Безопасно зеркалировать данные NAS в шифрованном виде.

https://rclone.org/crypt/

Бэкапы надо шифровать открытым ключом. Закрытый ключ держать в условном сейфе. Если тебе просто надо зашифровать файлы, рекомендую утилиту age, простая и надёжная.

Для облаков restic лучше подходит, чем rclone.
Заметно дешевле получается, так как меньше post/get запросов.
Дедупликация, шифрование, сжатие, снапшоты.

Да, я вот тоже сейчас буду организовывать бэкапы в клауд, остановился на restic.

Плюсую restic!

Вообще то шифровать данные незаконно.

Ок. Поведай каким алгоритмом и открытым ключом зашифровать файл размером 12Gb? Неужели RSA?

Откройте форточку, душно стало.

Restic же с некоторыми облаками через rclone и работает?

Смысл в том, что с restic может получиться меньше файлов. Но если бэкапить всякие жирные файлы больше стандартного для restic pack size (16 Мб, но максимум 128 Мб), то файлов может стать и больше, чем в исходном виде. Так что уверенно советующим restic стоит быть осторожнее с такой рекомендацией.

Вообще то шифровать данные незаконно.

Не верю, что ты унижаешься бесплатно.

зависит от хранилища, но многие бесплатные прямо прописывают запрет на хранение шифрованных файлов у себя в TOS.

Во-первых, это всего лишь соглашение, и самое страшное, что тебе грозит за нарушение — удаление данных. Во-вторых, можешь показать действующий пример такого ToS? Яндекс несколько лет назад пытался запретить зашифрованные архивы, но это продержалось недолго.

Спроси у ChatGPT.

Яндекс несколько лет назад пытался запретить зашифрованные архивы, но это продержалось недолго.

Да, они довольно быстро получили ключи, так что можете складывать «шифрованные» архивы дальше :)

В чём смысл выставлять себя идиотом?

Понятно. Очередной многозвездный лоровский балабол.

А ты очередной неофит, прочитавший, что асимметричные алгоритмы надо использовать для шифрования небольших объёмов данных и теперь бегающий с этим знанием наперевес, утирая нос старым дядькам, которые про такое чудо, конечно же, не слыхали.

Насколько мне известно разработка непробекдореного шифрования в РФ запрещена.

А использовать готовое, стандартное, пробекдоренное шифрования не запрещено. Или дума нас удивила? Шифрование в цифровую эпоху - одно из основных и очень важных прав человека! Если какой-то закон РФ его нарушает дайте ссылку!!!

По теме rsync-нуть весе шифрованное блочное устройство в другой филиал/офис своейже фирмы.

Очевидно же, что имеется ввиду способ, когда ассиметричным ключём шифруется рандомный симметричный ключ.

Насколько мне известно разработка непробекдореного шифрования в РФ запрещена.

нет, конечно. разрабатывай, сколько влезет.

Ок. Поведай каким алгоритмом и открытым ключом зашифровать файл размером 12Gb? Неужели RSA?

AES со случайным ключом. а этот ключ можно уже правильно западить и зашифровать RSA. но, конечно, лучше, RSA в 2025 году уже не использовать, а использовать ECIES.

Есть идея взять облако и зеркалировать туда, но переход на NAS и локальное хранение были в первую очередь обусловлены приватностью и безопасностью, поскольку среди этих данных есть критически важные (базы с паролями, исходники, и т.д.).

Если рассматривать не только облако, но и аренду сервера, то, имхо, есть несколько вариантов, для разных стадий паранойи:

1. Отсутствие паранойи. Вариант для нормальных людей. Вы доверяете любому хостеру/облаку и просто синхронизируете содержимое локальной и удалённой файловых систем.
2. Начальная стадия паранойи. Вы подозреваете, что среди облаков/хостеров есть те, кому доверять нельзя, и тщательно выбираете того, кому доверите копию локальных данных.
3. Обострение паранойи. Вы вспоминаете, что даже у тщательно выбранного хостера, могут случаться косяки: например в используемом дата-центре может не соблюдаться протокол утилизации HDD, при котором отработавшие свой срок накопители должны быть физически уничтожены, не покидая помещение дата-центра. Вы шифруете накопитель арендованного сервера, а пароль для расшифровки вводите исключительно при подключении по ssh.
4. Острая стадия. Вы считаете, что любой хостер априори злонамерен, и добывает ключи из оперативной памяти виртуальных серверов всех своих клиентов, вооружившись дизассемблером и дебагером. Вы делаете в облаке/на сервере бекапы исключительно шифрованных контейнеров целиком. Это могут быть как шифрованные архивы, так и снимки зашифрованных накопителей. Шифрование и расшифровывание данных всегда осуществляется только на локальной системе, и никогда на удалённой.
5. Терминальная стадия. Вы вспоминаете, что хостер/облако знают Ваш реальный ip и могут вычислить Вас по данным платежей, а для дешифрования Вашего зашифрованного архива, могут использовать терморектальный криптоанализ. Вы отказываетесь от хостингов/облаков не принимающих крипту, и организуете для оплаты и доступа к удалённой системе раздельные Whonix-туннели, построенные на базе реальных, а не виртуальных машин.
6. Мания преследования / распад личности. Вы твёрдо убеждены в том, что лучший способ не выдать секрет - это не знать его. Потому Вы перезаписываете с помощью shred все накопители на сервере, сжигаете локальные накопители термитным зарядом, запираете и блокируете изнутри сейфовую дверь своего бункера в горах, уничтожив едиственный ключ тем же термитом, после чего производите аутодекортикацию головного мозга, для исключения вероятности восстановления секретных данных.

Насколько мне известно разработка непробекдореного шифрования в РФ запрещена.

нет, конечно. разрабатывай, сколько влезет.

Русский талмуд надо хоть чуточку знать, чтобы не грешить против святой руси!

Поиск альтернативных талмуду мнений – штраф ~ 50€ А вот и штрафы за поиск информации и за рекламу VPN подоспели

Просвещение русских как получить доступ к альтернативным талмуду мнениям – штраф ~ 500€ А вот и штрафы за поиск информации и за рекламу VPN подоспели

За разработку своего шифрования или своей безопасной ОС – 5 лет тюрьмы: Что должен знать специалист ИБ на старте (комментарий)

Вы шифруете накопитель арендованного сервера

А на самом деле шифровать надо на клиенте, тогда и проблем с доверием не будет.

А на самом деле шифровать надо на клиенте, тогда и проблем с доверием не будет.

Это уже следующая стадия ;)

Я для бэкапа использую borg с шифрованием. Для домашнего применения показал себя неплохо (восстанавливать всё из бэкапа не приходилось, но отдельные файлы доставал). Шифрование и дедупликация из коробки.

всё равно коап вертел на х%ю, вместе со всей святой русью. Продолжу гнить в гейропе

А я думал в гейропах одни толерасты в отношении других религий. Святая русь будет страной со самым святым населением в мире. Только представь себе святость нам ниспосланного талмуда:

• Грех все ваши гей парады.
• Грех безопасное шифрование разрабатывать и операционные системы.
• Грех просвещать русских как получить доступ к информации.
• Грех даже пытался искать информацию!

А ты такой святой талмуд и с таким святым народом, да на х%ю вертел? Вижу вас там в гейропах толерастности совсем не научили. Смотрите вы там, а то святой руси придется и гейропу откалибрировать.

А я думал в гейропах одни толерасты в отношении других религий.

а я ещё недостаточно интегрировался, но я буду толерантно вертеть, не сомневайся.

но ближе к теме, по-моему, со времён https://eprint.iacr.org/2015/812.pdf никаких новостей не было, кроме невнятного блеяния «всё не так однозначно».

бэкапить насы можно любой бэкапилкой с шифрованием, тыщи их. Вот прям Bacula, например: https://www.bacula.org/11.0.x-manuals/en/main/Data_Encryption.html - старый конь лучше борозду не испортит, чем новых двух. :) AES-CBC - странноватый выбор в 2025, ну да пох, если автор всё равно не знает, что творит.

syncthing

а я ещё недостаточно интегрировался, но я буду толерантно вертеть, не сомневайся.

Уже интересовались, потыкали аккуратно палочкой, издалека принюхались – оно.

Так что интересоваться надо очень издалека, чтобы в оно случаем не наступить, чтоб потом от тебя не воняло этой толерастной верой.

… https://eprint.iacr.org/2015/812.pdf … «всё не так однозначно».

Скопипасти если что по теме интересное.