Debian文件加密解密技巧

Debian文件加密解密技巧

一 常用工具与场景

• 对称加密：适合本地快速加密单个文件或归档，常用算法为AES-256-CBC，工具如OpenSSL enc。
• 公钥加密：适合多人分发与收件人解密，常用GnuPG（GPG）；也可用OpenSSL配合RSA公私钥。
• 归档并加密：一次性加密多个文件/目录，常用7-Zip（p7zip-full）。
• 磁盘或容器级加密：保护分区/全盘/容器，常用LUKS/dm-crypt、VeraCrypt；用户态透明加密可用EncFS/eCryptfs。
  以上工具在Debian均可直接通过 apt 安装并使用，覆盖从临时文件到长期存储的多层次需求。

二 对称加密 OpenSSL 速用

• 安装：sudo apt-get install openssl
• 加密：openssl enc -aes-256-cbc -salt -pbkdf2 -in plain.txt -out enc.bin
• 解密：openssl enc -d -aes-256-cbc -pbkdf2 -in enc.bin -out plain.txt
  要点：
• 建议始终使用**-pbkdf2**进行密钥派生，避免弱口令被暴力破解。
• 口令不要出现在命令行历史中，生产环境可用文件/密钥代理方式提供口令。
• 需要可移植的“文本”输出时，可改用**-a/-base64**编码（便于复制与传输）。

三 公钥加密 GPG 速用

• 安装：sudo apt-get install gnupg
• 生成密钥：gpg --gen-key（按向导填写姓名、邮箱与口令）
• 加密给指定收件人：gpg --output file.gpg --encrypt --recipient user@example.com file
• 解密：gpg --output file --decrypt file.gpg（将提示输入私钥口令）
  要点：
• 公钥加密便于多人协作与离线分发；私钥必须妥善保护并备份。
• 加密目录时，先打包：tar czf - dir/ | gpg --encrypt --recipient user@example.com > dir.tar.gz.gpg；解密后 tar xzf dir.tar.gz。

四 归档与磁盘级加密

• 7-Zip 归档加密
  • 安装：sudo apt-get install p7zip-full
  • 加密：7z a -pYourPass -mhe=on archive.7z file_or_dir（-mhe=on 加密文件列表）
  • 解密：7z x -pYourPass archive.7z -oout_dir
• LUKS/dm-crypt 分区/全盘加密
  • 安装：sudo apt-get install cryptsetup
  • 初始化：sudo cryptsetup luksFormat /dev/sdX
  • 打开映射：sudo cryptsetup luksOpen /dev/sdX enc
  • 格式化并挂载：sudo mkfs.ext4 /dev/mapper/enc && sudo mount /dev/mapper/enc /mnt
  • 卸载关闭：sudo umount /mnt && sudo cryptsetup luksClose enc
• 容器级与透明加密
  • VeraCrypt：跨平台容器/分区加密，适合移动介质与跨系统共享。
  • EncFS/eCryptfs：用户态透明加密，适合在现有目录上叠加加密视图，便于按需挂载与卸载。
    以上方案覆盖“文件归档加密”“分区/全盘加密”“按需透明加密”的主流场景。

五 安全实践与排错要点

• 算法与参数：优先选择AES-256-CBC配合PBKDF2；避免使用过时或不安全的模式。
• 口令与密钥：使用高强度口令并妥善备份；私钥离线保存，设置合适的文件权限（如 600）。
• 传输与存储：密文在传输/存储过程中保持完整性校验（必要时配合哈希或签名）；避免将口令写入脚本或历史。
• 模式选择：需要随机读写与文件系统级透明加密时选LUKS/dm-crypt；跨平台容器用VeraCrypt；临时共享与收件人解密用GPG；快速本地加密用OpenSSL enc。
• 常见故障排查：解密失败优先核对口令/密钥是否匹配、是否使用了正确的算法与参数；GPG 解密失败检查收件人是否对应私钥；OpenSSL 解密失败检查是否遗漏**-pbkdf2**或使用了不同的加密参数。