Tomb | virx blog

A Tomb egy meglévő eszközöket (LUKS, GPG) hasznosító zsh-szkript, amellyel mappaként mountolható, titkosított fájlokat kezelhetünk.

Debianon repóból telepíthető, de maga a Tomb egyetlenegy fájlból áll, letölthető a fejlesztőtől. (Természetesen nem töltünk le és futtatunk szkripteket csak azért, mert valaki azt írta az interneten. ;)

# zypper in zsh gpg2 cryptsetup pinentry-qt5
$ wget https://files.dyne.org/tomb/Tomb-2.7.tar.gz
$ tar xzf Tomb-2.7.tar.gz
$ cd Tomb-2.7
# make install

Megjelent az /usr/local/bin/tomb szkript. A használata: létrehozunk egy kötetet megadott mérettel (dig), amely bővíthető. Létrehozunk egy jelszóval is védett kulcsfájlt (forge), amelyet hozzárendelünk a kötethez (lock). Mountoljuk a kötetet (open) /run/media/myuser/docs alá, innentől úgy fog viselkedni, mint egy pendrive. Ha létezik titkosítatlan swap partíciónk/fájlunk, akkor azt vagy ki kell kapcsolni a forge és az open parancsok használatakor, vagy a -f opcióval kell kiadnunk e parancsokat.

$ tomb dig docs.tomb -s 10
# swapoff -a
$ tomb forge docs.tomb.key
$ tomb lock docs.tomb -k docs.tomb.key
$ tomb open docs.tomb -k docs.tomb.key
$ mv ~/titkaim.md /run/media/myuser/docs
$ tomb close docs
# swapon -a

Nagyszerű, de hogyan és mire használjuk ezt a gyakorlatban? A kulcsot értelemszerűen nem a kötet mellett – sőt nem is ugyanazon a gépen – tároljuk majd. Lehetséges elrejteni létező helyi képfájlba is, ami érdekes megoldás, de szerintem nem sokat ér (a historyban nem maradhat nyoma, ami rendszeres használat esetén túlzott odafigyelést igényel). Ha az oprendszered kompromittálódott, akkor a Tomb sem fog megmenteni. A laptopod ellopása esetén viszont szélesebb körű védelmet nyújt a full disk encryption, bár a semminél sokkal jobb, ha legalább a fontos dokukat (és metaadataikat is) legalább jelszó védi (még ha a kulcsot meg is szerzik, mert pl. a laptoptáskában tartottad pendrive-on).

A Tomb leginkább akkor jöhet jól, ha egy távoli vagy megosztott gépen, illetve felhőben tárolsz kiemelten érzékeny adatokat, és biztosra akarsz menni a tekintetben, hogy azokat semmiképp ne láthassák a gép üzemeltetői vagy más felhasználói. Erre alternatíva a Cryptomator és az encrypted Borg repo.

Egy másik lehetséges alkalmazási terület, amikor emailben, Wetransferen, pendrive-on stb. küldesz tomb fájlt valakinek, aki már rendelkezik a kulccsal. Itt a gpg vagy a 7zip jöhet még szóba:

$ 7z a \
    -t7z -m0=lzma2 -mx=9 -mfb=64 -md=32m -ms=on -mhe=on -p \
    docs.7z Documents

E förmedvényhez persze érdemes aliast csinálni, és akkor pl. ennyiből tart használni:

$ 7zenc docs.7z Documents