Чем шифровать файлы в Linux
Как известно, прекрасный криптографический инструмент TrueCrypt приказал долго жить. Некоторое время еще сохранялась возможность самостоятельно собирать TrueCrypt из исходников и пользоваться им в свое удовольствие. Но выход новых версий Linux-дистрибутивов сильно осложнил сборку, ведь в зависимостях остаются старые версии библиотек. Остро встал вопрос: куда валить с TrueCrypt?
Поскольку я пользуюсь Debian (и всем советую), первым делом я обратился к официальным рекомендациям. Они заключаются в следующем:
- не использовать по возможности TrueCrypt;
- использовать EncFS;
- или Cryptsetup / LUKS.
Я попробовал и EncFS и Cryptsetup. Первое — откровенный шлак. И медленно, и файловую систему замусоривает. Второе сильно лучше. Cryptsetup позволяет создавать зашифрованные файловые системы в одном файле, шифровать флешки, диски, разделы. Все работает очень быстро и удобно. Я бы на Cryptsetup и остановился. Но нет возможности примонтировать зашифрованную флешку или криптоконтейнер в Windows, а кроссплатформенность для меня важна.
Что же делать? Для себя я решил, что удобнее всего использовать предпоследнюю версию TrueCrypt 7.1a. Для Windows стандартный дистрибутив, для Linux консольную версию, которая поставляется одним файлом, не имеет экзотических зависимостей и корректно функционирует в Debian 8.
Второй важный вопрос заключается в том, откуда брать бинарники, чтобы им можно было доверять? Ведь на официальном сайте выложена покоцанная версия 7.2, да к тому же на том же сайте размещено т.н. свидетельство канарейки. Ответ прост: таких источников нет. Но из всех вариантов, наиболее безопасным кажется AuditProject/truecrypt-verified-mirror. Почему именно он можно узнать тут.
Третий вопрос: как интегрировать в систему бинарник, чтобы он не нарушил порядок и зависимости. Правильный ответ: создать под него deb-пакет. Я решил поступить немного иначе. Создал директорию /opt/truecrypt и положил бинарник туда. Добавил путь в PATH. Из репозитория брал 64-битную консольную версию, пользоваться которой легко и приятно (в отличии от Cryptsetup):
- нужно один раз создать точку монтирования (например, /mnt/crypto);
- затем можно переходить к монтированию криптоконтейнера простой командой truecrypt --mount [filename];
- размонтирование производится командой truecrypt -d.
Комментарии
comrade
29 мая, 2015 - 21:25
EncFS, скорее, для облачных хранилищ подходит.
(Шифрует каждый файл отдельно, а не контейнер целиком.)
Кстати, EncFS мультиплатформенная.
Есть encfs4win
http://members.ferrara.linux.it/freddy77/encfs.html
pomodor
29 мая, 2015 - 22:44
Слишком медленный для облака. К тому же работает на FUSE, который не очень масштабируется. Или вы о домашнем пионерском облаке?
Чингачгук
30 мая, 2015 - 04:19
Есть же VeraCrypt...
pomodor
30 мая, 2015 - 04:59
Это от тех агентов, которые задавили TrueCrypt? И это тот VeraCrypt, который хостится на богомерзком CodePlex, который принадлежит Microsoft? Вы, наверное, шутите.
Sunrise
30 мая, 2015 - 05:44
Мне кажется, лучше дождаться нормального форка, а пока можно использовать TrueCrypt.
pomodor
30 мая, 2015 - 16:24
И что в нем нормального?
Texnoline
30 мая, 2015 - 23:36
А что, нормального в использовании "...криптоконтейнер в Windows"?
+ в самом "богомерзком" продукте от M$?
pomodor
30 мая, 2015 - 23:58
Придуриваетесь? :) Нормальное как бы в том, что Windows является доминирующей операционной системой, а у Linux 1%. Меня это не радует, но это факт, который нужно учитывать. Хотелось бы иметь доступ к своим данным на любом компьютере.
Чингачгук
17 июня, 2015 - 18:22
Кстати, cryptsetup предустанавливается в GNU/Linux по умолчанию, в то время как TrueCrypt для Windows нужно найти и установить. Так что проще исппользовать LiveDVD или LiveUSB.
Комментировать