Cifrado de archivos individuales en OS X

7

Estoy a punto de quedarme sin papel, y quiero proteger los documentos que escaneo. El caso de uso es que estaré escaneando documentos en papel, cifrando cada archivo y almacenándolos localmente y en varios destinos de copia de seguridad. He estado investigando varias ideas sobre cómo proteger esos documentos, pero necesito más orientación. Aquí están los detalles del sistema que estoy tratando de implementar:

  • La protección está en el nivel de archivo. Si alguien pone sus manos en un archivo, quiero que no puedan usarlo.
  • La seguridad de la transmisión está fuera del alcance, y se asume que la maneja cualquier sistema que transporte el archivo.
  • Los archivos se cifrarán en una Mac.
  • El descifrado debe estar lo más ampliamente disponible posible. Por ejemplo, si quiero ver un archivo en mi iPhone, debería poder usar una biblioteca existente para escribir una aplicación para hacerlo.

He analizado el uso de bibliotecas de seguridad y cifrado en OS X para hacer una herramienta liviana para esto. Soy un ingeniero de software, por lo que me siento perfectamente cómodo escribiendo mi propia aplicación, pero soy nuevo en seguridad. No me siento cómodo tomando las decisiones de seguridad sin consultar a personas que saben más que yo.

  • Consideré AES, pero luego leí sobre los modos de relleno y cifrado, y me perdí en los detalles para elegir.
  • He considerado GnuPG, pero no me gusta la idea de tener que descargar una herramienta separada. Sí, es de código abierto, pero si puedo usar la funcionalidad integrada en el sistema operativo, sería preferible.

¿Hay un enfoque recomendado para esto?

    
pregunta Halen 10.01.2016 - 08:52
fuente

1 respuesta

3

Puedes usar openssl como este:

openssl enc -e -aes-256-cbc -salt -a -in /file/to/encrypt -out /file/encrypted

Reemplaza -e con -d para descifrar. Debería funcionar tanto en OS X como en Linux, sin embargo, no sé en otros sistemas.     man openssl para enumerar las opciones y el cifrado disponible.

Editar: parece que openssl aplica pocas rondas de MD5 (no es el mejor algoritmo de hashing) a la derivación clave. Esto facilita los ataques de fuerza bruta.

Una mejor solución podría ser GnuPG (sé que solicitó una herramienta preinstalada por cierto):

Para cifrar:

gpg -c -a --cipher-algo AES256 /file/to/encrypt

Para descifrar:

gpg /file/to/decrypt
    
respondido por el Matteo 10.01.2016 - 11:59
fuente

Lea otras preguntas en las etiquetas