Hirdetés

Linux – KDE Plasma titkos tárolók

A KDE Plasma Tárak (Vault) nevű plasmoidja segítségével olyan jelszóval titkosított mappákat hozhatunk létre, melyek tartalma on-the-fly (menet közben), a felhasználó számára teljesen transzparensen kerül titkosításra. Ez a plasmoid azok számára lehet ideális, akik valamilyen okból kifolyólag nem szeretnék a teljes lemezüket titkosítani, vagy nincs szükségük arra, hogy a teljes munkamenet alatt hozzáférhessenek a titkosított adataikhoz, csupán rövidebb ideig. A titkosítás hátteréül jelenleg két módszer választható, az encfs és a cryfs. A cryfs jelenleg biztonságosnak tekinthető átlagos felhasználáshoz (de azért a nukleáris indítórakéták kódjait ne így tároljuk…), míg az encfs-ről 2014-ben egy független, fizetett audit megállapította, hogy bizony akadnak gyengeségei. Egyes esetekben minden további nélkül használható, de maradjunk inkább a cryfs-nél (nem véletlenül ez az alapértelmezett beállítás). A jövőbeli tervek közt szerepel a gocryptfs implementálása, ami egy biztonságosabb alternativa az encfs-re.
Az felsorolt összes titkosítási algoritmus megegyezik abban, hogy a felhasználói térben futó FUSE-ra épülnek, így használatukhoz nincs szükség root jogosultságokra, valamint abban, hogy könnyedén használhatók együtt netes felhőszolgáltatókkal (Dropbox, OneDrive, stb.).
A Tárak a Plasma 5.11 verziótól érhető el, és folyamatos fejlesztés alatt áll, a jövőben új funkciók megjelenése várható.

Telepítés, beállítás

Hirdetés

Ha nincs telepítve a Tárak plasmoid, keressünk rá Discoverben (Felfedezés) „Tárak” vagy „Vault” néven. Telepítés után húzzuk ki az asztalra vagy a panelre.
Kezdetben csupán egy „Create a New Vault...” feliratú gombot látunk, amivel létrehozhatjuk első tárolónkat. Kattintsunk rá.

A megjelenő ablakban először az új tároló nevét kell megadnunk (jelen esetben ez a Tarolo lesz). Bármit választhatunk, a lényeg, hogy számunkra sokatmondó név legyen (mások számára pedig a lehető legsemmitmondóbb…). Ugyanitt kiválaszthatjuk a titkosítási metódust is, de mint fentebb írtuk, ez maradjon az alapértelmezett CryFs.

A következő ablakban kapunk egy rövid üzenetet, amelyből kiderül, hogy a program képes együttműködni felhőszolgáltatókkal; hogy a mappastruktúra, a fájlok száma és mérete szintén titkosításra kerül; valamint egy figyelmeztetés arról, hogy a CryFs-sel kapcsolatban még nem készült független audit. Ha alul bepipáljuk a választómezőt, ez a figyelmeztetés többet nem fog megjelenni.

Továbblépve a titkosításhoz használt jelszót kéri tőlünk a program. Válasszunk erős, nehezen kitalálható jelszót, de semmiképp se felejtsük el azt! De tényleg ne, mert jelen pillanatban nincs olyan módszer, amivel a titkosított adatokat – jelszó hiányában – vissza lehetne fejteni.
A jelszót kétszer kell megadnunk.

A következőkben egy igen fontos lépéshez érkezünk, amihez egy kicsit meg kell értenünk, hogyan kezeli a program a titkosított fájlokat. Először is, meg kell adnunk egy mappát, amibe a titkosítani kívánt fájlokat fogjuk helyezni („Mount point”). Ez olyan helyre érdemes tenni, amit könnyen elérünk, és szem előtt van. Az alapértelmezettként felajánlott /home/<felhasználónév>/Vaults mappa megfelel a célnak.
Ezen kívül lesz még egy mappánk, amiben a már titkosított fájlok tárolódnak („Encrypted data location”). Ezzel mi nem különösebben fogunk találkozni, hisz a plasmoidon keresztül titkosítunk, ő pedig tudni fogja, hol keresse, így nyugodtan lehet valami eldugottabb helyen (ne zavarjon meg minket, hogy van egy „.enc” kiterjesztése – ez ettől még mappa, nem fájl).

A program a titkosítandó fájlok mappáját „Mount point”-nek hívja. Ez azért van, mert ahogy említettük, a titkosítás menet közben történik, és FUSE alapon megy, ami annyit jelent, hogy a titkosítóprogram a memóriában létrehoz egy átmeneti fájlrendszert, amin történik a tényleges titkosítás, ezt a fájlrendszert pedig valahova be kell csatolni a könyvtárfába, hogy haszálni tudjuk – ez a mount point. Ha terminálban kiadjuk a mount parancsot, láthatjuk, hogy valóban becsatolásra került-e a cryfs fájlrendszer:

Tehát ez a két mappa tekinthető úgy, mint egy rejtélyes titkosító gépezet két be – és kimenete. Az egyiken beadjuk neki a titkostandó adatokat (mount point), a másikon pedig kijön a titkosított adat (encrypted data location), és fordítva ugyanez, amikor a titkosított adatok kérjük vissza.
Ha nem teljesen világos, miről van szó, akkor egyszerűen csak jegyezzük meg, hogy nekünk abba a mappába kell pakolnunk a fájlainkat, ami a „Mount point” mezőben van.

Továbblépve a program megkérdezi tőlünk a rejtjelezési algoritmust („cipher”). Ezzel nem kell foglalkoznunk, hagyjuk az alapértelmezett beállításon.

A következő szakasz már érdekesebb lehet. Itt beállíthatjuk, hogy a plasmoid csak adott aktivitások esetén jelenjen meg, és amint elnavigálunk a beállított aktivitásról, a tároló lezárásra kerül. Ha például van egy „Munka” nevű aktivitásunk, amelyen a munkánkat végezzük és használjuk a titkosított adatokat, limitálhatjuk erre az aktivitásra a plasmoidot, hogy még véletlenül se tudjuk megnyitni a „Játék” nevű aktivitásunkon. Lejjebb pedig még egy hasznos opció, mellyel beállíthatjuk, hogy mielőtt a tároló megnyitásra kerül, zárjuk be a hálózati kapcsolatokat, beleértve a bluetooth-t is.

A „Create” gombra kattintva elkészül a tárolónk, és immár a plasmoid is mutatni fogja.

Használat

Frissen elkészült tárolónk most nyitva van, azaz hozzáférhetünk a tartalmához, ezt jelzi a bal alsó sarokban lévő zöld-fehér ikon. A tároló megnyitásához kattintsunk a nevére, a megjelenő menüben pedig válasszuk az „Open with File Manager” lehetőséget. Ekkor a tároló megnyílik a fájlkezelőben, és ugyanúgy használhatjuk, mint bármely más mappát – másolhatunk bele fájlokat, törölhetünk belőle, stb.

Ha szeretnénk lezárni a tárolót, kattintsunk a jobb szélen található, vonal-háromszög ikonra („CD kiadása” ikon). A lezárt tároló ikonjai megváltoznak.

Lezárt tároló megnyitásakor a program kéri tőlünk a jelszót.

A tárolóra kattintva, a lenyíló menüben találjuk még a „Configure vault...” menüt. Ebben megváltoztathatjuk a tároló nevét, csatolási pontját, beállíthatjuk az aktivitásra történő limitálást és a hálózat lekapcsolását, valamint törölhetjuk is a tárolót.

De mindezt csak lezárt tároló esetén tehetjük meg. Ha le akarjuk zárni, előfordulhat, hogy nem sikerül. Ennek általában az az oka, hogy a tároló meg van nyitva fájlkezelőben. Ezt zárjuk be, és így már le fogjuk tudni zárni, ha mégsem, akkor pedig használjuk a „Forcefully close” gombot.

Szinkronizáció felhős tárhellyel

A felhős tárhelyek (Dropbox, OneDrive, stb.) a PC-re telepíthető segédprogramjai nagy vonalakban a következőképp működnek: van a saját mappákon belül egy kijelölt mappa, mely tartalmának változását folyamatosan figyeli a kliensprogram, és amikor egy fájlt másolunk ebbe a mappába, a kliensprogram feltölti felhős tárhelyünkre, amikor pedig törlünk, a kliensprogram utasítást küld a tárhely felé, hogy törölje az adott fájlt a szerverről. Ennélfogva, ha azt szeretnénk, hogy titkosított fájlaink folyamatosan szinkronizálva legyenek, elég csupán ebben a mappában tárolni a titkosított fájlokat, a szinkronizáció pedig már a kliens dolga. Nézzük meg egy Dropboxos példán, hogy is működik ez élesben.
Hozzunk létre egy új tárolót a már ismert módszerrel, adjunk neki egy szép nevet (Dropbox-tarolo).

Adjunk meg egy nehezen kitalálható jelszót, majd lépjünk tovább addig a képernyőig, mikor a mappák lokációját kérdezi a program. Ennél a pontnál kell átgondolnunk, mit is szeretnék elérni! Mint ahogy fentebb ismertettük, a „Mount point” mappa lesz az, ahova a titkosítandó fájlainkat helyezzük, míg az „Encrypted data location” mappába kerülnek a titkosított fájlok. Ha ezt tudjuk, akkor könnyű dolgunk van, ugyanis csak annyi a teendőnk, hogy az „Encrypted data location” mezőbe azt a mappát adjuk meg, amit a Dropbox szinkronizál, így titkosított fájlaink automatikusan felkerülnek a tárhelyünkre. Tudjuk, hogy a Dropbox alapértelmezetten a /home/<felhasználónév>/Dropbox mappát szinkronizálja, ennélfogva a dolgunk az, hogy hozzuk létre a /home/<felhasználónév>/Dropbox/Dropbox-tarolo.enc mappát, és adjuk meg a „Encrypted data location” mezőben.

Ha mindent jól csináltunk, a Dropbox webes felületén rövidesen láthatjuk a titkosított mappánkat.

Tovább a fórumba.