ubuntuでフォルダを暗号化する

　個人情報流出が叫ばれている昨今。自分の大事なデータは暗号化したディレクトリに置いて、少しでも情報保護に頑張りましょう〜ということで、ubuntuでも簡単に出来るディレクトリ単位での暗号化方法。
　個別にファイル一個ごとに暗号化するなら、gpg で事足りるわけですが、比較的多くのファイルを、例えば、メモファイルが入ったフォルダなんかやmailディレクトリを丸ごと暗号化して他人に見られられないようにしたいなんて場合はgpgだときついので今回は、encfs を使います。
　encfsはディレクトリ単位でディレクトリの中身を暗号化してくれます。フォルダ単位なので、事前にボリュームを作成して容量決め打ちになることもありません。暗号化はファイル単位で行われ、ファイルの中身と、ファイル名も暗号化してくれますので、ファイル名から中身を類推される心配もありません。
　ではさっそく使ってみましょう。

インストール

sudo apt-get install encfs cryptkeeper

マウントポイントを作る

　仮想マウントポイントを作ります。

mkdir ~/encfs-test

データディレクトリを作る

　暗号化されたファイルの実体を格納するディレクトリを作ります。

mkdir ~/encryptd

マウントする

　初回マウント時に自動的に暗号ディレクトリが作成・設定がされます。

encfs ~/encryptd ~/encfs-test

　~/encryptd が ~/encfs-test というディレクトリにマウントされます。アクセスは、この~/encfs-testに対して行ないます。
　初めてのマウント時は最初に手動で設定するかどうか聞かれます。何も入力せずにエンターキーを押して標準設定でいいでしょう。
　そして新規パスワードを聞かれますので入力します。確認のためにもう一度聞かれます。

新しい暗号化ボリュームを作成します。
Please choose from one of the following options:
enter "x" for expert configuration mode,
enter "p" for pre-configured paranoia mode,
anything else, or an empty line will select standard mode.
?>

Standard configuration selected.

設定が完了しました。以下のプロパティのファイルシステムが
作成されます:
ファイルシステム暗号アルゴリズム: "ssl/blowfish", バージョン 2:1:1
Filename encoding: "nameio/block", version 3:0:1
鍵サイズ: 160 ビット
Block Size: 512 bytes
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.

Now you will need to enter a password for your filesystem.
You will need to remember this password, as there is absolutely no recovery mechanism.  However, the password can be changed later using encfsctl.

新しい Encfs パスワード:
Encfs パスワードの確認:

　これで暗号ディレクトリが作成されました。マウントされたディレクトリはマウントしたユーザ以外アクセス出来ません。

　試しに暗号ディレクトリになにかファイルを作ってみましょう。

echo "encfsのテスト" > ~/encfs-test/test.txt

　確認してみましょう 。

ls -l ~/encfs-test/
-rw-r--r-- 1 foo foo 18 2008-09-20 21:37 test.txt

ls -l ~/encryptd/
-rw-r--r-- 1 foo foo 26 2008-09-20 21:37 oEnpZ00e7,5D-HStHHWlP2ld

ファイル名が暗号化され判らなくなっていますね。もちろん中身も暗号化されています。

アンマウントする

fusermount -u ~/encfs-test

　マウントが解除され暗号化されたデータの中身にはアクセス出来なくなります。

ステータスを確認する

　暗号フォルダの情報をチェックします。

~$ encfsctl ~/encryptd/

Version 5 configuration; created by EncFS 1.3.2 (revision 20040813)
ファイルシステム暗号アルゴリズム: "ssl/blowfish", バージョン 2:1:1
Filename encoding: "nameio/block", version 3:0:1
鍵サイズ: 160 ビット
Block Size: 512 bytes
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.

GUIで操作する

　頻繁に行なうであろうマウント手続きをGUIから行ないます。
　cryptkeeper を使います。メインメニューのアプリケーション→システムツールの中にありますので実行するとパネルに鍵マークのアイコンが追加されます。
　右クリックで設定が。左クリックで暗号フォルダの追加、新規作成、マウント処理が出来ます。



　このような感じでencfsはubuntuを使っていく上で非常に簡単でシームレスな操作性を持った暗号化ファイルシステムだと思います。
　ああ、あとなるべく必要な時以外はマウントしないようにしましょう。マウントしているということは、金庫のドアを開けているのと同じことですからね。

EmacsからGnuPGを透過的に扱う

linuxで暗号化の標準ソフトになっているGnuPGですが、こいつをEasyPGを使うことによりEmacsと華麗に連携させちゃいます。

暗号・復号化をemacsの一機能としてシームレスに動作させることによってとても使い易いGnuPG環境が構築できます。

• メリット
  
  • emacsからGnuPGを透過的に扱える。
  • 選択範囲を暗号化できる
  • 暗号化ファイルを開くと自動的に復号化されて編集できる
  • 同じくファイルを暗号化できる。
  • DiredでGnuPGが操作できる

インストール

リポジトリに入っているのは、0.0.8と古く、範囲選択の暗号化がうまく動作しないので こちらから easypg_0.0.12-1_all.deb を落としてきてインストールします。
落としてきたdebパッケージをダブルクリックで実行するか、端末から

sudo dpkg -i easypg_0.0.12-1_all.deb

するだけ。設定は特になし。

使いかた

例．

emacs hogehoge.gpg として拡張子gpgで新規ファイルを開く。適当に文字を入力したら、保存する。すると鍵の選択画面が出るので自分の鍵を選んで[OK]ボタンを押せば暗号化して保存してくれる。

選択範囲を暗号・復号化する

範囲選択をし、

M-x epa-encrypt-region

で暗号化される。復号化は

M-x epa-decrypt-region

参照

• EasyPG
• EasyPG で Emacs から .gpg ファイルを透過的に読み書き

2009/09/03:追記：

　Emacs23からは標準機能として取り込まれました。apt-getなどでEasyPGパッケージを別途導入しているとEmacs23が正常に機能しないことがありますので注意をしてください。