Я хочу использовать высокозащищенное шифрование для заархивированных файлов через Linux/Ubuntu с помощью терминала командной строки. Какой инструмент командной строки лучше всего подходит для выполнения этой работы?
zip -e -P PASSWORD file1 file2 file3 file4
Или же
7za a file.7z *.txt -pSECRET
Какое шифрование используется и насколько оно безопасно?
Сжатие, предлагаемое 7zip (в формате 7z), является более безопасным, чем любой из "стандартных" методов или шифрование файла в формате zip (многие из которых датируются годами и практически не защищены). В любом случае убедитесь, что вы выбрали хороший пароль / ключ - при неверно выбранном пароле все методы шифрования подвержены атакам слов / предположений.
Если вы шифруете файлы для отправки кому-то другому, лучше использовать GPG (см. Https://help.ubuntu.com/community/GnuPrivacyGuardHowto для некоторых заметок, относящихся к Ubuntu, или Google для многих других подобных ресурсов), если это человек, которого вы отправляете способный + готов использовать GPG/PGP/ совместимый (или уже использует их). Стандартные инструменты GPG управляются из командной строки, поэтому их легко использовать в сценариях, если вы регулярно архивируете файлы и хотите их автоматизировать. Это основано на открытом ключе, поэтому устраняет проблему попытки получить ключ для получателя безопасным способом, поскольку вы шифруете их открытым ключом, и только у них есть закрытый ключ, необходимый для разблокирования полученного файла (даже вы, человек, который зашифровал файл, в первую очередь, не смог бы его расшифровать). Для паранойи ++, зашифруйте с помощью 7zip, как вы делаете архив, а затем с открытым ключом получателя через GPG.
Не уверен насчет стандартного zip в Ubuntu, поэтому я не могу сказать, какой из них «лучший», но вот что утверждает 7-Zip:
7-Zip также поддерживает шифрование с алгоритмом AES-256. Этот алгоритм использует ключ шифрования длиной 256 бит. Для создания этого ключа 7-Zip использует функцию деривации на основе алгоритма хеширования SHA-256. Функция вывода ключа создает производный ключ из текстового пароля, определенного пользователем. Для увеличения стоимости исчерпывающего поиска паролей 7-Zip использует большое количество итераций для получения ключа шифрования из текстового пароля.
Со страницы руководства zip :
-P password
--password password
Use password to encrypt zipfile entries (if any). THIS IS INSECURE! Many multi-user operating systems provide ways
for any user to see the current command line of any other user; even on stand-alone systems there is always the
threat of over-the-shoulder peeking. Storing the plaintext password as part of a command line in an automated script
is even worse. Whenever possible, use the non-echoing, interactive prompt to enter passwords. (And where security
is truly important, use strong encryption such as Pretty Good Privacy instead of the relatively weak standard encryp-
tion provided by zipfile utilities.)
В результате, если процесс zip займет некоторое время, другой пользователь системы сможет увидеть введенную команду, которая будет содержать пароль. упс. Предположительно это относится и к решению .7z .
GnuPG, вероятно, достаточно хорош. Однако, если от этого зависит ваша жизнь, я бы немного скептически отнесся. Я использую одноразовый блокнот. Я не буду обсуждать, как я генерирую планшеты или как я их защищаю, но я также использую GPG для электронных писем с более низкой безопасностью. Иногда я использую один раз, чтобы зашифровать файл, а затем прикрепить его к электронной почте, которая зашифрована с помощью GPG.
Да, я отправляю информацию о том, что люди должны зависеть от того, насколько они безопасны, включая угрозу жизни.