Linuxシステムのハードディスク全体を暗号化するのではなく、重要なファイルを暗号化したいですか？その場合、gocryptfsをお勧めします。基本的に、保存するすべてのものを暗号化および復号化するディレクトリを得ることができます。

gocryptfsはデータ漏洩防止を提供します。

プライバシーは大きなニュースです。ほぼ毎週のように、ある組織が情報漏洩を発表しています。企業は、直近のインシデントを報告するか、少し前に発生した違反を開示することになります。どちらの場合も、データが流出した人にとっては悪いニュースです。

Dropbox、Google Drive、Microsoft OneDriveなどのサービスを何百万人もの人が利用しているため、毎日絶えることのないデータの流れがクラウドに押し寄せているように見えます。データの一部（または全部）をクラウド上に保存している場合、情報漏洩が発生した場合に、機密情報や個人文書を保護するためにどのような手段を講じればよいでしょうか。

もちろん、情報漏えいはクラウドに限らず、さまざまな形で発生します。メモリースティックの紛失やノートパソコンの盗難は、小規模な情報漏えいに過ぎません。しかし、大きさは重要な要素ではありません。機密性の高いデータであれば、他人の手に渡ることで壊滅的なダメージを受ける可能性があります。

その解決策のひとつが、文書の暗号化です。従来は、ハードディスク全体を暗号化することで実現していました。これは安全ですが、コンピュータの速度が若干遅くなります。また、致命的な障害が発生した場合、バックアップからシステムを復元する作業が煩雑になることもあります。

gocryptfsシステムでは、保護が必要なディレクトリのみを暗号化し、システム全体の暗号化および復号化のオーバーヘッドを回避することができます。高速かつ軽量で、使い勝手が良い。また、暗号化されたディレクトリを他のコンピュータに移動することも容易です。そのデータにアクセスするためのパスワードさえあれば、他のコンピュータにファイルの痕跡を残しません。

gocryptfsは、軽量な暗号化ファイルシステムとして構築されています。また、FUSE（File System in User Space）パッケージを使用しているため、非 root の一般アカウントでマウントすることも可能です。これは、gocryptfsとそれがアクセスする必要のあるカーネルファイルシステムルーチンとの間のブリッジとして機能します。

gocryptfsのインストール

ubuntuにgocryptfsをインストールするには、次のコマンドを入力します。

sudo apt-get install gocryptfs

Fedoraタイプにインストールする場合。

sudo dnf install gocryptfs

Manjaroでは、この順番です。

sudo pacman -Syu gocryptfs

暗号化ディレクトリの作成

gocryptfsの美しさの一つは、非常にシンプルに使えるということです。

• 保護するファイルやサブディレクトリを含むディレクトリを作成します。
• gocryptrfsを使用して、ディレクトリを初期化します。
• マウントポイントとして空のディレクトリを作成し、暗号化されたディレクトリをそこにマウントします。
• マウントポイントでは、復号化されたファイルを閲覧・利用したり、新規にファイルを作成したりすることができます。
• 終了したら暗号化されたフォルダをアンインストールしてください。

暗号化されたデータを保持するために「vault」というディレクトリを作成し、そのために次のように入力します。

mkdir vault

新しいディレクトリを初期化する必要があります。このステップでは、ディレクトリにgocryptfsファイルシステムを作成します。

gocryptfs -init vault

パスワードが正しいことを確認するため、2回入力します。強いものを選ぶ：句読点、数字、記号を含む、関係のない3つの単語が良いテンプレートです。

マスターキーが生成され、表示されます。コピーして安全な場所に保存してください。この例では、研究用マシンにgocryptfsディレクトリを作成し、記事を書くたびに削除しています。

例として、このディレクトリのマスターキーを見ることができます。絶対にもっと秘密を守りたいですよね。もし誰かがマスターキーを手に入れたら、暗号化されたデータすべてにアクセスできてしまいます。

新しいディレクトリに切り替えると、2つのファイルが作成されていることが確認できますので、次のように入力してください。

cd vault ls -ahl

diriv "は短いバイナリファイルで、"gocryptfs.confファイル "には設定や安全に保つべき情報が含まれています。

暗号化されたデータをクラウドにアップロードしたり、小型のリムーバブルメディアにバックアップする場合は、このファイルを含めないでください。ただし、自分が管理しているローカルメディアにバックアップする場合は、このファイルを含めてもよい。

十分な時間と労力があれば、「暗号キー」と「ソルト」の項目から、以下のようにパスワードを抽出することができます。

cat gocryptfs.conf

暗号化されたカタログの読み込み

暗号化されたディレクトリは、マウントポイントにマウントされていますが、これは単なる空のディレクトリで、その中に、以下のようなギークを作りたいのです。

mkdir geek

これで、暗号化されたディレクトリをマウントポイントにマウントできるようになりました。厳密には、実際にマウントされるのは暗号化されたディレクトリにあるgocryptfsファイルシステムです。でパスワードの入力を求められます。

gocryptfs vault geek

暗号化されたディレクトリをインストールする場合、マウントポイントディレクトリを他のディレクトリと同じように使用することができます。このディレクトリで編集・作成したものは、実際にはマウントされた暗号化されたディレクトリに書き込まれます。

以下のように簡単なテキストファイルを作成することができます。

touch secret-notes.txt

それを編集し、内容を追加して、ファイルを保存することができます：。

gedit secret-notes.txt

新しいドキュメントが作成されました。

ls

以下のように、暗号化されたディレクトリに切り替えると、暗号化された名前で新しいファイルが作成されていることがわかります。名前からでは、どのファイルタイプなのかさえわからない。

cd vault ls -hl

暗号化されたファイルの中身を見ようとすると、確かに暗号化されていることがわかります。

less aJGzNoczahiSif_gwGl4eAUnwxo9CvOa6kcFf4xVgYU

下図のようなシンプルなテキストファイルは、今や解読するのは簡単ではありません。

暗号化されたディレクトリをアンインストールする

ディレクトリの暗号化が終了したら、fusermountコマンドでアンマウントします。FUSEパッケージの一部として、以下のコマンドで暗号化ディレクトリのgocryptfsファイルシステムをマウントポイントからアンマウントすることができます。

fusermount -u geek

と入力してロードポイントディレクトリを確認すると、まだ空の状態であることがわかります。

ls

あなたがしたことはすべて、暗号化されたディレクトリに安全に保存されます。

シンプルで安全

シンプルなシステムは使用頻度が高く、複雑な処理は中途半端になりがちという利点があります。gocryptfsの使用は簡単なだけでなく、安全でもあります。セキュリティのないシンプルさは、努力に値しない。

暗号化されたディレクトリは必要な数だけ作成できますが、すべての機密データを格納するディレクトリは1つだけです。また、暗号化されたファイルシステムをマウントおよびアンマウントするために、いくつかのエイリアスを作成し、さらにプロセスを簡素化する必要があるかもしれません。

関連：Linuxでエイリアスやシェル関数を作成する方法