Pandora Pocket

IT系と日常系の備忘録。三日坊主。

秘密鍵を安全に管理するためにCryptomatorを使ってみた

秘密鍵、どうやって管理してますか?

適当に.sshディレクトリに入れたまま?USBメモリーなどに格納?はたまたクラウドストレージに保管?

私はこれまで.sshディレクトリに突っ込むだけだったのですが、万が一ファイルが漏洩したり、ストレージが吹っ飛んだ時に困るので、もう少し安全な管理方法がないか考えたうえで、Dropbox上でCryptomatorを利用して暗号化することにしました。

Cryptomatorとは

Cryptomatorとは専用の仮想ドライブを作成し、その中に格納されたファイルを暗号化して保存するオープンソースのソフトウェアです。
(ただし、スマホアプリはiOS:1080円、Android:1060円の買切有料)

作成した仮想ドライブは通常のストレージと同じくドライブ文字が指定され、ファイルやフォルダを保存します。内部的にはメモリー上でファイルを復号して、WebDAV(またはDokany)経由でアクセスしているそうです。

この仮想ドライブに保存されたファイル、フォルダは暗号化されたうえで、あらかじめ指定したフォルダ(以下金庫と呼称)に保存されます。

フォルダを丸ごと一つのファイルとして暗号化するわけでなく、それぞれ暗号化するので、オンラインストレージとの相性が良いのが特徴。
また、ファイル名も暗号化されるので、ファイル名から中身を特定されないのもよさみ。

オンラインストレージにフォルダを作成、指定することで、ファイルを安全に管理することができます。

ダウンロード、インストール

公式サイトからインストーラをダウンロード
f:id:Ovis:20190515000250p:plain

インストーラを起動し、ライセンスを受諾。
f:id:Ovis:20190515000625p:plain

インストール先を指定。
f:id:Ovis:20190515000817p:plain

Dokan File System Driverは下記のWikiPediaの記事を参照。入れない場合はWebDAV接続になります。入れておくべき。


f:id:Ovis:20190515000727p:plain

インストール中、上記でチェックを入れていたらDokanインストーラーが起動するので、こちらも同様にインストール。
f:id:Ovis:20190515001107p:plain

インストール完了。
f:id:Ovis:20190515001143p:plain

起動

初回起動時はWindowsファイアーウォールが警告を出すのでアクセス許可を出しておいてください。
f:id:Ovis:20190515001231p:plain

アップデート確認はお好きなように。
f:id:Ovis:20190515001314p:plain

メイン画面。
f:id:Ovis:20190515001336p:plain

仮想ドライブの作成

メイン画面左下のプラスボタンをクリックするとメニューが表示されるので、「新しい金庫を作成」をクリック。
f:id:Ovis:20190515001438p:plain

名前を付けて保存のウィンドウが表示されるので、配置したいフォルダを開いたうえで、ファイル名欄に作成するフォルダ名を入力して保存ボタンをクリック。
f:id:Ovis:20190515001950p:plain

パスワードを設定して、金庫を作成ボタンをクリック。
f:id:Ovis:20190515002041p:plain

これで完了。
オプションからドライブ名やドライブ文字を変更可能。
f:id:Ovis:20190515002150p:plain

パスワード欄にパスワードを入力して、金庫を解錠ボタンをクリックすると、フォルダが復号されたうえで仮想ドライブとしてマウントされます。
f:id:Ovis:20190515002430p:plain

金庫を施錠ボタンを押すとアンマウントされます。
f:id:Ovis:20190515002608p:plain

こうやって仮想ドライブに保存された秘密鍵
f:id:Ovis:20190515003203p:plain

暗号化されたファイルはこのような感じで格納されてます。
f:id:Ovis:20190515002754p:plain
f:id:Ovis:20190515002817p:plain

元のファイルに対して
f:id:Ovis:20190515003326p:plain

こんな感じで中身がちゃんと暗号化されてます。
f:id:Ovis:20190515003405p:plain

別のマシンから開く

メイン画面左下のプラスボタンのメニューにある「既存の金庫を開く」を選択し、 f:id:Ovis:20190515001438p:plain

開きたい金庫にある 「masterkey.cryptomator」ファイルを選択して開くボタンをクリック。 f:id:Ovis:20190515003927p:plain

金庫の削除

単にCryptomatorから削除しようとしても、リストから消えるだけで、ファイル自体は消えません。
f:id:Ovis:20190515003709p:plain

エクスプローラで作成したフォルダごと削除すればOKです。

おわり

必要な時にだけ復号することで、オンラインストレージのバックアップ、共有を利用しつつ、安全にファイルを共有することができました。
AES-256bit暗号化方式で暗号化されているので、万が一暗号化されたファイルが流出しても今の技術レベルであれば安易に復元することは不可能なはず。

ドライブ文字の指定ができるので、.ssh/configにIdentityFileでフルパス指定しておけば、Cryptomatorを起動してパスワード入力して解錠するだけですぐ使えます。
手間というほど手間もないので、マスターパスワードさえ忘れなければ(1Passwordなどのソフトで管理しましょう)手軽に使うことができるかと。便利なもんだ。