Как зашифровать файлы для хранения на облаке?

Question

[ars-frimont]

Как зашифровать папку с файлами, чтобы рядовой злоумышленник, который бы каким то макаром узнал пароль от облака ( подобрал, пытал меня или он экстрасенс) не мог ни как открыть фотки с моим толстым подбородком.

Хватит ли шифрования 7zip, WinRar или переписывающего под водярой код фотографий на свой родной язык "аблюя Ду" алкаш дядя Витя( к такому шифратору ключ будет соотношение воды и спирта в его стопке)?

Или посоветуйте ещё какие ни будь годные шифраторы, желательно с блэкджеком, спиночесалкой и ещё и с открытым кодом, ну и ещё чтобы работать всю жизнь не надо было.

Если на наш MMXX год хватает просто архиватора, то тогда я спать.

Answer 1

[DevMan]

криптоконтейнеры и никаких заморочек.
а от утюга/паяльника/прочих-подобных-методик ничего не поможет.

Comments

[ars-frimont]

Спасибо. Утюгам вообще пора функции понерфить, а то уже какой раз мне Стим взламывали с утюга.

[John Smith]

Криптоконтейнер не лучший вариант для облака, там лучше файловое шифрование, типа EncFS.
Под Win есть boxcryptor, например.

От паяльника не спасет ничто. Даже если у вас высокая толерантность именно к паяльнику, в комнате 101 найдется что-то еще.

[DevMan]

John Smith, зависит от облака/что подразумевают под облаком.

[John Smith]

DevMan, Если подразумевается изменение содержимого - использование криптоконтейнера по очевидным причинам нерационально при любом облаке.

[DevMan]

John Smith, с чего бы ?

[John Smith]

DevMan, с того бы, что меняя файл в криптоконтейнере, по логике, даже при аплоаде только дельты этой дельты будет больше, чем для отдельного файла. Плюс при сбоях синхронизации, которые, не знаю, как у вас, а у меня редко, но случаются - тот же дропбокс создает копию с пометкой conflicted copy, что в случае криптоконтейнера увеличивает используемый объем в облаке на объем криптоконтейнера, а в случае файлового шифрования - на объем только этого файла. Ну и вишенкой на торте, при сбое синхронизации, отиличном от создания конфликтующих копий, есть риск повреждения криптоконтейнера и утраты всех файлов в нем, в отличие от утраты одного файла. Риск маленький, но ненулевой.

Ну и как вам вариант, когда криптоконтейнер в синхронизируемом на локальные устройства облаке одновременно подмонтирован на нескольких устройствах, и на них ведется с ним работа?

[DevMan]

John Smith, так я об этом и пишу.
облако - полноценный инстанс, то криптованная файлосистема - очевидный выбор.
облако - дропбокс/аналоги - криптоконтейнеры.

[John Smith]

DevMan, что-то я не догоняю, то ли логику, то ли формулировку.
Вот у меня рабочий пк, на нем рабочие файлы. Я их синхронизирую в дропбокс (и оттуда еще на ноут, в частности, и наоборот).
Если они лежат в одном контейнере, то синхронизируется, соответственно, он целиком. Что и может привести к описанным выше проблемам. А вот когда они зашифрованы пофайлово, проблем нет.

[DevMan]

John Smith,

Если они лежат в одном контейнере, то синхронизируется, соответственно, он целиком.

здесь и ошибка: некоторые облака (дропбокс в частности) умеют синкать только измененные чанки.
то при изменении одного файла в криптоконтейнере на хранилке, которая умеет, приведет только к загрузке нескольких чанков, а не всех.
тут есть множество вопросов/нюансов. но, в целом, оно выглядит так, как написано выше.

[John Smith]

DevMan, ну так я и говорю: при изменении одного файла, размером X, криптоконтейнер - тут я не специалист, но логика подсказывает - изменится не на X, а на Y, где Y>X. Т.е. объем синхронизируемых данных растет.
Далее, опять же, как я говорил, с точки зрения облака контейнер - один файл, и при конфликте создастся копия его целиком - если он более-менее объемный, может даже вылезти за пределы доступной квоты.
Ну и если что-то там ссинхронизируется не так, то весь контейнер со всем содержимым может полететь к chyortovoi babushke, маловероятно, но тем не менее.

[DevMan]

John Smith, криптоконтейнеры бывают разными: есть один сплошной файл, есть набор чанков видимый системе как один файл.
оверхед безусловно присутствует. но на файлохранилках альтернативы нет.

[DevMan]

John Smith, и даже на одном файле, например дропбокс, умеет синкать только изменённую часть, а не весь файл.

[John Smith]

DevMan,

на файлохранилках альтернативы нет

как это нет? Файловое шифрование как раз и есть.
Когда-то я заморачивался этим, у меня одна подпапка в папке, синхронизируемой дропбоксом, была зашифрована с помощью boxcryptor classic пофайлово. Соответственно, эта папка уже c помощью boxcryptor монтировалась как отдельный виртуальный диск, и с ней можнро было прозрачно работать. В дропбокс же улетали именно уже зашифрованный файлы - по отдельности.

даже на одном файле, например дропбокс, умеет синкать только изменённую часть, а не весь файл.

Это понятно, но это никак не исключает вышеупомянутых проблем.

[DevMan]

John Smith, boxcryptor - это и есть криптоконтейнер.
трукрипт/аналоги точно так же мне дадут один файл, виртуальный диск с прозрачной работой и аплоад только измененных файлов (если сам сервис это поддерживает).

[John Smith]

DevMan, BoxCryptor это ни разу не криптоконтейнер. Это файловое шифрование на базе EncFS.
Я битый час толкую о том, что там не ОДИН файл, а каждый файл шифруется индивидуально.

[DevMan]

John Smith, мы видимо говорим о разных вещах и на разных языках.
на fuse, я могу примонтировать, например, zip–файл отдельным диском. но он не перестанет от этого быть zip–файлом, хотя в системе будет виден отдельным диском с кучей файлов.
зип только для примера – это может быть что угодно, главное чтоб поддерживалось fuse/аналогами.

на уровне фс вы можете шифровать только весь раздел полностью, но не отдельную директорию, все остальные манипуляции требуют различных абстракций. как вы их назовете – дело ваше.

[John Smith]

DevMan, сложно объяснить, что круг - круглый.
Никаких zip- или иных файлов не монтируется. В папке, синхронизируемой с облаком, лежат ОТДЕЛЬНЫЕ ФАЙЛЫ, каждый из которых зашифрован. Программа Boxcryptor предоставляет виртуальный диск, на котором эти же файлы доступны в уже расшифрованном виде. Редактируешь один файл из тысячи - меняется только он, шифруется обратно на лету, в облако улетае дифф только по обрабатываемому файлу.

Контейнер подразумевает хранение множества файлов в одном. Здесь этого нет.

[DevMan]

John Smith, блжад, этот виртуальный диск – и есть криптоконтейнер. компренде?

[John Smith]

DevMan, контейнер - файл, содержащий внутри себя другие.
Здесь НЕТ такого файла. Каждый отдельный файл зашифрован ИН ДИ ВИ ДУ АЛЬ НО. Просто программа берет папку с синхронизируемыми зашифрованными файлами, и представляет ее для удобства пользователся на локальной машине как диск с расшифрованными файлами. Она от этого криптоконтейнером не становится.
Вы можете зайти на диске или в вебморде дропбокса и удалить отдельные файлы (правда, наугад, имена тоже шифруются). Тогда в расшифрованном представлении они также исчезнут, к примеру.

Truecrypt, Veracrypt и т.п. имеют один или несколько файлов, внутри которых соержатся все зашифрованные файлы. Вот они да - контейнеры.

[DevMan]

John Smith, контейнер – НЕ ОБ ЯЗА ТЕ ЛЬ НО один файл.

[John Smith]

DevMan, в вашей трактовке - БЛДЖАД - каждый отдельный шифруемый файл в отдельном контейнере получается. Поэтому оно и называется файловым шифрованием.

Вы серьезно не видите разницу между

100 файлов в одном - двух - трех контейнерах
и
100 файлов зашифрованы, в папке хранятся 100 файлов? Кроме того, структура дочерних каталогов также хранится как долбаные каталоги.


Сверху - расшифрованное представление, снизу - фактическая папка в дропбоксе.

[DevMan]

John Smith, я отлично вижу разницу. хотя, по моему мнению, она не принципиальна.
на прикладном уровне это может роялить только если интернет на уровне диалап'а. и то не факт.

[DevMan]

John Smith, и я по прежнему утверждаю, что boxcrypt – это криптоконтейнер. только с другой файловой организацией.

Answer 2

[Saboteur]

winrar solid более чем достаточно.
Но для большого количества фоток это не так удобно постоянно пережимать..

Comments

[John Smith]

Неудобно при частом использовании, однако. При solid оно будет от начала и до нужного файла все распаковывать, а при изменении - еще и обратно перепаковывать... Ну и при повреждении все с места повреждения и до конца гикнется.

[Saboteur]

John Smith, а если не солид, то расшифровать фотки будет гораздо проще, ибо заголовок стнадартный, можно будет не прямой брутфорс, а умный.

Answer 3

[unseriously]

veracrypt

Answer 4

[CityCat4]

Для винды - axcrypt. Для линуха - openssl