gocryptfs

URL: https://github.com/rfjakob/gocryptfs

Encrptació "directa"

Pots inicialitzar un directori amb:

gocryptfs -init <enc>

enc ha d'existir prèviament, i ha de ser buit. És possible emprar tant paths absoluts com relatius.

La inicialització crea a dins d'enc un fitxer gocryptfs.conf amb els paràmetres del volum i la clau d'encriptació. Si no vols guardar el fitxer aquí, perquè si algú guanya accés al directori no tingui aquesta informació, pots moure'l a on vulguis i indicar la ubicació amb -config.

ATENCIÓ: en inicialitzar el directori se't mostrarà una clau mestra. Guarda-la. És l'única manera com podràs desencriptar el volum si mai oblides la contrasenya o perd el fitxer de configuració.

A dins de cada subdirectori, inclosa l'arrel enc, es crea un fitxer gocryptfs.diriv amb el vector d'inicialització del directori. No toquis mai aquests fitxers. No molesten perquè no són visibles a la versió desencriptada.

Per muntar una versió desencriptada també cal que el punt de muntatge existeixi i que sigui buit. Llavors:

gocryptfs <enc> <mnt>

Per desmuntar has d'emprar FUSE:

fusermount -u plain

Opcions útils:

  • -fsname xxx perquè el dispositiu aparegui com a "xxx" a df, mount, etc.
  • -fsck per comprovar la integritat
  • -config <fitxer> per guardar el fitxer de configuració a un altre lloc
  • -passfile <fitxer> per llegir la contrasenya des d'un fitxer

Si hi ha STDIN en executar gocryptfs, es considerarà que és la contrasenya. Això és una manera de no haver de picar-la:

echo "contrasenya" | gocryptfs <enc> <mnt>

ATENCIÓ: les contrasenyes poden tenir fins a 2000 caracters, però compte amb quins conté. Si en crees una d'aleatoria emprant /dev/urandom per exemple, potser conté salts de línia, però gocryptfs només llegeix la primera línia quan llegeix de fitxer o de pipe. Pots estar emprant una contrasenya molt més curta del què sembla.

Encriptació "inversa"

Per veure una versió encriptada d'un directori desencriptat, només l'has de inicialitzar i llavors muntar amb l'opció `reverse':

gocryptfs -init -reverse <dir>
gocryptfs -reverse <dir> <enc>

Si vols que algun fitxer o directori no aparegui a la versió encriptada, pots emprar -e <patro> tantes vegades com calgui.

Volver al inicio