feat: Wprowadzenie formatu age dla szyfrowania

2022-11-27 22:17:32 +01:00 · 2022-11-27 22:17:32 +01:00 · b82a136fef
commit b82a136fef
parent 18c29e4621
6 changed files with 54 additions and 88 deletions
--- a/README.md
+++ b/README.md
@ -119,8 +119,6 @@ multisql encrypt pgpass.sec pgpass

 Program zapyta o nowe hasło a następnie zaszyfruje treść pliku pgpass i zapisze go do pliku pgpass.sec.

-> Uwaga: plik pgpass.sec zostanie napisany bez pytania.
-
 W konfiguracji należy ustawić plik wartość `"Passfile"` na `pgpass.sec`.

 Zaszyfrowany plik można odszyfrować i zapisać do pliku jawnego lub podejrzeć:
@ -154,4 +152,9 @@ Windows, powershell:
 $env:MULTISQLPASS = "abc"
 ```

-Użycie opcji `-P` powoduje, że zmienna środowiskowa jest ignorowana.
+Użycie opcji `-P` powoduje, że zmienna środowiskowa jest ignorowana i hasło pobierane jest z klawiatury.
+
+> Uwaga: Od wersji 0.2.3 wykorzystywany jest format szyfrowania
+> [age-encryption](https://age-encryption.org/).
+> Plik haseł można więc szyfrować i deszyftować również narzędziem
+> `age` (https://github.com/FiloSottile/age/releases/tag/v1.0.0)
--- a/cfg/params.go
+++ b/cfg/params.go
@ -129,7 +129,8 @@ plik zaszyfrować:

    multsql encrypt pgpass.encrypted  pgpass

-Hasło jest pobierane ze zmiennej środowiskowej %s lub z klawiatury, jeśli użyto opcji -P.
+Przy użyciu (odszyfrowaniu) pliku, hasło jest pobierane ze zmiennej
+środowiskowej %s lub z klawiatury, jeśli użyto opcji -P.

 `, MULTISQLPASS)

--- a/cmd/multisql/multisql.go
+++ b/cmd/multisql/multisql.go
@ -87,6 +87,7 @@ func encryption(args []string, params cfg.Parameters) {

 		err = pass.EncryptFile(password, args[1], plain)
 		if err != nil {
+			_ = os.Remove(args[1]) // jeśli błąd to usuń plik
 			log.Fatalf("Błąd szyfrowania pliku: %v", err)
 		}
 	case "decrypt":
--- a/go.mod
+++ b/go.mod
@ -3,8 +3,11 @@ module baal.ar76.eu/x/pub/multisql
 go 1.19

 require (
-	golang.org/x/crypto v0.3.0
+	filippo.io/age v1.0.0
 	golang.org/x/term v0.2.0
 )

-require golang.org/x/sys v0.2.0 // indirect
+require (
+	golang.org/x/crypto v0.3.0 // indirect
+	golang.org/x/sys v0.2.0 // indirect
+)
--- a/go.sum
+++ b/go.sum
@ -1,3 +1,5 @@
+filippo.io/age v1.0.0 h1:V6q14n0mqYU3qKFkZ6oOaF9oXneOviS3ubXsSVBRSzc=
+filippo.io/age v1.0.0/go.mod h1:PaX+Si/Sd5G8LgfCwldsSba3H1DDQZhIhFGkhbHaBq8=
 golang.org/x/crypto v0.3.0 h1:a06MkbcxBrEFc0w0QIZWXrH/9cCX6KJyWbBOIwAn+7A=
 golang.org/x/crypto v0.3.0/go.mod h1:hebNnKkNXi2UzZN1eVRvBB7co0a+JxK6XbPiWVs/3J4=
 golang.org/x/sys v0.2.0 h1:ljd4t30dBnAvMZaQCevtY0xLLD0A+bRZXbgLMLU1F/A=
--- a/pass/crypt.go
+++ b/pass/crypt.go
@ -1,109 +1,65 @@
 package pass

 import (
-	"crypto/aes"
-	"crypto/cipher"
-	"crypto/rand"
+	"bytes"
 	"fmt"
+	"io"
 	"os"

-	"golang.org/x/crypto/scrypt"
+	"filippo.io/age"
+	"filippo.io/age/armor"
 )

-func DeriveKey(password, salt []byte) ([]byte, []byte, error) {
-	if salt == nil {
-		salt = make([]byte, 32)
-		if _, err := rand.Read(salt); err != nil {
-			return nil, nil, err
-		}
-	}
-
-	key, err := scrypt.Key(password, salt, 32768, 8, 1, 32)
-	if err != nil {
-		return nil, nil, fmt.Errorf("błąd generowania klucza: %w", err)
-	}
-
-	return key, salt, nil
-}
-
-func Encrypt(key, data []byte) ([]byte, error) {
-	blockCipher, err := aes.NewCipher(key)
-	if err != nil {
-		return nil, err
-	}
-
-	gcm, err := cipher.NewGCM(blockCipher)
-	if err != nil {
-		return nil, err
-	}
-
-	nonce := make([]byte, gcm.NonceSize())
-	if _, err = rand.Read(nonce); err != nil {
-		return nil, err
-	}
-
-	ciphertext := gcm.Seal(nonce, nonce, data, nil)
-
-	return ciphertext, nil
-}
-
-func Decrypt(key, data []byte) ([]byte, error) {
-	blockCipher, err := aes.NewCipher(key)
-	if err != nil {
-		return nil, err
-	}
-
-	gcm, err := cipher.NewGCM(blockCipher)
-	if err != nil {
-		return nil, err
-	}
-
-	nonce, ciphertext := data[:gcm.NonceSize()], data[gcm.NonceSize():]
-
-	plaintext, err := gcm.Open(nil, nonce, ciphertext, nil)
-	if err != nil {
-		return nil, err
-	}
-
-	return plaintext, nil
-}
-
 func DecryptFile(password []byte, file string) ([]byte, error) {
-	data, err := os.ReadFile(file)
+	identity, err := age.NewScryptIdentity(string(password))
 	if err != nil {
-		return nil, err
+		return nil, fmt.Errorf("błąd przetwarzania hasła: %w", err)
 	}
-	salt := data[:32] //
-	data = data[32:]
-	key, _, err := DeriveKey(password, salt)
+	fd, err := os.Open(file)
 	if err != nil {
-		return nil, err
+		return nil, fmt.Errorf("błąd otwarcia pliku: %w", err)
 	}
-	return Decrypt(key, data)
+	defer fd.Close()
+
+	in := armor.NewReader(fd)
+
+	r, err := age.Decrypt(in, identity)
+	if err != nil {
+		return nil, fmt.Errorf("błąd deszyfrowania #01: %w", err)
+	}
+
+	out := &bytes.Buffer{}
+	if _, err := io.Copy(out, r); err != nil {
+		return nil, fmt.Errorf("błąd deszyfrowania #02: %v", err)
+	}
+	return out.Bytes(), nil
 }

 func EncryptFile(password []byte, file string, data []byte) error {
-	key, salt, err := DeriveKey(password, nil)
+	recipient, err := age.NewScryptRecipient(string(password))
 	if err != nil {
-		return err
+		return fmt.Errorf("błąd przetwarzania hasła: %w", err)
 	}
-	encrypted, err := Encrypt(key, data)
+	fd, err := os.OpenFile(file, os.O_WRONLY | os.O_CREATE | os.O_EXCL, 0o600)
 	if err != nil {
-		return err
-	}
-	fd, err := os.Create(file)
-	if err != nil {
-		return err
-	}
-	_, err = fd.Write(salt)
-	if err != nil {
-		return err
-	}
-	_, err = fd.Write(encrypted)
-	if err != nil {
-		return err
-	}
-	return fd.Close()
+		return fmt.Errorf("błąd tworzenia pliku: %w", err)
 	}
+	defer fd.Close()

+	out := armor.NewWriter(fd) // armor
+	defer out.Close()

+	w, err := age.Encrypt(out, recipient)
+	if err != nil {
+		return fmt.Errorf("błąd szyfrowania #01: %w", err)
+	}
+	_, err = w.Write(data)
+	if err != nil {
+		return fmt.Errorf("błąd szyfrowania #02: %w", err)
+	}
+	err = w.Close()
+	if err != nil {
+		return fmt.Errorf("błąd szyfrowania #03: %w", err)
+	}
+	return nil
+}