Шифрование в Ubuntu: GnuPG и Gnome Encfs Manager

Введение

Шифрование — один из основных способов защиты данных на любом компьютере. Linux не исключение: даже если система в целом безопасна, незашифрованные файлы остаются уязвимыми при физическом доступе, краже устройства или при компрометации учётной записи. В этой статье рассмотрены два практических подхода для Ubuntu:

шифрование отдельных файлов с помощью GnuPG (gpg);
создание и управление зашифрованными папками (stash) с помощью Gnome Encfs Manager (GEncfsM).

Под определениями:

Пасфраза — секретная фраза или пароль, используемый для шифрования и расшифровки; для симметричного шифрования это единственный секрет.
Stash — в GEncfsM зашифрованный контейнер (папка), которую можно монтировать/размонтировать.

Важно: здесь рассматривается шифрование данных «в покое» (at rest). Это не заменяет антивирус, брандмауэр или резервное копирование.

Когда какой метод использовать

Нужна быстрая защита одного файла — используйте GnuPG (gpg) с симметричным шифрованием.
Нужна рабочая зашифрованная папка для часто изменяемых файлов — используйте GEncfsM (stash).
Нужна защита целого диска или раздела — рассмотрите LUKS/dm-crypt (альтернативный подход, описан далее).

Важно учитывать совместимость и риск потери пасфразы: если вы потеряете единственный секрет — данные будут недоступны без резервной копии.

GnuPG: шифрование и расшифровка файлов (симметрично)

GnuPG — реализация стандарта OpenPGP (PGP). Его можно применять как для асимметричного обмена (ключи), так и для симметричного шифрования отдельных файлов.

Установка GnuPG

Откройте терминал (Ctrl + Alt + T) и выполните:

sudo apt install gnupg2

Если пакет уже установлен, менеджер пакетов сообщит об этом.

Установка GnuPG: окно терминала с командой установки

Как выбрать алгоритм шифрования по умолчанию

GnuPG поддерживает несколько шифров. В GnuPG 2.1 по умолчанию используется AES128, но вы можете задать AES256. Просмотреть доступные шифры можно так:

gpg2 --version

Чтобы задать AES256 как поведение по умолчанию, откройте файл конфигурации (создастся при первом запуске):

gedit ~/.gnupg/gpg.conf

Добавьте строку:

cipher-algo AES256

Сохраните и закройте редактор.

Содержимое gpg.conf в текстовом редакторе

Шифрование файла симметричным ключом

Найдите путь к файлу, который хотите зашифровать. В примере используем:

~/Documents/PrivateFiles/MyPrivateFile.txt

Если вы не меняли конфигурацию, можно явно указать алгоритм:

gpg --symmetric --cipher-algo AES256 ~/Documents/PrivateFiles/MyPrivateFile.txt

Альтернатива: короткая форма

gpg -c --cipher-algo AES256 ~/Documents/PrivateFiles/MyPrivateFile.txt

Если вы указали cipher-algo в gpg.conf, достаточно:

gpg --symmetric ~/Documents/PrivateFiles/MyPrivateFile.txt

После выполнения команды GnuPG попросит ввести пасфразу дважды и создаст файл с расширением .gpg: MyPrivateFile.txt.gpg.

Подсказка GnuPG для ввода пасфразы в терминале

Совет: сразу после успешного шифрования безопасно удалите исходный незашифрованный файл (см. раздел про безопасное удаление).

Переименовать выходной файл

Можно задать имя выходного файла:

gpg -o MyPrivateFile.enc --symmetric ~/Documents/PrivateFiles/MyPrivateFile.txt

Расшифровка файла

Чтобы расшифровать и записать результат в файл:

gpg -o ~/Documents/PrivateFiles/DecryptedFile.txt -d ~/Documents/PrivateFiles/MyPrivateFile.txt.gpg

Если не использовать опцию -o, расшифрованное содержимое будет выведено в стандартный вывод (терминал). Это может показать секреты посторонним лицам при просмотре экрана.

Расшифровка с указанием выходного файла

Практические рекомендации по пасфразам

Используйте длинную уникальную фразу (минимум 12–16 символов, комбинируйте слова, цифры, символы).
Не храните пасфразы в открытых текстовых файлах на диске.
Храните резервную копию пасфразы в надёжном менеджере паролей или в офлайн-кошельке/секрете.
Для автоматизации (скрипты резервного копирования) используйте ключи и защищённые агент-сервисы (GPG-agent), а не храните пасфрузы в скриптах.

Безопасное удаление исходных файлов

Просто удаление (rm) не гарантирует, что данные физически стерты. Для безопасного удаления используйте утилиты:

shred — многократно перезаписывает файл перед удалением;
wipe — инструмент для безопасного удаления;
при работе с SSD учитывайте особенности TRIM: физическое «перезаписывание» на SSD не всегда возможно.

Пример с shred:

shred -u ~/Documents/PrivateFiles/MyPrivateFile.txt

Проверяйте документацию по утилите и по вашему носителю, прежде чем надеяться на полное удаление.

Автоматизация: простой скрипт шифрования

Ниже — краткий пример скрипта для одноразового шифрования файла в каталоге. Не храните пасфразу в скрипте в явном виде.

#!/bin/bash
SRC="$1"
if [ -z "$SRC" ]; then
  echo "Использование: encrypt.sh /путь/к/файлу"
  exit 1
fi

gpg --symmetric --batch --yes --passphrase-fd 0 --cipher-algo AES256 "$SRC" < /dev/tty
shred -u "$SRC"

В этом примере пользователь вводит пасфразу вручную; --batch/--passphrase-fd используются для немаскированного ввода в автоматизированных сценариях — применять осторожно.

Gnome Encfs Manager (GEncfsM): зашифрованные папки и stashes

Если нужно защитить множество файлов и папок и при этом работать с ними как с обычной папкой (монтировать/размонтировать), удобен Gnome Encfs Manager. Он создаёт зашифрованный контейнер (stash), который монтируется в виртуальную точку и при монтировании показывает обычные файлы.

Важно: Encfs подвергался аудиту в 2014 году и там были указаны уязвимости. Эти уязвимости не означают, что инструмент небезопасен в повседневном использовании, но нужно понимать компромиссы и не считать Encfs «военной степенью» защиты. Для корпоративных сценариев лучше рассмотреть LUKS или VeraCrypt.

Диалог предупреждения безопасности при установке GEncfsM

Установка Gnome Encfs Manager

Откройте терминал и добавьте PPA, затем установите пакет:

sudo add-apt-repository ppa:gencfsm
sudo apt-get update
sudo apt-get install -y gnome-encfs-manager

После установки может потребоваться выйти из сеанса и войти снова.

Установка Gnome Encfs Manager: основное окно программы

Создание зашифрованной папки (stash)

Запустите Gnome Encfs Manager через меню приложений (введите encfs).
Нажмите «плюс» для создания нового stash.
Укажите каталог, который будет использоваться как зашифрованное хранилище, и отдельную точку монтирования — они должны быть разными.
Введите надёжный пароль (пассфразу) для stash и нажмите Create.

Если вы отметите существующую директорию для шифрования, файлы внутри неё не будут автоматически зашифрованы: лучше создать новый stash и переместить туда файлы.

Создание новой зашифрованной папки в GEncfsM

Монтирование и размонтирование

При монтировании stash появляется в файловом менеджере как обычный каталог; вы можете читать/писать файлы.
После размонтирования содержимое в каталоге-источнике остаётся в зашифрованном виде, включая имена файлов (по умолчанию).

Чтобы размонтировать — снимите галочку Mounted в окне GEncfsM или используйте трей-меню.

Mounted stash в трее: выбор для монтирования

Настройки и удаление stash

Каждый stash можно настраивать отдельно (нажимается кнопка с шестерёнкой). В программах есть раздел Preferences для общих настроек.

Чтобы удалить stash из менеджера, выберите его и нажмите минус. Можно только удалить запись из менеджера (оставив зашифрованную папку на диске), или удалить stash с диска (удалит все зашифрованные данные). При удалении с диска программа потребует подтвердить, что вы понимаете риск потери данных.

Удаление stash: подтверждение удаления с диска

Особенности синхронизации с облаком

Если вы создадите stash в каталоге, синхронизируемом с облаком (Dropbox, Nextcloud и т.д.), то на облаке будут храниться зашифрованные файлы. Это удобно для доступа с разных компьютеров, но:

убедитесь, что не храните незашифрованные копии в облаке;
имена файлов могут быть зашифрованы и нечитабельны при просмотре в облаке;
при совместном использовании между машинами убедитесь, что версии Encfs совместимы.

Что делать, если GEncfsM не подходит

Альтернативы:

VeraCrypt — контейнеры с сильной криптографией, кроссплатформенные;
LUKS/dm-crypt — шифрование на уровне блоков; лучше для целых разделов и системных дисков;
eCryptfs — традиционный инструмент, использовавшийся в Ubuntu (имеются особенности совместимости).

Выбор подхода: краткая методология

Определите требования: файл vs папка vs диск; необходимость доступа с нескольких машин; требования к совместимости.
Оцените угрозы: физический доступ, кража ноутбука, компрометация учётной записи, атаки программ-вымогателей.
Выберите инструмент: GnuPG для отдельных файлов, GEncfsM или VeraCrypt для контейнеров, LUKS для полного шифрования диска.
Настройте резервное копирование и хранение резервов ключей/пасфраз.
Тестируйте восстановление из резервной копии.

Этот простой чек-лист позволяет избежать многих ошибок на этапе проектирования защиты.

Практические сценарии и сниппеты

Быстрое шифрование одного файла (команда):

# шифрование
gpg -c --cipher-algo AES256 /path/to/file.txt

# расшифровка
gpg -o /path/to/clear.txt -d /path/to/file.txt.gpg

Создание зашифрованного контейнера VeraCrypt (альтернативно):

Установите VeraCrypt через официальный сайт или пакет;
Создайте файл-контейнер, задайте алгоритм и размер;
Монтируйте контейнер как виртуальный диск.

Автоматический монтирование stash при входе в систему (GEncfsM имеет опцию автозагрузки). Будьте внимательны: автозагрузка упрощает работу, но увеличивает окно времени, когда данные доступны.

Безопасность и жёсткие рекомендации

Никогда не используйте простые или повторно используемые пароли/фразы.
Храните резервные копии зашифрованных данных и независимые резервные копии пасфраз.
Для ноутбуков включите полное шифрование диска (LUKS) — это минимальная защита при краже устройства.
Обновляйте систему и криптопакеты — уязвимости периодически закрываются.
Не доверяйте никаким скриптам из сомнительных источников: они могут похитить пасфразы.

Защита от программ-вымогателей (ransomware)

Шифрование файлов локально не гарантирует защиту от вымогателей, так как вредоносное ПО может зашифровать данные до их резервного копирования или получить доступ к монтированной (размонтированной) области. Рекомендации:

Используйте антивирус/антималваре;
Храните резервные копии в офлайн или в версии-историзированном облаке;
Монтируйте зашифрованные хранилища только по необходимости.

Критерии приёмки

Файл, зашифрованный GnuPG, успешно расшифровывается с той же пасфразой.
После шифрования исходный незашифрованный файл удалён безопасно.
Для stashes: после монтирования файлы доступны и корректно отображаются; после размонтирования в исходном каталоге содержимое нечитаемо.
Резервная копия пасфразы сохранена в безопасном месте и проверена.

Роли и чек-листы

Чек-лист для конечного пользователя:

Выбрать инструмент (gpg или GEncfsM).
Сгенерировать и сохранить пасфразу в менеджере паролей.
Зашифровать файлы; удалить исходные файлы безопасно.
Настроить резервное копирование зашифрованных контейнеров.

Чек-лист для администратора:

Определить политику шифрования для организации.
Настроить защиту от утечек ключей и резервное хранение ключей.
Внедрить обучение пользователей по безопасным практикам.
Тестировать процессы восстановления регулярно.

План действий при утрате пасфразы (инцидент)

Оцените, есть ли доступные резервные копии зашифрованных данных и где они хранятся.
Проверьте, не записана ли пасфраза в менеджерах паролей или в офлайн-резерве (безопасное хранилище).
Если резервов нет — данные, скорее всего, невосстановимы. Убедите заинтересованных лиц в последствиях.
Уточните процесс восстановления бизнес-функций: используйте резервные копии, если есть, и смените подход к хранению ключей.
Зафиксируйте инцидент и пересмотрите политику ключевого менеджмента.

Важно: криптостойкость современных алгоритмов означает, что восстановление без пасфразы практически невозможно.

Матрица рисков и смягчения

Угроза	Вероятность	Последствия	Смягчение
Кража устройства	Средняя	Высокие	LUKS, сильная учётная запись, удалённое стирание
Потеря пасфразы	Низкая	Критические	Резервное хранение пасфраз, менеджер паролей
Ransomware	Средняя	Высокие	Антивирус, офлайн-резервные копии, монтирование по требованию
Уязвимости Encfs	Низкая	Средние	Следить за обновлениями, рассмотреть альтернативы

(Матрица качественная, без численных оценок.)

Короткий глоссарий

GPG/GnuPG — инструмент для шифрования и подписывания данных.
Stash — зашифрованная папка в GEncfsM.
LUKS — стандарт шифрования на уровне блоков в Linux.
VeraCrypt — кроссплатформенный инструмент для файловых контейнеров и шифрования томов.

Сравнение краткое

GnuPG: лучший для отдельных файлов, прост в командной строке.
GEncfsM: удобен для рабочих папок и частой работы с файлами.
VeraCrypt: хорош для контейнеров и кроссплатформенной совместимости.
LUKS: лучший выбор для шифрования целых дисков и системных разделов.

Итог и рекомендации

Шифрование — это необходимая часть комплексной безопасности. Для быстрой защиты отдельных документов используйте GnuPG с симметричным шифрованием и сильной пасфразой. Для рабочих наборов файлов — Gnome Encfs Manager (stash) даёт удобство и гибкость, но учитывайте известные ограничения и аудит Encfs. Для машин и дисков используйте LUKS.

Всегда комбинируйте шифрование с резервным копированием, хранением резервов ключей в безопасном месте и мониторингом на наличие вредоносного ПО.

Спасибо за внимание. Какие инструменты или практики используете вы для шифрования на Linux? Поделитесь опытом.

Важное: никогда не храните секреты в открытом виде в облачных сервисах без шифрования. Планируйте процесс восстановления и регулярно проверяйте резервные копии.

Шифрование файлов и папок в Ubuntu: GnuPG и Gnome Encfs Manager