gpgdir - recursive directory encryption with GnuPG
dimanche 15 février 2015 à 12:10partage de liens - nonymous 15/02/2015
J'ai ouvert un compte (en Suisse !) sur OBOOM.com (https://www.oboom.com) qui propose 50Go de stockage gratuit.
L'objectif est d'avoir une sauvegarde supplémentaire de mes fichiers. Or, je veux chiffrer tous les fichiers avant de les envoyer.
Sauf que créer un conteneur veracrypt de 50Go n'est pas très souple, car... quid de la mise à jour des données ?
J'ai donc pensé chiffrer individuellement les fichiers pour n'uploader que les nouveaux. Seulement je m'aperçois que ce n'est pas si simple.
Apparemment, gpg peut chiffrer des fichiers individuellement, et gpgdir peut le faire récursivement. Il faut que j'approfondisse ça.
J'essaierai de faire un tuto si ça marche.
PS : je suis sous Linux.
(Permalink)
Liens > partage de liens - nonymous 16/02/2015
Essaie eCryptFS. Ca a l'avantage d'être implémenté directement dans le kernel, donc plus rapide à l'exécution qu'un GPG qui s'exécute en userspace.
(Permalink)
partage de liens - nonymous > Liens 16/02/2015
D'après ce que j'ai lu sur eCryptFS, le fonctionnement est à peu près similaire à Truecrypt, sauf qu'ici le conteneur est un répertoire.
Du coup, pour uploader/mettre à jour sur un stockage "cloud", il me semble que le problème reste le même.
(Permalink)
Liens > partage de liens - nonymous 17/02/2015
Non, eCryptFS fonctionne différemment de Truecrypt.
Pour le détail, l'ArchWiki est comme souvent le plus détaillé : https://wiki.archlinux.org/index.php/ECryptfs
Mais en rapide :
- Truecrypt crée un conteneur chiffré à partir d'un block device (ou d'un gros fichier). Il expose un block device dont la taille ne change pas, quel que soit le contenu. C'est le plus sécurisé (on ne voit pas l'arborescence, ni la taille des fichiers, ni l'espace occupé réellement), mais cela complique la manipulation du conteneur (notamment dans ton cas d'usage de réplication).
- eCryptFS (comme EncFS, mais EncFS s'est vu supprimer de Debian dernièrement pour problèmes d'implémentation) est une couche de chiffrement utilisant le device mapper (comme LVM, mdraid, etc). C'est un filesystem virtuel.
En gros, on lui fournit un répertoire vide (par exemple ~/.secret), on lui fournit un point de montage (par exemple ~/Private), et tout ce qui est copié dans ~/Private sera chiffré à la volée et écrit en réalité dans ~/.secret.
La taille de ~/.secret dépend directement des données écrites. La structure des répertoires/fichiers est respectée (mais les noms sont chiffrés eux aussi), et c'est compatible avec les logiciels de synchro (en tout cas, avec rsync). Le seul bémol, c'est que les droits, propriétaires (uid et gid), la taille des fichiers et les attributs restent lisibles sans déchiffrer.
Par contre, il faut prévoir un backup de ~/.ecryptfs dans un endroit sécurisé, sinon, en cas de perte, le répertoire est inutilisable.
EDIT :
Un autre avantage :
gpgdir semble ne pouvoir que chiffrer sans permettre un accès transparent au fichier. Par défaut, il chiffre le fichier puis le remplace. Puisque tu veux le synchroniser sur internet, tu ne dois pas utiliser ce fonctionnement par défaut (risque de synchro avant le chiffrement).
Si tu veux accéder à ton fichier, tu dois donc le déchiffrer ailleurs, le modifier, puis le rechiffrer. Si tu veux que ça chiffre automatiquement, le mieux est encore d'avoir une copie claire de tes fichiers et de lancer gpgdir par cron pour déposer le contenu chiffré dans ton répertoire répliqué. Donc utilisation de deux fois plus d'espace disque.
eCryptFS fait tout le chiffrement/déchiffrement à la volée et simplifie donc tout ce comportement.
(Permalink)
partage de liens - nonymous > Liens 17/02/2015
Merci pour tes compléments d'information.
Entre-temps j'ai finalisé mon bidouillage ( https://www.nonymous.fr/article14/chiffrer-ses-fichiers-dans-le-claoude )
Je vais étudier ta solution, sachant que mon objectif ici était surtout d'archiver une fois pour toutes un gros paquet de photos dans un lieu sûr, ici je n'ai pas de problématique de synchronisation avec rsync.
L'ajout de fichiers se fera par paquets, dans des nouveaux dossiers, jamais dans ceux qui existent déjà.
Effectivement eCryptFS semble plus carré et plus adapté à une optique de synchronisation.
(Si besoin, on peut continuer notre discussion dans les commentaires de mon blog, histoire de ne pas polluer shaarli.fr outre mesure !)
(Permalink)
J'ai ouvert un compte (en Suisse !) sur OBOOM.com (https://www.oboom.com) qui propose 50Go de stockage gratuit.
L'objectif est d'avoir une sauvegarde supplémentaire de mes fichiers. Or, je veux chiffrer tous les fichiers avant de les envoyer.
Sauf que créer un conteneur veracrypt de 50Go n'est pas très souple, car... quid de la mise à jour des données ?
J'ai donc pensé chiffrer individuellement les fichiers pour n'uploader que les nouveaux. Seulement je m'aperçois que ce n'est pas si simple.
Apparemment, gpg peut chiffrer des fichiers individuellement, et gpgdir peut le faire récursivement. Il faut que j'approfondisse ça.
J'essaierai de faire un tuto si ça marche.
PS : je suis sous Linux.
(Permalink)
Liens > partage de liens - nonymous 16/02/2015
Essaie eCryptFS. Ca a l'avantage d'être implémenté directement dans le kernel, donc plus rapide à l'exécution qu'un GPG qui s'exécute en userspace.
(Permalink)
partage de liens - nonymous > Liens 16/02/2015
D'après ce que j'ai lu sur eCryptFS, le fonctionnement est à peu près similaire à Truecrypt, sauf qu'ici le conteneur est un répertoire.
Du coup, pour uploader/mettre à jour sur un stockage "cloud", il me semble que le problème reste le même.
(Permalink)
Liens > partage de liens - nonymous 17/02/2015
Non, eCryptFS fonctionne différemment de Truecrypt.
Pour le détail, l'ArchWiki est comme souvent le plus détaillé : https://wiki.archlinux.org/index.php/ECryptfs
Mais en rapide :
- Truecrypt crée un conteneur chiffré à partir d'un block device (ou d'un gros fichier). Il expose un block device dont la taille ne change pas, quel que soit le contenu. C'est le plus sécurisé (on ne voit pas l'arborescence, ni la taille des fichiers, ni l'espace occupé réellement), mais cela complique la manipulation du conteneur (notamment dans ton cas d'usage de réplication).
- eCryptFS (comme EncFS, mais EncFS s'est vu supprimer de Debian dernièrement pour problèmes d'implémentation) est une couche de chiffrement utilisant le device mapper (comme LVM, mdraid, etc). C'est un filesystem virtuel.
En gros, on lui fournit un répertoire vide (par exemple ~/.secret), on lui fournit un point de montage (par exemple ~/Private), et tout ce qui est copié dans ~/Private sera chiffré à la volée et écrit en réalité dans ~/.secret.
La taille de ~/.secret dépend directement des données écrites. La structure des répertoires/fichiers est respectée (mais les noms sont chiffrés eux aussi), et c'est compatible avec les logiciels de synchro (en tout cas, avec rsync). Le seul bémol, c'est que les droits, propriétaires (uid et gid), la taille des fichiers et les attributs restent lisibles sans déchiffrer.
Par contre, il faut prévoir un backup de ~/.ecryptfs dans un endroit sécurisé, sinon, en cas de perte, le répertoire est inutilisable.
EDIT :
Un autre avantage :
gpgdir semble ne pouvoir que chiffrer sans permettre un accès transparent au fichier. Par défaut, il chiffre le fichier puis le remplace. Puisque tu veux le synchroniser sur internet, tu ne dois pas utiliser ce fonctionnement par défaut (risque de synchro avant le chiffrement).
Si tu veux accéder à ton fichier, tu dois donc le déchiffrer ailleurs, le modifier, puis le rechiffrer. Si tu veux que ça chiffre automatiquement, le mieux est encore d'avoir une copie claire de tes fichiers et de lancer gpgdir par cron pour déposer le contenu chiffré dans ton répertoire répliqué. Donc utilisation de deux fois plus d'espace disque.
eCryptFS fait tout le chiffrement/déchiffrement à la volée et simplifie donc tout ce comportement.
(Permalink)
partage de liens - nonymous > Liens 17/02/2015
Merci pour tes compléments d'information.
Entre-temps j'ai finalisé mon bidouillage ( https://www.nonymous.fr/article14/chiffrer-ses-fichiers-dans-le-claoude )
Je vais étudier ta solution, sachant que mon objectif ici était surtout d'archiver une fois pour toutes un gros paquet de photos dans un lieu sûr, ici je n'ai pas de problématique de synchronisation avec rsync.
L'ajout de fichiers se fera par paquets, dans des nouveaux dossiers, jamais dans ceux qui existent déjà.
Effectivement eCryptFS semble plus carré et plus adapté à une optique de synchronisation.
(Si besoin, on peut continuer notre discussion dans les commentaires de mon blog, histoire de ne pas polluer shaarli.fr outre mesure !)
(Permalink)