Perguntas[encryption](computer)

Gostaria de descriptografar um arquivo e editá-lo sem gravar seu conteúdo claro em um arquivo temporário, para evitar vazamentos de dados confidenciais.

Já criei o arquivo original com este comando:

echo -n "hello world" | gpg --encrypt --symmetric --output sensitive.gpg

Posso descriptografar este arquivo e exibi-lo:

$ gpg --decrypt sensitive.gpg
gpg: AES256.OCB encrypted session key
gpg: encrypted with 1 passphrase
gpg: encrypted with cv25519 key, ID <blablabla>
hello world

Entretanto, quando tento canalizar a saída para gpg --encrypt, parece que os dois processos estão sendo executados simultaneamente e tentam consumir stdin ao mesmo tempo:

gpg --no-symkey-cache --pinentry-mode loopback --decrypt sensitive.gpg | gpg --encrypt --symmetric --pinentry-mode loopback --output sensitive.gpg

Antes de digitar qualquer senha, aqui está a saída:

gpg: AES256.OCB encrypted session key
Enter passphrase: Enter passphrase:

Você pode ver que ele está me pedindo a senha duas vezes.

E aqui estão os processos em execução:

$ ps | grep gpg
49716 ttys002    0:00.02 gpg --no-symkey-cache --pinentry-mode loopback --decrypt sensitive.gpg
49717 ttys002    0:00.01 gpg --encrypt --symmetric --pinentry-mode loopback --output sensitive.gpg

Existe alguma solução para gpg --encryptesperar que o programa gpg --decryptfaça seu trabalho?

Gostaria de adicionar um editor vipeentre esses dois comandos.

Na verdade, habilitei a ID de chave GPG externa para minha conta de e-mail, para que eu possa descriptografar/assinar sem problemas.

No entanto, descobri que não posso usar a chave pública no meu chaveiro do sistema agora. Descobri isso hoje porque importei novas chaves. Não consigo lembrar que precisei fazer algo especial antes, mas agora, aparentemente, o Thunderbird não consegue ver as novas chaves no meu ~/.gnupg.

Existe uma maneira de importar todas as chaves públicas?

Posso formatar a unidade criptografada do BitLocker sem desbloqueá-la. Mas vi muitos artigos na internet que dizem que não consigo. Há algum dano à minha unidade se eu formatá-la no estado bloqueado? Ansioso por sua resposta.

Estavam faltando algumas senhas de algumas contas antigas, quando me lembrei que tinha feito um backup do meu disco na época. Lá, encontrei um ~/.local/share/password-storediretório no qual minhas senhas foram criptografadas pelo passgerenciador de senhas. Eu também encontrei os diretórios ~/.gnupge ~/.local/share/gnupg.

Minha dúvida é: é possível descriptografar e recuperar as senhas do backup? Parece que deveria, mas minhas tentativas de uso gpg --importnão tiveram sucesso.

Resumindo, ao tentar converter meu SSD externo de exFAT para NTFS, estraguei alguma coisa e acabei corrompendo uma pasta cheia de arquivos criptografados por EFS. Posso ver os arquivos, mas acessá-los no Windows gera um erro ( Make sure a disk is in the drive you specified). Porém, usando Linux, consigo acessar os arquivos, independentemente do PFILEformato. Se eu tentar copiar os PFILEarquivos para o Windows, ele não os verá como criptografados e, portanto, não terá a opção de descriptografá-los. Existe alguma maneira de descriptografá-los ou estou ferrado?

Editar: descobri que ao criar ou mover um arquivo criptografado para uma unidade exFAT, o arquivo possui uma PFILEextensão (visível apenas no Linux). No entanto, em uma unidade NTFS, o arquivo tem sua extensão normal (no Windows e no Linux). No entanto, isso não deve afetar a descriptografia, já que consegui descriptografar outros arquivos da mesma unidade exFAT com sucesso.

Converti minha id_rsachave privada para o formato RSA usando

ssh-keygen -p -m PEM -f ~/.ssh/id_rsa

explicado nesta resposta .

Em seguida, adicionei alguns aliases úteis que me permitirão criptografar e descriptografar dados com meus próprios arquivos de identidade:

alias encrypt='openssl pkeyutl -encrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -pubin -inkey <(ssh-keygen -e -f "$HOME/.ssh/id_rsa.pub" -m PKCS8)'
alias decrypt='openssl pkeyutl -decrypt -pkeyopt rsa_padding_mode:oaep -pkeyopt rsa_oaep_md:sha256 -inkey "$HOME/.ssh/id_rsa"'

Agora posso fazer:

echo foobar | encrypt > test.enc
cat test.enc | decrypt

Ele será impresso foobar, mas test.encpoderá ser armazenado sem exposição foobar. Certamente existem maneiras melhores de fazer isso, mas a razão pela qual tento fazer isso é para me livrar de qualquer solicitação de senha.

O meu id_rsaé protegido por senha, mas inicio minha sessão de terminal com ssh-adda qual solicita minha senha de senha apenas uma vez, para que, quando eu usar ssh(incluindo git), não precise inserir minha senha novamente.

Porém, o mesmo não pode ser dito do openssl pkeyutl -decrypt, ele solicitará uma senha sempre que eu usá-lo, o que faz sentido, pois opensslé a ferramenta subjacente usada pelo openssh.

Independentemente disso, existe alguma maneira de usar a ssh-addsessão para openssl?

Especificamente, estou perguntando se o texto cifrado pode incluir uma sequência de bytes como 170303, que é um possível cabeçalho de registro TLS.

Normalmente, o aplicativo que analisa o fluxo de bytes TCP delimita o registro TLS analisando o cabeçalho e extraindo o comprimento em octetos do 4º e 5º byte após o início do cabeçalho. Então, presumo que ele avance e tente ler o próximo registro no deslocamento calculado pelo cabeçalho analisado anteriormente.

Minha pergunta é: a implementação do AES 256 GCM para TLS 1.3 impôs alguma restrição à saída de criptografia? A RFC não faz menção a isso. Pode haver um registro TLS que comece com um header 170303xxxx, mas também tenha 170303como parte de seu texto cifrado?

Eu tenho um diretório em meu diretório pessoal que é criptografado com eCryptfs. De alguma forma, ele foi corrompido e não consigo ler nenhum dos arquivos no diretório. Não estou inclinado a tentar consertá-lo, pois tenho um backup muito recente.

Então, copiei o backup para o meu diretório pessoal, por exemplo:

mv directory directory.corrupted
cp /mnt/backup/directory /home/user/directory

Agora, quando tento usar ecryptfs no diretório não criptografado que acabei de copiar, ele apenas o monta sem uma mensagem de erro, mas os arquivos se tornam ilegíveis (e se tornam legíveis quando eu o desmonto). De alguma forma, preciso ser capaz de dizer ao eCryptfs que estou recomeçando com esse nome de diretório e ele precisa ser criptografado novamente.

Eu poderia, suponho, apenas criptografar com um nome de diretório diferente, mas tenho scripts etc. que o usam e não quero editá-los.

Como um aparte, tenho outros diretórios que também são criptografados com eCryptfs, e todos eles montam e desmontam bem. Isso é limitado a apenas um dos meus diretórios criptografados.

Estou executando o Ubuntu 23.04 em um laptop MSI, KDE plasma 5.27.4.

uname -a

Linux mybox 6.2.0-26-generic #26-Ubuntu SMP PREEMPT_DYNAMIC Mon Jul 10 23:39:54 UTC 2023 x86_64 x86_64 x86_64 GNU/Linux

Gostaria de ativar a criptografia do BitLocker em um computador remoto ao qual não tenho acesso físico. O que eu tenho medo é que:

• O sistema operacional não conseguirá inicializar após habilitar o BitLocker (por exemplo, ficará travado em alguma tela pedindo senha, chave ou algo parecido e precisará de um acesso físico)
• O sistema operacional criptografará todas as unidades, não apenas várias delas selecionadas por mim
• O sistema operacional criptografará automaticamente todas as unidades conectadas no futuro

Até que ponto esses medos são justificados?

Digamos que eu tenha um contêiner de arquivo não criptografado; Executei mkfs.ext4 em algum arquivo. Agora, digamos que fiz backup deste arquivo no Dropbox e estou usando o rclone para montar ativamente o diretório que contém este contêiner de arquivo em 2 computadores.

Posso montar com segurança esse contêiner de arquivo e começar a gravar arquivos nesses computadores simultaneamente? O que aconteceria?

Agora, supondo que a operação acima seja segura, eu seria capaz de fazer o mesmo com uma tumba ou contêiner criptografado luks? Eu realmente quero fazer isso porque parece super conveniente, mas sinto cheiro de perigo.