クラウド向けの 3 つの Linux 暗号化ツール

[51CTO.com クイック翻訳] セキュリティの観点から、クラウド ストレージは存在すべきではありません。問題は、ユーザーがプロバイダーを信頼できるかどうかに依存しているにもかかわらず、プロバイダーからの口頭による保証しかないことが多いことです。しかし、クラウド ストレージは多くの企業や個人にとってあまりにも便利なため、避けることはできません。幸いなことに、ユーザーは暗号化されたファイルのみを保存することでセキュリティを取り戻すことができます。

クラウド暗号化にはさまざまなツールが利用可能であり、その中には独自のものもあります。しかし、これらのソリューションも信頼を必要とします。信頼の要件を第三者に移譲するだけであり、基本的なセキュリティではユーザーが自分でセキュリティを検証する必要があります。

より良い解決策は、ファイルをオンライン ストレージに保存する前に、オープン ソース ツールを使用してファイルを暗号化することです。 Linux では、これに最も役立つツールは EncFS、Cryptomator、および Tahoe-LAFS の 3 つです。名前が示すように、これらのツールはそれぞれオンライン ストレージを仮想ファイル システムとして扱いますが、品質は大きく異なります。

1. エンクFS

EncFS は、暗号化された仮想ファイルシステムを作成するためによく使用されます。リモート ディレクトリをローカル ディレクトリと同期するストレージ サイトを使用すると、ローカル環境と同じくらい簡単にリモート仮想ファイル システムを作成できます。たとえば、Dropbox を使用する場合、すべてを設定するコマンドは次のようになります。

 encfs ~/Dropbox/encrypted ~/Private

このコマンドは、ホーム ディレクトリに暗号化されたファイル用のディレクトリと、暗号化されていないファイル用の別のディレクトリを作成します。このコマンドは、一連の質問をすることで暗号化されたディレクトリを作成します。 p キーを押してデフォルトのパラノイド モードに入るか、x キーを押してエキスパート モードに入り、暗号化オプションを手動で選択できます。専門家の質問は明確に説明されているので、初心者でも問題なく回答でき、デフォルトを受け入れるだけで済みます。あるいは、定義済みの設定を使用する --standard オプション (定義済みの設定を使用) を指定してコマンドを実行することで、質問への回答をスキップすることもできます。

次回ユーザーが Dropbox のオンライン ストレージと同期すると、暗号化されたディレクトリが追加されます。 /Private ディレクトリに追加されたファイルは、自動的に ~-Dropbox/-encrypted に追加されます。

ただし、EncFS ではプロバイダーによるファイルの移動や削除を防ぐことはできないことに注意してください。同様に、Debian「安定版」に EncFS バージョンをインストールする場合、2014 年の手順では、暗号化の複雑さを軽減したりタイミング分析を使用したりすることなどにより、ファイルへの読み取りおよび書き込みアクセス権を持つユーザーによる攻撃に対して脆弱であると警告されています。この問題は、テスト リポジトリの 10.1.1 リリースのテスト リポジトリで修正されたようですので、こちらを使用してください。

図1. EncFSのエキスパートモードでは、ほとんどのユーザーが使用できることが非常に明確に説明されています

2. クリプター

Cryptomator ワークフローは、構造が EncFS と非常に似ています。主な違いはいくつかの用語にあります。たとえば、Cryptomator では、暗号化されたディレクトリは「vault」と呼ばれます。

Cryptomator ウィンドウが開き、金庫を作成するか、金庫を開くかのオプションが表示されます。もちろん、Cryptomator を実行するときは、パスとパスワードを指定してボールトを作成する必要があります。開いているウィンドウに戻ると、ユーザーは Vault を開き、システムのファイル マネージャーを使用してファイルを Vault にコピーできます。保管庫に追加されたすべてのファイルは自動的に暗号化されます。 EncFS と同様に、ユーザーが同期すると、Dropbox などのストレージ プロバイダーのローカル ディレクトリに保存されているボールトがクラウドにアップロードされます。

EncFS と Cryptomator のどちらを好むかは、好みによって異なります。暗号化プロセスを制御したい場合は、EncFS をお勧めします。ただし、デスクトップ アプリケーションを好む場合は、Cryptomator の方が適している可能性があります。

図 2. Cryptomator には、誰でも暗号化を使用できるグラフィカル インターフェイスがあります。

3. タホ-LAFS

Tahoe-LAFS は最も包括的なソリューションを提供します。 LAFS の正式名称は「Least Authority File System」で、最も権限の少ないファイルシステムという古典的な原則を指します。 Tahoe は基本的に、クラウド ストレージ プロバイダーにユーザー データに対する制御を最小限に抑えるように設計されています。

まず、Tahoe は 2000 ビットの RSA 公開キーを使用してすべてのファイルを自動的に暗号化します。これには、ファイルを暗号化するためのオプションと Tor を使用するためのオプションが含まれています。

しかし、Tahoe がユニークなのは、ファイルを分散できる機能です。ユーザーはストレージ用のグリッド (サーバーの集合) を設定できます。この機能により、ファイルは実際に複数のサーバーに保存できるようになります。たとえば、ユーザーはファイルの一部を Dropbox に保存し、別のファイルを Google のストレージ サービスに保存することができますが、どちらのサービスもファイルを完全に制御することはできません。ファイルを復号化して開くには、ユーザーはすべてのストレージ アカウントにアクセスできる必要があります。

さらに、各ファイルはサーバー障害やその他のデータ損失から保護されます。デフォルトでは、各ファイルには 10 個の部分または共有があり、ファイルを使用するにはそのうち 3 つが必要です。実際には、ほとんどの共有は失われても、ファイルは取得可能です。各ファイルをアップロードした後、ユーザーは共有領域を最大 256 に調整できます。共有が少ないほど計画が少なくなり、共有が多いほどセキュリティが強化されます。共有がアップロードされる場所ごとに、Tahoe は暗号化キーの整合性をチェックし、他の共有を見つけ、ファイルを取得するために使用されるファイル キャップを追加します。ファイルへのアクセスは、ユーザー情報や権限ではなく、暗号化キー情報によって制御されます。セキュリティをさらに強化するため、アップロードされたファイルは編集できず、変更があった場合は再度アップロードする必要があります。すべてのステップにおいて、ストレージ プロバイダーは最小限の権限を持ち、完全に受動的な役割を果たします。

この基本的な構成に加えて、Tahoe にはオプションの Web インターフェイスと、共有数が取得に必要な最小数を下回った場合にユーザーに通知するユーティリティが含まれています。バックアップ ツール、ユーティリティ セット、Puppet などの他のアプリケーションで使用するためのプラグインなど、多数の関連プロジェクトも利用できます。

Tahoe では戦略的な計画が必要であり、ファイルをアップロードする前にセットアップに時間がかかる場合があります。共有数やオンラインストレージの場所に関する適切な戦略がなければ、結果は簡単に混乱する可能性があります。ただし、設定が完了すると、タホが提供する安全性は非常に高くなります。

図3. TahoeLAFSには独自のオンライン高度暗号化設定がある

原題: クラウド向けの 3 つの暗号化ツール、著者: Bruce Byfield

[51CTOによる翻訳。パートナーサイトに転載する場合は、元の翻訳者と出典を51CTO.comとして明記してください。