnes vám chceme ukázat nejlepší a nejspolehlivější způsoby šifrování dostupné na platformě Linux.

GnuPG

GnuPG je nejpoužívanější šifrovací nástroj na platformě Linux. To dává smysl, protože je součástí výchozího balíčku GNU a je předinstalován. Také proto, že má nejbezpečnější šifrovací algoritmy při práci. GnuPG funguje tak, že má veřejný a soukromý klíč (protože používá asymetrické šifrování). Veřejný klíč lze rozeslat všem, pomocí něj lze šifrovat soubory. Ale soukromý klíč, ten zůstává pouze u vás. A cokoli, co bylo zašifrováno veřejným klíčem, lze dešifrovat pouze pomocí soukromého klíče.

To znamená, že nejprve musíte nastavit klíče. Zadejte tento příkaz pro vygenerování páru klíčů:

gpg --gen-key

Vyzve vás k zadání vašeho skutečného jména a pracovní e-mailové adresy. Ujistěte se, že jste zadali aktivní e-mailovou adresu, protože ta bude později spojena s vaším veřejným klíčem. Na dotaz, zda jste si jisti, nebo ne, stiskněte ‚O‘ (ale pouze v případě, že jste si jisti). Poté vás vyzve k zadání hesla.

Nyní se ujistěte, že jste zadali silné heslo a dobře si ho pamatujete. Jinak to celé nebude mít smysl. Poté dojde k vygenerování veřejného a soukromého klíče.

Použití

Chcete-li nyní používat GPG, musíte nejprve sdílet svůj veřejný klíč a musíte vědět, jak šifrovat/dešifrovat soubory. Chcete-li nejprve získat svůj veřejný klíč, zadejte tento příkaz:

gpg --armor --output mypubkey.gpg --export <E-mail that you registered>

Tím se vygeneruje veřejný klíč s názvem ‚mypubkey.gpg‘. Tento veřejný klíč můžete sdílet s kýmkoli, kdo vám potřebuje poslat zašifrované soubory. Nebo mohou k šifrování dat použít tuto vaši přidruženou e-mailovou adresu.

Nyní se naučíte část pro šifrování a dešifrování dat:

Šifrování souborů pomocí něčího veřejného klíče:

Pro zašifrování souboru (za předpokladu názvu jako test.txt), použijte příkaz následující struktury:

gpg --output test.txt.gpg --encrypt --recipient <Receiver's E-Mail ID> test.txt

A proto je tak důležité registrované ID e-mailu.

Jak je vidět z blábolu, soubor byl úspěšně zašifrován.

Odešifrování souborů pomocí soukromého klíče

Chcete-li dešifrovat soubor (předpokládáme, že název zašifrovaného souboru je test.txt.gpg) zašifrovaný vaším veřejným klíčem, musíte zadat tento příkaz:

gpg --output test.txt --decrypt test.txt.gpg

Tím se zobrazí výzva k zadání hesla, které jste zadali při vytváření klíčů.

Po zadání hesla se vytvoří výsledný soubor test.txt.

ccrypt

ccrypt používá pro šifrování také 256-AES a je podstatně jednodušší. To jistě funguje v méně seriózním tónu, takže program je ideální pro nepříliš důležité soukromé soubory. Pokud například něco nahráváte do cloudového úložiště nějaké služby, můžete jej použít. Použití je poměrně jednoduché. Chcete-li zašifrovat soubor, pak následující příkaz:

ccencrypt <filename>

Poté vás vyzve k zadání hesla. Zadejte heslo (dlouhé a silné) a data budou zašifrována s příponou .cpt.

Nyní k dešifrování:

ccdecrypt <filename.cpt>

Nyní budete vyzváni k zadání hesla, které jste zadali bude šifrování tohoto souboru. Zadejte heslo a soubor bude dešifrován.

Pro instalaci ccryptu v Ubuntu, Debianu a jejich odvozeninách zadejte:

sudo apt-get install ccrypt

Pro Fedoru a její odnože zadejte:

sudo dnf install ccrypt

Zadejte příslušný příkaz podle vaší distribuce. Pokud jej repozitáře vaší distribuce neobsahují, můžete binární soubory najít zde:

7-zip

7-zip používá také šifrování 256-AES a má velmi vysoký kompresní poměr. To je hlavní předností programu 7-zip. Téměř každý již slyšel o nechvalně známém formátu .zip. Oficiální název 7-zip pro systémy Linux je p7zip (odkazuje na Posix). Má přímočaré použití, o kterém si řekneme kategoricky:

Vytvoření archivu

Vytvoření archivu se skládá z příkazu v následujícím formátu:

7z a <Required .zip archive name> <File names to be archived>

Přestože se tím vytvoří archiv, stále se nešifruje. Chceme-li do archivu přidat heslo, můžeme použít přepínač -p.

7z a -p <Required .zip archive name> <File names to be archived>

Tento příkaz slouží také k přidání souborů do archivu. Je to tak, vytvoření archivu a přidání souborů do archivu se provádí stejným příkazem.

Tím se dostáváme k dalšímu důležitému detailu:

Výpis souborů archivu

Příkaz výpis má také jednoduchou strukturu, která je následující:

7z l <Archive name>

Příklad:

Dešifrování archivu

Dešifrování je také poměrně jednoduchý úkol. Požadovaný příkaz má tuto strukturu:

7z e <Archive name>

To by mělo požadavkům stačit. Příkaz je však poměrně rozsáhlejší, má možnosti pro přejmenování souborů uvnitř archivu, pro testování jeho integrity, pro odstranění souborů z něj atd. Ty lze nalézt pomocí příkazu:

man 7z

Instalace

Instalaci celé sady 7z lze provést pomocí tohoto příkazu pro Ubuntu, Debian nebo jejich deriváty:

sudo apt-get install p7zip-full

Pro Fedoru a její odnože:

sudo dnf install p7zip

Pro ostatní distribuce lze binární soubory nalézt zde (na konci stránky).

VeraCrypt

VeraCrypt je unikátní šifrovací systém, a to zajímavý. Jeho použití je jednoduché, jakmile jej nastavíte. Jeho úkolem je vytvořit celý virtuální svazek, který je zašifrovaný. Tento svazek, pokud je připojen správným způsobem, lze používat jako další úložné zařízení, kopírovat z něj a do něj soubory běžným způsobem, ale jakmile je odpojen, už tam není. Svazek existuje uvnitř rozmazaného binárního souboru, který nikdo nemůže přečíst. Nyní se podíváme, jak to nastavit.

Instalace

Ve všech distribucích je třeba stáhnout a nainstalovat VeraCrypt. Balíček pro vaši distribuci najdete zde. Ukážeme si zde návod pro grafickou verzi, aby vše bylo přístupné všem.

V Ubuntu nebo Debianu či jiných odvozených distribucích probíhá instalace takto (vzhledem k tomu, že soubor je v adresáři Downloads) :

cd Downloads/

sudo dpkg -i <Downloaded package name>

Pravděpodobně budou chybět závislosti. Chcete-li to napravit, spusťte tento příkaz:

sudo apt-get -f install

Vše v pořádku, nyní přejděme k tomu podstatnému.

Nastavení

Pro nastavení metody šifrování je nejprve třeba vytvořit prázdný soubor. Pro ukázku soubor pojmenujeme EncryptedVolume (já vím, trochu na přeskáčku). Za tímto účelem spusťte tento příkaz:

touch EncryptedVolume

Nyní otevřete program VeraCrypt. Z uvedeného seznamu ukázkových svazků vyberte libovolný. Ideálně ten první (opět pro zjednodušení). Nyní klikněte na možnost „Vytvořit svazek“. Tím se otevře nové okno.

Nyní zvolte možnost ‚Vytvořit šifrovaný kontejner souborů‘.

Nyní zvolíme ‚Standardní svazek VeraCrypt.‘

Klikněte na pole ‚Vybrat soubor‘ a vyberte právě vytvořený soubor EncryptedVolume.

Výchozí šifrování AES a SHA-512 je více než dostatečné, takže opět zůstaneme u výchozího nastavení.

Nyní zadejte velikost šifrovaného svazku podle svých požadavků.

Tento krok je nejdůležitější, protože pro silné šifrování budete potřebovat dobré a bezpečné heslo. Doporučené heslo je >= 20 znaků, a to zcela správně.

Volba výchozího souborového systému (FAT) není vůbec problematická. Pokud chcete, můžete zvolit jiný souborový systém.

Toto je nejzábavnější část celého nastavení. Z pohybů kurzoru myši, které zde provedete, se generuje klíč. Buďte co nejnáhodnější. Až budete hotovi, stiskněte tlačítko ‚Formátovat‘. Na další výzvu k potvrzení klikněte na ‚Ano‘.

Vytvoří se nový svazek. Nyní klikněte na ‚Ukončit‘.

Přístup k šifrovanému svazku

Pro přístup k nově vytvořenému šifrovanému svazku nyní vyberte svazek, který jste vybrali při nastavování šifrovaného svazku (doporučujeme, aby byl první). Ve spodní části okna klikněte na možnost „Vybrat soubor…“ a vyberte soubor, který jste vytvořili a který se nyní stal novým šifrovaným svazkem.

Klikněte na „Připojit“.

Požádá vás o zadání hesla, které jste použili při jeho nastavení. Nezabývejte se dalšími možnostmi a klikněte na ‚OK‘.“

Nyní se vás to zeptá na uživatelské heslo.

Nyní se při kontrole správce souborů objeví další svazek, který bude mít velikost svazku, který jste zadali v nastavení. Nyní se jedná o šifrovaný virtuální svazek. Chcete-li zašifrovat své soubory, zkopírujte je a vložte do tohoto nově připojeného svazku. Až budete hotovi, vraťte se do VeraCryptu, klikněte na „Dismount“ a tento svazek opět zmizí v souboru EncryptedVolume.

Pokud otevřete soubor z tohoto svazku, bude zkopírován přímo do paměti RAM a spuštěn, aniž by se na tom jakkoli podílela jiná část úložného zařízení. Bude se jednat o zcela chráněný „trezor“, který je bezpečný, a pro kohokoli jiného se bude jevit jako nevyžádaný soubor. Docela super.

Tails OS

Závěrečnou částí tohoto článku je operační systém Tails OS. Tento OS je sám o sobě vytvořen pro uživatelské prostředí orientované na soukromí. Nazývá se „amnesic incognito live system“, ke kterému lze přistupovat pouze prostřednictvím externího USB disku na hostitelském počítači a který je amnesic, což znamená, že při každém použití nebude mít nic jiného než novou výchozí podobu. Jakákoli změna provedená při použití se při dalším spuštění automaticky vrátí zpět.

Ve výchozím nastavení má nejmodernější kryptografická a bezpečnostní opatření. Mezi tyto faktory patří:

• Šifrování a podepisování e-mailů ve výchozím nastavení pomocí OpenPGP, kdykoli použijete e-mailového klienta, textový editor nebo prohlížeč souborů
• Instantní zprávy jsou chráněny pomocí OTR (což znamená Off-The-Record messaging). Poskytuje jsou robustní šifrování pro tento účel
• Bezpečně maže soubory (s možností obnovy vůbec) pomocí programu Nautilus Wipe

Je zde ještě několik dalších věcí, ale to jsou jen vrcholy, které popisují jejich závažnost. Více informací o ocáskách najdete zde. Je to docela šikovný systém, který můžete používat na cestách, protože vám stačí systém, který se právě nepoužívá. Pokud máte USB disk s operačním systémem Tails, můžete jej spustit, a až skončíte, nikdo se to nedozví. Dokonce ani ten USB disk později.

Závěr