20+ open source утилит для шифрования файлов на (почти) любой случай жизни

[garwall]

Ээ. Извините пожалуйста, но где gpg?

[SantrY]

Замечательная вещь, хотя может быть не всегда удобная. Была мысль ее вынести в отдельный пункт, возможно, действительно стоило. Логика была такая, что это все же больше решение для переписки и цифровых подписей. Да, можно шифровать файлы, но алгоритм все-таки асимметричный. Несколько иной фокус, чем заявлено в посте. Так что оставили только Kryptor и одно упоминание GPG.

[garwall]

Можно и симметрично. gpg -c yourfile

[Tarakanator]

а чем плохо ассимметричное шифрование? Я вот сейчас приглядываюсь к шифрованию бэкапа. Удобно, можно всем раздать открытый ключ и не парится что он куда-то утечёт, а закрытый хранить в блокнотике(бумажном) и доставать только по надобности.

[SantrY]

Подчеркну нигде не говорил, что оно чем то лучше или хуже. Просто надо было выбрать какие то критерии, чтобы отобрать ПО для подборки, и это был один из них. Если Хабр сочтет пост полезным, отдельно поговорим про решения на базе асимметричных алгоритмов. Там и сфера возможных применений шире.

[andreymal]

Шифрую свои бэкапы с помощью age - тоже асимметричное шифрование, но проще для понимания чем gpg

[suurtoll]

Например, медленнее в 100-1000 раз.

[iig]

Ну так никто и не использует его для шифрования больших обьемов информации.

[Dofmen]

Использую gpg под Linux для симметричного шифрования: gpg -- symmetric --cipher-algo AES256 имя_файла

[Asparagales]

Я перед загрузкой файлов в облако шифрую их в 7-zip.

[SantrY]

Кстати, тогда вам может понравиться PeaZip. Про него писать не стали, но разработка достойная и криптографии в нем уделено больше внимания.

[aborouhin]

Для шифрования файлов, которые хранятся в S3-совместимом объектном хранилище, и одновременно доступа к этому хранилищу как виртуальной ФС, использую s3ql. Замечательный софт, несколько Тб и десятки миллионов файлов с активным доступом, несколько сотен Гб локального кэша, - и всё это работает как часы (тьфу-тьфу-тьфу). Но, увы, автор прекратил развитие проекта, репозиторий на Github заморожен и живых форков пока не появилось :( Придётся искать замену, видимо, совместив несколько разных решений для шифрования отдельно и для S3 отдельно.

[funca]

Спасибо за классный обзор программ для десктопа. Планируете-ли сделать аналогичный для серверных решений encryption at rest?

[SantrY]

Если найдем погруженного в тему эксперта. Тут стоит сделать основательное, серьезное сравнение с бенчмарками.

[anzay911]

А в каких используется нарезка блока на чанки? Интересует с целью подгрузки в облако на небыстром интернете.

[SantrY]

В Duplicati есть возможность выбрать размер чанка и в rclone. Там эта фича на стадии бета-тестирования. Еще кажется, так умеет CryFS, но могу ошибаться.

[Alexey2005]

Проблема большинства всего этого криптософта - оно создаёт некий сторонний ключ, который надо где-то хранить. Чаще всего ещё и суёт его куда-то в недра дистрибутива, откуда его ещё забэкапь попробуй.
В итоге если система на основном диске навернулась - всё, криптоконтейнеры превращаются в белый шум.
Где бы найти такой криптософт, чтобы я мог создать криптоконтейнер на флешке, потом вставить эту флешку в другую машину - и мне не потребовалось бы для доступа к данным больше ничего кроме пароля, который хранится в моей собственной памяти и который я просто введу с клавиатуры.
Вся эта криптохрень переусложнена настолько, что ей попросту невозможно пользоваться без риска продолбать все свои данные.

[lorc]

cryptsetup же. Все как вы хотите. Но только под линуксом.

[blackarrow]

Можно установить portable версию VeraCrypt на флешку. Есть настройки Traveler Disk.

[vassabi]

+ 1 к VeraCrypt  - у нее есть даже клиент для андроида https://f-droid.org/en/packages/com.sovworks.edslite/ (он же есть и в гуглосторе, в аппловом аппсторе - не смотрел, но тоже должно что-то быть).

Отлично читает и модифицирует криптоконтейнеры с флешки, созданные в десктопной версии.

[Vladus]

Есть, точнее была, такая замечательная программа TrueCrypt. Можно шифровать как файлы, так диски целиком, включая загрузочные. Так же можно использовать в дополнение к паролю любые файлы в качестве ключей. На сколько я знаю программа больше не поддерживается. Но ее "неубиваемая" 7.1 версия верой и правдой до сих пор многим служит. Жаль ее не озвучили в данной статье.

[andreymal]

Вы по какой-то причине не доверяете VeraCrypt?

Пользоваться неподдерживаемыми программами опасно, потому что в них не исправляют уязвимости на радость злоумышленникам. Та же википедия говорит, что в TrueCrypt есть две неисправленные уязвимости, которые исправлены в VeraCrypt

[Vladus]

Спасибо! Не знал, что VeraCrypt это форк TrueCrypt. Почитал на википедии раздел "Усовершенствования по сравнению с TrueCrypt", буду пробовать.  

[iShrimp]

Подскажите, чем отличается по надёжности "Шифрование устройства" в Windows 10/11 Home от "Шифрования Bitlocker" в старших версиях? Вроде бы и тут, и там раздел шифруется AES 128 и недоступен с другой системы без ключа.

[feadraug]

winrar уже не котируется?

[karavan_750]

winrar не имеет отношения к open source

[kt97679]

Достаточно странно, что среди перечисленных программ нет openssl

[lea]

В дополнение к списку утилит для шифрования разделов: https://diskcryptor.org/

[ArkadiyShuvaev]

Вопрос к экспертам по VeraCrypt.

В нашей организации диски С зашифрованы и изначально от пользователя требовалось ввести пароль при загрузке OS.

После жалоб от пользователей, наша поддержка включила опцию "PasswordLess AutoMount On Startup" и теперь пользователю не требуется вводить пароль, он вводится автоматически (деталей не знаю).

Случайно никто не проводил анализ, насколько это безопасно? Меня не покидает ощущение того, что что-то в этом подходе не так.

[SantrY]

С учетом описанных вводных шифрование становится практически бесполезным. Правда, (поправьте, если ошибаюсь), раньше VeraCrypt не поддерживал опцию PasswordLess AutoMount On Startup для системных разделов. Так что, возможно, в этом случае сделано нечто более хитрое.
Как бы там ни было, когда пользователям сложно постоянно вводить пароли, неплохим решением может быть токен YubiKey или аналогичный с возможностью записи статического пароля.

[anzay911]

cryFS на Windows не рабочая, пока они не адаптируют её к Dokany v2.

https://github.com/cryfs/cryfs/issues/440

[cypa]

а есть такое шифрование чтобы можно было почти любому пользователю без проблем отправить зашифрованных файл? без необходимости этому пользователю устанавливать особый клиент для расшифровки,
я пока знаю только вариант с шифрованием pdf

[andreymal]

Запароленный zip-архив?

[SantrY]

Hat.sh и Cloaker вполне подходят под заявленные требования. Работают в любом актуальном браузере.

[Valsha]

Hat.sh можно и у себя запустить, а Cloaker тоже возможно запустить на своем хосте? Спасибо.

[zeond]

В копилку - сервисы для шифрования в браузере и генерации временных ссылок:

• pw - https://github.com/lebe-dev/pw

• yoopass - https://github.com/jhaals/yopass

• criptogeon - https://github.com/cupcakearmy/cryptgeon

Бэк хранит зашифрованные данные в ОЗУ, ключ зашивается в каждую ссылку.