Linuxを介したZipファイルの最高の安全な暗号化

12

コマンドラインターミナルを使用してLinux / Ubuntu経由で圧縮されたファイルに高度に安全な暗号化を使用したいのですが、このジョブを実行するのに最適なコマンドラインツールは何ですか？

zip -e -P PASSWORD file1 file2 file3 file4

または

7za a file.7z *.txt -pSECRET

どの暗号化が使用され、どの程度安全ですか？

— ダニエル
ソース

とにかく暗号化はファイルを圧縮します。堅牢な暗号化がファイルサイズよりも重要な場合は、GPGの使用を検討する必要があります。

— イアン

4

@Iain：GPGには当てはまりますが、すべての暗号化ツールには当てはまりません。動作方法は、何かを暗号化すると、ランダムデータのように見え、圧縮可能ではありません（または、少なくとも暗号化が適切であれば、ほとんど圧縮できません）。圧縮および暗号化する場合は、まず圧縮を行い、圧縮データを暗号化します。一部のツール（GPGなど）はこれを自動的に行いますが、それは暗号化ではなくツールの機能であることを理解しています。

— いんちきキホーテ

@Iain：ありがとう。GPGが自動的に圧縮を行うことを知りませんでした。GPGに関するこの記事で発見しました（「暗号化されたTarball」セクションを参照）：linuxjournal.com/article/8732

— quack quixote

IIRC GPGによって行われる圧縮は、圧縮率と速度の適切な妥協点であるデフォルト設定のgzipです（または類似しています）。送信するデータが非常に大きく、接続が低速で送信される場合、最初に7zipを使用することでメリットが得られますが、同じデータを圧縮するにはかなり長い時間がかかるため、GPGの組み込みの圧縮サポートを見つけることができますより便利です。

— デビッドスピレット

あなたは本当にpsや履歴ファイルから読み取ることができるコマンドラインにあなたの秘密を置きたくありません。

— サミュエルエドウィン区

9

（7z形式の）7zipが提供する圧縮は、「標準」の方法やzip形式のファイルの暗号化よりも安全です（その多くは何年も前のもので、ほとんど安全ではありません）。いずれの場合も、適切なパスワード/キーを選択したことを確認してください。パスワードを誤って選択すると、すべての暗号化技術が辞書/推測攻撃を受けやすくなります。

ファイルを暗号化して他の誰かに送信する場合、GPGの方が良いでしょう（https://help.ubuntu.com/community/GnuPrivacyGuardHowtoを参照してください）一部のUbuntu固有のメモ、または他の多くの同様のリソースのGoogle）に送信する相手がGPG / PGP /互換を使用する能力がある（または既に使用している）場合。標準のGPGツールはコマンドライン駆動であるため、定期的にファイルをアーカイブしていて自動化する場合は、スクリプトを簡単に操作できます。これは公開鍵ベースであるため、公開鍵で暗号化し、結果ファイルのロックを解除するために必要な秘密鍵しか持っていないため、暗号化された人でも安全な手段で受信者に鍵を取得しようとする問題を取り除きますそもそもファイルを復号化することはできません）。paranoia ++の場合、アーカイブを作成するときに7zipで暗号化し、次にGPGを介して受信者の公開キーで暗号化します。

— デビッド・スピレット
ソース

5

Ubuntuの標準のzipについては定かではないので、どちらが「最良」であるかを言うことはできませんが、7-Zipが使用しているものは次のとおりです。

7-Zipは、AES-256アルゴリズムを使用した暗号化もサポートしています。このアルゴリズムは、256ビットの長さの暗号キーを使用します。そのキーを作成するために、7-ZipはSHA-256ハッシュアルゴリズムに基づく派生関数を使用します。キー派生関数は、ユーザーが定義したテキストパスワードから派生キーを生成します。パスワードの徹底的な検索のコストを増やすために、7-Zipはテキストパスワードから暗号キーを生成するために多数の反復を使用します。

— Ƭᴇcʜιᴇ007
ソース

3

zipmanページから：

   -P password
   --password password
          Use password to encrypt zipfile entries (if any).  THIS IS INSECURE!  Many multi-user operating systems provide  ways
          for  any  user  to  see  the  current command line of any other user; even on stand-alone systems there is always the
          threat of over-the-shoulder peeking.  Storing the plaintext password as part of a command line in an automated script
          is  even  worse.  Whenever possible, use the non-echoing, interactive prompt to enter passwords.  (And where security
          is truly important, use strong encryption such as Pretty Good Privacy instead of the relatively weak standard encryp-
          tion provided by zipfile utilities.)

その結果、zipプロセスに時間がかかると、システム上の別のユーザーが入力されたコマンド（パスワードを含む）を見ることができる可能性があります。おっとっと。おそらくこれは.7zソリューションにも当てはまります。

— みすぼらしい
ソース

0

GnuPGで十分でしょう。しかし、あなたの人生がそれに依存している場合、私は少し懐疑的です。ワンタイムパッドを使用します。パッドの生成方法や保護方法については説明しませんが、セキュリティの低いメールにはGPGを使用します。一度だけファイルを暗号化してからGPGで暗号化されたメールに添付することがあります。

はい、私は人々が生命を脅かすことまで安全であることに依存しなければならないという情報を送ります。

— ルフス
ソース