Şifreleme sadece SSH şifresiyle mi?

SSH özel anahtar şifremi bilerek bir dosyayı yalnızca okuyabilmem için şifrelemek istediğimi varsayalım. Hassas bilgileri şifrelemek veya gizlemek istediğim bir depoyu paylaşıyorum. Bu sayede, deponun bilgileri içereceğini ancak sadece özel durumlarda açacağımı kastediyorum.

1. SSH-ajanı kullandığımı varsayalım, dosyayı daha sonra açmam için dosyayı şifrelemenin kolay bir yolu var mı?

2. Bunun için neden GPG kullanmam gerektiğini anlamıyorum, buradaki soru ; temelde şifreyi biliyorum ve sadece SSH anahtarımla aynı şifreyle dosyanın şifresini çözmek istiyorum. Mümkün mü?

İhtiyaçlarınızın geçerli olduğunu düşünüyorum ama diğer yandan da zor, çünkü simetrik ve asimetrik şifrelemeyi karıştırıyorsunuz. Yanılıyorsam lütfen beni düzeltin.

Akıl Yürütme:

1. Özel anahtarınızın şifresi, özel anahtarınızı ve başka hiçbir şeyi korumanızdır.
2. Bu şu duruma yol açar: Özel şifrenizi yalnızca şifresini çözebileceğiniz bir şeyi şifrelemek için kullanmak istersiniz. Özel anahtarınız bunun için tasarlanmadı, ortak anahtarınız bunu yapmak için orada. Özel anahtarınızla şifreleyen her şey, genel anahtarınızla (imza) şifrelenebilir, kesinlikle istediğiniz şey bu değildir. (Genel anahtarınızla şifrelenen her şey yalnızca özel anahtarınızla şifrelenebilir.)
3. Dolayısıyla, verilerinizi şifrelemek için genel anahtarınızı kullanmanız gerekir, ancak bunun için bunun için özel anahtar parolanıza ihtiyacınız yoktur. Sadece şifresini çözmek istiyorsanız, özel anahtarınıza ve parolanıza ihtiyacınız olacaktır.

Sonuç: Temel olarak simetrik şifreleme için parolanızı tekrar kullanmak istiyorsunuz. Parolanızı vermek istediğiniz tek program ssh-agent'tır ve bu program şifreleme / şifre çözme işlemlerini yalnızca parola ile yapmaz. Parola yalnızca özel anahtarınızın kilidini açmak için orada bulunur ve sonra unutulur.

Öneri: Şifreleme için parola korumalı anahtar dosyalar kullanın openssl encveya kullanın gpg -e --symmetric. Bilgileri paylaşmanız gerekirse, bir PKI / Web Güven oluşturmak için her iki programın ortak anahtar altyapısını kullanabilirsiniz.

Openssl ile şunun gibi bir şey:

$ openssl enc -aes-256-ctr -in my.pdf -out mydata.enc 

ve şifre çözme gibi bir şey

$ openssl enc -aes-256-ctr -d -in mydata.enc -out mydecrypted.pdf

Güncelleme: Yukarıdaki openssl komutlarının verilerin tahrif edilmesini önlemediğini not etmek önemlidir. Enc dosyasındaki basit bir bit çevirme deşifre edilmiş verilerin de bozulmasına neden olur. Yukarıdaki komutlar bunu algılayamaz, örneğin SHA-256 gibi iyi bir sağlama toplamıyla kontrol etmeniz gerekir. Bunu entegre bir şekilde yapmanın şifreleme yolları vardır, buna HMAC (Karma Tabanlı İleti Kimlik Doğrulama Kodu) denir.

opensslFaydalı her yerde göründüğü gibi yardımcı programı kullanmayı tercih ederdim .

RSA ortak anahtarını ve özel anahtarını PEM formatına dönüştürün:

$ openssl rsa -in ~/.ssh/id_rsa -outform pem > id_rsa.pem
$ openssl rsa -in ~/.ssh/id_rsa -pubout -outform pem > id_rsa.pub.pem

Bir dosyayı ortak anahtarınızla şifrelemek:

$ openssl rsautl -encrypt -pubin -inkey id_rsa.pub.pem -in file.txt -out file.enc

Dosyanın şifresini özel anahtarınızla çözme:

$ openssl rsautl -decrypt -inkey id_rsa.pem -in file.enc -out file.txt

Ancak, Gilles'un yukarıda yorumladığı gibi, yalnızca genel anahtarınızdan daha küçük dosyaları şifrelemek için uygundur, bu nedenle şöyle bir şey yapabilirsiniz:

Bir şifre oluşturun, dosyayı onunla simetrik olarak şifreleyin ve şifreyi herkese şifreleyin, anahtar dosyaya kaydedin:

$ openssl rand 64 | 
tee >(openssl enc -aes-256-cbc -pass stdin -in file.txt -out file.enc) |
openssl rsautl -encrypt -pubin -inkey id_rsa.pub.pem  -out file.enc.key

Parolanın şifresini özel anahtarınızla şifreleyin ve dosyayı şifresini çözmek için kullanın:

$ openssl rsautl -decrypt -inkey id_rsa.pem -in file.enc.key | 
openssl enc -aes-256-cbc -pass stdin -d -in file.enc -out file.txt

Şifrelenmiş dosyanız ve şifrelenmiş parolanız olmak üzere iki dosya ile sonlanırsınız, ancak bir betik içerisine koymanız iyi sonuç verir.

tar cvf file file.enc file.enc.keyToparlamak için bir bile ekleyebilirsiniz .

Optimal olarak, rand 64ortak anahtarınızın boyutuna geçmenin yanı sıra parolanızın boyutunu en üst düzeye çıkarırsınız .

Luks / dm-crypt'a bak . Uygun seçeneği kullanarak ssh-private-key'inizi şifreleme anahtarı olarak kullanabilirsiniz.

Güncelleme: LV-blok cihazlı LUKS kullanarak örnek şifreleme (VG sisteminde LV testi):

KEY=/home/youraccount/.ssh/id_dsa
DEVICE=/dev/system/test
cryptsetup luksFormat $DEVICE $KEY
cryptsetup luksOpen $DEVICE test_crypt --key-file $KEY

Bu , verilerinizi depolamak için kullanabileceğiniz bir blok aygıtı / dev / mapper / test_crypt öğütmesini sağlamalıdır (seçtiğiniz bir dosya sistemiyle biçimlendirdikten sonra).

Ondan kurtulmak için onu toplayın ve kullanın cryptsetup luksClose test_crypt.