Самый простые способы шифрования папок?

7zip

• https://gnupg.org/ - если хочется устаревшего антиквариата и нужно общаться с админами в свитерах с оленями.
• https://github.com/FiloSottile/age - если нужно что-то посовременнее и поприличнее.

Если кому-то хочется пофлеймить про GnuPG, предлагаю сначала прочесть https://latacora.micro.blog/2019/07/16/the-pgp-problem.html

7zip не умеет криптографию с открытым ключом и потому применим только в ограниченном наборе сценариев.

Про шифрование «папок» в общем случае правильно советуют gpg, но для

какие де-факто утилиты в Линуксе используются для [шифрования при заливке в облако]?

правильным ответом будет «шифрование, встроенное в софт для монтирования этих самых облаков».

7zip не умеет криптографию с открытым ключом

Не умеет и не надо. Зачем асимметричная криптография ТСу?

gocryptfs на Linux, cppcryptfs на Windows

либо

cryfs на обеих системах

rclone. И работа с облаками и шифрование из коробки.

Пароль на zip’е наверно

Для того, чтобы не иметь приватного ключа там, где выполняется шифрование.

В кедах есть vault. Контейнеры размазанные по нескольким файлам

перед их заливкой в облако-диск, надо бы зашифровать

Если используется автосинхронизация, то удобно пользовать encfs (кажется так), она криптует каждый файл отдельно и можно не перезаливать всё.

Можно слегка попердолиться с VeraCrypt и получить то, что ты хочешь. Вкратце: создай криптоконтейнер, подмонтируй его и перенеси туда файлы. Сам контейнер залей в облако. Под виндой его можно как диск подключить будет, только выбери соответствующую ФС для него.

шифрования папок

Впервые вижу, не вступал, анализ ДНК сдавать отказываюсь.

Если кому-то хочется пофлеймить про GnuPG, предлагаю сначала прочесть https://latacora.micro.blog/2019/07/16/the-pgp-problem.html

Суть того поста: GnuPG – архаичное говно, но других универсальных вариантов нет. Пользуйтесь Signal. Базы отпечатков ключей не нужны и key signing parties тоже. Пользуйтесь Signal. Почту нет смысла шифровать ибо найдётся дебил, который процитирует шифрованый текст в открытом виде. Пользуйтесь Signal. Для цифровых подписей можно взять утилиту из OpenBSD (если её нет у вашего корреспондента, то он ССЗБ). Пользуйтесь Signal. Короче, для каждого случая пользуйтесь специализированной утилитой, которая не факт что есть у других (это их проблемы) и, да, пользуйтесь Signal.

для облачных хранилищ удобно (именно удобно, не наиболее взломобезопасно, хотя и вполне сносно, если не параноик) использовать encfs, crypts и всякое такое. их там много разных, есть кроссплатформенные тоже. это чтоб не заморачиваться и тупо кидать горы разноформатных файлов или каталоги с получением определенной степени защиты взамен. с другой стороны, если у тебя там в основном архивы, то просто архивируй с паролем.

В Линуксе есть несколько утилит, которые можно использовать для шифрования файлов и папок перед заливкой их в облако-диск. Одной из самых популярных утилит является GnuPG (GNU Privacy Guard). Другой популярной утилитой является CipherShed, это также бесплатная и свободная утилита для шифрования файлов, которую также можно установить с помощью стандартных средств пакетного менеджера.

А хер с ним, давайте про GnuPG пофлеймим!

Да, GnuPG устарел и полон косяков, но универсальной альтернативы нет и не предвидится. Современные криптоиксперды только ноют и пишут свои велосипеды, причём кто в лес, кто по дрова. Универсальностью вообще не пахнет. Нужно хранить туеву хучу всяких ключей, паролей, криптофраз и прочего говна вместо того, чтобы записать на аппаратный токен свой закрытый PGP ключ и всё им подписывать/шифровать.

Эти засранцы (криптоиксперды) критикуют PGP за раздутость и подверженность уязвимостям, но вместо того чтобы предложить что-то дельное, плодят сущности и увеличивают поле возможных ошибок ещё больше.

tar + openssl encypt

Потому что написать 1000 строк строгого, математически корректного, отлаженного кода может 10000 человек в мире, и они этой хрней не занимаются, они занимаются другой хрней.

минимально 7зип.
для эффективности и скорости encfs (есть проекты encfs под виндовс).
для мозгодрочества смотри остальную часть треда :)

securefs. Этот инструмент есть также в Виндовс.

Да, GnuPG устарел и полон косяков, но универсальной альтернативы нет и не предвидится.

Собственно, поэтому нынешние разработчики GnuPG и делают в последнее время внедрение за внедрением, причем в качестве СКЗИ в немецких госучреждениях: GnuPG «худший» сугубо в черчиллёвском понимании.

перед их заливкой в облако-диск, надо бы зашифровать

У enfcs есть режим шифрования в обратную сторону. То есть на диске хранятся данные в открытом виде, а encfs представляет псевдо-фс, где все файлы зашифрованы. Само преобразование происходит на лету, во время доступа. Это для тех случаев, когда шифрование всего локально почему-то делать не хочется, но нужно зашифровать данные, выгружаемые наружу.

Папки, или .tar-ы, перед их заливкой в облако-диск

Если это резервное копирование, то тебе, похоже, нужен BorgBackup. Там есть и шифрование, и дедупликация, и инкрементальный бекап.

Не умеет и не надо. Зачем асимметричная криптография ТСу?

Как зачем??? ТС что, не человек уже совсем?

Каждый ТС желает стать тем, кто пользуется асимметричной криптографией.

Спросил же про простой способ, который де-факто!

А получилось - штук 10 утилит, на любой вкус :) И какая лучше - хрен поймёшь.

Пользуйтесь Signal.

Session круче.

Каждый ТС желает стать тем, кто пользуется асимметричной криптографией.

Раз ТС озаботился асимметричным шифрованием, то он должен знать, что китайцы на днях презентовали бюджетный персональный «квантовый» компьютер и что до применения принципа «сохрани сейчас, а расшифруешь немного позже» похоже время несколько сократилось.

Папки, или .tar-ы, перед их заливкой в облако-диск, надо бы зашифровать.

ФС в облаке для хранения файлов – дикая переплата. API большинства провайдеров object storage предусматривают client-side encryption. Поэтому смотрите их документацию.

Бесполезный тред, так и не понял, что надо использовать.

Мне кажется, отсутствие стандартов дефакто, которые легко и удобно применять кроссплатформенно – дело рук спецслужб и закулисы.

Охеренная прога: требует номер телефона. А если я в тундре?

Де факто, которое везде используется в *nix это openssl и GPG, все остальное крайне редко используемая херня

Папки шифруются просто: «папка ушел в гараж». Папка — подлежащее, ушел — сказуемое, в гараж — предлог.

Да, GnuPG устарел и полон косяков, но универсальной альтернативы нет и не предвидится.

Современное понимание реализации криптографических протоколов состоит в том, что не нужно делать черезмерно сложных комбайнов, претендующих на универсальность. Комбайны сложные, а потому в них немало проблем. Про PGP написано в статье, на которую я сослался, но есть и другие комбайны, например, ASN.1 или IPsec. Сложность IPsec, который порывается совместить согласование криптографических алгоритмов, ключей, параметров эллиптических кривых или колец вычетов, привела к появлению wireguard. Там есть только версия протокола, которая определяет всё.

Сложность PGP привела к замене его на кучу утилит просто потому, что PGP сложнее IPsec (постарались!), опять же они перечислены в статье, кроме age.

Современные криптоиксперды

Я посмотрел, и signify сделан поверх кода DJB прямиком из reference implementation ed25519. DJB - самый настоящий эксперт в криптографии. Age сделан Filippo Valsorda, мейнтейнером криптографии в Golang. Он тоже самый настоящий эксперт.

вместо того, чтобы записать на аппаратный токен свой закрытый PGP ключ и всё им подписывать/шифровать.

Нет. Во-первых, одного ключа недостаточно, потому, что разные алгоритмы требуют разных ключей. Даже в PGP, если не пользоваться им, как в девяностых, рекомендуется делать подключи для шифрования, которые можно менять, а отдельно использовать identity keys, которыми не нужно расшифровывать ничего подозрительного (заодно, RSA sucks), и они долгоживущие, у них нет свойства PFS (не говоря уже про double ratchet, как в Signal), и это всё просто позорно с точки зрения современной криптографии.

Нужно хранить туеву хучу всяких ключей, паролей, криптофраз и прочего говна

У меня никогда не было нужды хранить говно, так что тут ничего посоветовать не могу. А для хранения ключей современные смарт карты дают несколько слотов. Иногда даже несколько десятков. Но долговременных секретов мало, нередко всего один identity key, который для шифрования не используется, потому, что есть IES.

В общем, PGP был неплох для своего времени, но прогресс на месте не стоит. Не стоит им пользоваться в 2022 году.

Не стоит им пользоваться в 2022 году.

Так, а чем стоит, на самый главный вопрос не ответил :)

и всё это просто позорно с точки зрения баззвордов

Так, а чем стоит, на самый главный вопрос не ответил :)

Ответил в самом первом сообщении:

https://github.com/FiloSottile/age - если нужно что-то посовременнее и поприличнее.

Если ты не в теме, то это базворды, разумеется. Но тогда твое мнение ценность имеет примерно нулевую.

openssl.

Но ты должен понимать, что заливая файлы в облако, ты отдаешь их чужому дяде по дефолту.

Легли всей серверной.