Tiedostojen salaus

Tuo tarkoittamasi toiminto salaa valitsemasi tiedoston PGP-avaimella. Eniten tuosta on hyötyä, jos haluat esimerkiksi lähettää jonkin tiedoston salattuna jollakein kaverillesi tai vaikka salatun tiedoston usb-tikulla.

Jotta voisit kokeilla tuota, sun pitää ensin luoda PGP-avainpari, joka koostuu sun julkisesta ja salaisesta avaimestasi. PGP salaus toimii niin, että salattava tiedosto salataan julkisella avaimella ja salaus avataan salaisella avaimella.

Otetaan esimerkiksi tapaus, jossa haluat, että kaverisi lähettää sulle jonkin tiedoston siten salattuna, että vain sinä voit avata salauksen. Sillon sun pitää ensin luoda PGP-avainpari. Sitten annat julkisen avaimesi kaverillesi. Kaverisi sitten salaa tiedoston julkisella avaimellasi ja lähettää tiedoston sulle. Sinä voit sitten avata salauksen omalla salaisella avaimellasi. Julkista avainta voit siis jakaa vaikka kavereillesi, mutta salaista avainta ei pidä antaa kenellekään.

PGP-salauksen avulla voidan myös salata sähköpostit. normaalistihan sähköpostit kulkee netissä selväkielisenä tekstinä. PGP-salauksen avulla voit salata lähettämäsi sähköpostin niin, että vain vastaanottaja pystyy sen lukemaan. Sillon salaat sähköpostin vastaanottajan julkisella vaimella ja vastaanottaja purkaa salauksen sdalaisella avaimella. Sekä Evolution, etä Thunderbird/Icedove -sähköpostiohjelmat osaa PGP-salauksen.

Samoja PGP-avaimia voidaan käyttää myös ns. digitaaliseen allekirjoittamiseen.

Jos haluat kokeilla miten tiedostoja voi slata sun pitää tosiaankin ensin luoda PGP-salausavainpari. Samaa avainparia voit käyttää sekä tiedostojen salaamiseen, että sähköpostien salaamiseen.

PGP-salausavaimen voi tehdä näin:

1) Käynnistä Salasanojen ja salausavaintenhallintaohjelma (Seahorse). Gnome-työpöydällä se onnistuu valitsemalla valikosta:

Sovellukset->Apuohjelmat->Salasanat ja salausavaimet

2) Uuden avaimen luomiseen on kaksi tapaa. jos et ole vielä luonut avaimia ikkunassa näkyy alareunassa Uusi -nappi, jonka vieressä lukee "luo uusi avain". Avaimen voi luoda tuota nappia klikkaamalla. Toinen tapa on valita ohjelman valikosta: Avain->Luo uusi avain.

3) Valitse avautuvasta ikkunasta PGP-avain ja klikkaa jatka-nappia.

4) Syötä avautuvassa ikkunassa koko nimesi ja sähköpostiosoitteesei.

5) Lisäasetuksissa voit halutessasi säätää mm. avaimen bittimäärää. Mitä enemmän bittejä sitä turvallisempi salaus on, mutta sitä kauemmin salauksen avaaminen myös kestää. Voit kokeillasi jättää lisäasetukset oletusarvoihin.

6) Klikkaa lopuksi luo-nappia. Sulta pyydetään salasanaa, pistä salasana tarkoin muistiin koska sä tarvitset sitä. Avaimen luominen kestää jonkin.

7) Kun avain on luotu voit sulkea avaintenhallintaohjelman.

8) Nyt voit käynnistää nautilus filemanagerin ja valita tiedostyon jonka haluat salata.

9) klikkaa tiedostoa oikealla hiiren napilla ja valitse avautuvasta valikosta salaa. Avautuvassa ikkunassa näkyy nyt luomasi avain. Ikkunassa näkyisi myös esimerkiksi kaveriesi julkiset avaimet, jos olisit niitä salasanojen hallintaohjelman kautta lisännyt.

10) laita ruksi oman avaimesi kohdalle

11) klikkaa ok-nappia. Tiedosto salataan nyt. Lopputulkoksena sulla on alkuperäinen tiedosto salaamattomana ja sama tiedosto PGP-salatussa muodossa.

Salatun tiedoston purkaminen tapahtuu näin:

1) Siirrä tai kopioi salattu tiedosto vaikka työpöydälle. Tämä ei ole välttämätöntä, mutta jos alkuperänen salaamaton tiedosto, tai muu samanniminen tiedosto on samassa hakemistossa sulta kysytään salauksen purkamisen yhteydessä tiedoston nimeä. Tuo on tietenkin ihan ok.

2) Tuplaklikkaa nautiluksessa saalttua tiedostoa

3) Sulta kysytään PGP-avaimesi salasanaa jonka asetit avainta luodessasi.Anna salasana ja klikkaa ok-nappia.

4) Salaus puretaan nyt ja levylle ilmestyy salaamaton tiedosto alkuperäsessä muodossaan.

Jos haluat luoda kotihakemistoosi erillisen salatun hakemiston, johon tallennetut tiedostot salataan automaattisesti, niin se ei onnistu tuolla edellä kuvaamallani PGP-salaustavalla. Siihen on kuitenkin olemassa näppärä keino, joplla voit tehdä niin monta salattua hakemistoa kuin haluat.

1) Asenna paketti cryptkeeper.

# apt-get install cryptkeeper

2) Voit nyt käynnistää cryptkeeper ohjelman valitsemalla Gnome-työpöydän valikosta:

Sovellukset->Järjestelmätyökalut->Cryptkeeper

3) Gnome-työpöydän yläpalkkiin ilmestyy nyt Cryptkeeperin ikoni. Klikka sitä hiiren vasemmalla napilla.

4) Ohjelmaa ei ole valitettavasti suomennettu vielä, mutta se on helppokäyttöinen. valitse avautuvasta valikosta: New encrypted folder

5) Ruudulle avautuu tiedostovalintaikkuna. Anna salattavan hakemiston nimi ja klikkaa eteenpäin-nappia

6) Anna salasana hakemistolle ja klikkaa eteenpäin -nappia.

7) ohjelöma kertoo, että salattu hakemisto on nyt luotu. Klikkaa ok-nappia. Ruudulle myös avautuu Nautiluksen tiedostoikkuna.

Jos nyt tallennat tai kopioit jotain tiedostoja luomaasi salattuun hakemistoon, niin tiedostot salataan automaattisesti.

Luomasi salattu hakemisto näkyy nyt crypotkkeeperin ikonin valikossa. klikkaa gnome-työpöydän paneelissa olevaa cryptkeeperin ikonia vasemmalla hiiren napilla. Hakemistosi pitäisi olla listattuna. Hakemiston edessä oleva ruksi tarkottaa sitä, että hakemisto on käytössä. jos otat ruksin pois, niin cryptkeeper ei yritä avata hakemiston salausta eikä sitä voi siis käyttää.

Jos haluat voit laittaa cryptkeeperin käynnistymään aina kun kirjaudut työpöydälle. Näin sun ei tarvitse erikseen käynnistää sitä. Voit tehdä tuon näin:

1) Valitse GNOME-työpöydän valikoista

Järjestelmä->Asetukset->Istunnot

2) Klikkaa avautuvassa ikkunassa Lisää-nappia kun olet Käynnistyvät ohjelmat -välilehdellä.

3) Kirjoita avautuvan ohjelmaan nämä tiedot

Nimi: Cryptkeeper
Komento: cryptkeeper

Klikaa lopuksi ok-nappia.

4) Sulje Istuntojenj asetusikkuna.

Nyt cryptkeeperin pitäisi käynnistyä automaattisesti.

Salatun hakemiston voi poistaa kokonaan sisältöineen näin:

1) klikkaa GNOME-työpöydän paneelissa olevaa cryptkeeperin ikonia vasemmalla hiiren napiilla.

2) Klikkaa avautuvassa valikossa poistettavaa hakemistoa hiiren oikealla napilla

3) valitse avautuvasta valiukosta kohta: delete encrypted folder

4) Sulta kysytään haluatko varmasti poistaa hakemiston vastaa ok ja kyllä.

Tehdään vielä pikaesittely LUKS systeemistä, joka soveltuu parhaiten kokonaisten levyosioiden salaamiseen.

Esimerkkinä salatun muistitikun teko. (/dev/sda)

Kirjoitetaan tikku täyteen puppua, jolloin ei voida tietää mikä on dataa ja mikä käyttämätöntä.
dd bs=1M if=/dev/urandom of=/dev/sda1

Tehdään salattu osio
cryptsetup luksFormat /dev/sda1

Laitetaan bittisekoitin käyntiin.
cryptsetup luksOpen /dev/sda1 tikku

Tehdään tiedostojärjestelmä (formatoidaan). Huomioi mikä alustetaan.
mke2fs /dev/mapper/tikku

Puretaan bittisekoitin
cryptsetup luksClose tikku

Kun muistitikku nyt poistetaan ja tökätään takaisin, kone kysyy salasanaa ja oikean sanan jälkeen kaikki toimii kuten salaamattomallakin tikulla. Näin Gnomella. Jos käytetään KDE-työpöytää pitää hakea ja asentaa Krypt-niminen pikkuohjelma homman automatisoimiseksi. Debianin pakettivarastosta sitä ei löydy.

LUKSissa on mahdollista käyttää kahdeksaa eri salasanaa, jotka voidaan vaihtaa. Usean käyttäjän tapauksessa jokaisella voi olla oma salasana käytössä.

Toinen hyvä käyttökohde on koko koneen tietojen salaaminen. Siinä asennusvaiheessa tehdään levylle kaksi osiota /boot ja LUKS. Bittisekoittimen läpi näkyvään (LUKS-osio) tilaan tehdään sitten LVM:llä halutunlaiset osiot. Ainakin / ja swap osiot on syytä olla.

Tarkat ohjeet löytyy Debianin asennusoppaasta jopa suomeksi.

Tämän jälkeen levyllä salaamatonta on vain pieni /boot-osio. Kaikki muu on turvassa toivottavasti huomattavan pitkän ja monimutkaisen salasanan takana. Oivallinen turvan lisäys raahattaviin koneisiin, joilla on suuri taipumus joutua rosvojen saaliiksi. Kuten muistitikutkin.

Tässä on aivan hyvä selostus LUKS systeemin sielunelämästä.
http://www.linux-magazine.com/w3/issue/61/Hard_Disk_Encryption_DM-Crypt_LUKS_cryptsetup.pdf

Valitettavasti vain englanniksi. Kuvaus on melko kansantajuinen ja antaa käsityksen siitä että salaus on aivan oikeasti vaikeaa ja monimutkaista. Onneksi ohjelmantekijät ovat nämä asiat murehtineet käyttäjän puolesta.

Uusin Truecrypt on ihan pätevä, erityisesti jos kone on dual-boottaava Windowsin kanssa.
Ei encfs:kään huono ole, helppokäyttöinen vain.