Priviy
chiffrement-cloudINFO

rclone crypt 2026: cifra os teus ficheiros na nuvem do lado do cliente antes do upload

O rclone crypt é uma sobrecamada de cifragem do lado do cliente que cifra o conteúdo dos ficheiros (e, opcionalmente, os seus nomes) antes de saírem da tua máquina, tornando zero-knowledge qualquer um dos 70+ fornecedores de nuvem geridos pelo rclone. Guia 2026: como cifra, os passos de configuração, os modos de nomes, a armadilha do rclone.conf e a comparação com o Cryptomator.

Por Eric Gerard · Editor · Priviy7 min de leitura

O essencial

O rclone crypt é uma sobrecamada de cifragem do lado do cliente integrada no rclone, a ferramenta open source de linha de comandos que gere e sincroniza ficheiros em 70+ fornecedores de nuvem. O backend crypt envolve outro remote e cifra o conteúdo dos teus ficheiros - e, opcionalmente, os seus nomes - na tua própria máquina antes do upload, e depois decifra-os no download. O fornecedor só armazena dados cifrados. Isto torna zero-knowledge qualquer nuvem para a qual o apontes.

A quem se destina? A qualquer pessoa à vontade num terminal que queira uma cifragem programável por scripts e automatizável: backups cifrados noturnos, um servidor headless sem interface, ou simplesmente adicionar cifragem do lado do cliente por cima de um fornecedor - Google Drive, Backblaze B2, S3, OneDrive - sem modo zero-knowledge nativo. Se preferes não tocar na linha de comandos, o Cryptomator cobre o mesmo objetivo com um cofre gráfico, e comparamos os dois mais abaixo.

Este guia explica exatamente como o rclone crypt cifra, como o configurar passo a passo, os modos de nomes e uma armadilha honesta que a maioria dos tutoriais ignora: a forma como o rclone.conf guarda a tua palavra-passe.

Como cifra (conteúdo e nomes)

O rclone crypt faz todo o seu trabalho localmente, com primitivas documentadas:

  • O conteúdo dos ficheiros é cifrado com XSalsa20-Poly1305, a cifra autenticada da construção NaCl SecretBox. Autenticada significa que qualquer adulteração é detetada no download.
  • A chave de cifragem é derivada da tua palavra-passe através de scrypt (uma função de derivação memory-hard), com uma segunda palavra-passe opcional - chamada sal, ou password2 - para a reforçar.
  • Os nomes dos ficheiros, no modo standard predefinido, são cifrados com EME (um modo AES de bloco largo), por isso um caráter alterado em qualquer sítio muda todo o nome cifrado.

O que continua visível para o fornecedor com a cifragem completa ativada: aproximadamente o tamanho de cada ficheiro cifrado e o número de ficheiros. Não o conteúdo, não os nomes. É o mesmo princípio - deslocar a confiança para uma palavra-passe local - que sustenta toda a cifragem do lado do cliente.

O ecrã de um computador a mostrar comandos de terminal e código-fonte
O ecrã de um computador a mostrar comandos de terminal e código-fonte

Configurar o rclone crypt (passos de config)

A configuração assenta em dois remotes: um remote base que fala com a tua nuvem, e um remote crypt que o envolve. Comandas tudo através de rclone config.

  1. Cria o remote base. Executa rclone config, escolhe n (novo remote), dá-lhe um nome (ex. gdrive) e segue as indicações do fornecedor (OAuth para o Google Drive, chaves para S3/B2, etc.).
  2. Cria o remote crypt. Executa de novo rclone config, n para novo, dá-lhe um nome (ex. secret) e escolhe o backend crypt.
  3. Aponta-o para um sub-caminho do remote base, para que os blobs cifrados aterrem numa pasta dedicada:
remote> gdrive:encrypted
  1. Escolhe os modos de cifragem dos nomes de ficheiros e pastas (ver a secção seguinte), depois define uma palavra-passe e, opcionalmente, uma segunda palavra-passe (sal). Podes deixar o rclone gerar uma forte e aleatória.

Assim que o remote secret: existir, cifrar e carregar é um único comando:

rclone copy ~/files secret:

Tudo o que é escrito em secret: é cifrado localmente e armazenado em gdrive:encrypted. A leitura de volta (rclone copy secret: ~/restore) decifra de forma transparente. O mesmo esquema funciona com rclone sync, rclone mount e qualquer outro comando rclone.

Modos de cifragem dos nomes

Ao criar o remote crypt, o rclone pergunta como tratar os nomes dos ficheiros. Três modos:

ModoO que fazCompromisso
standardCifra os nomes com EME (AES) - o predefinidoPrivacidade máxima; nomes cifrados mais longos
obfuscateUma baralhação mais leve dos nomesMais rápido, nomes mais curtos, mais fraco que standard
offOs nomes mantêm-se legíveisNenhuma privacidade dos nomes; a estrutura é exposta ao fornecedor

A cifragem dos nomes de pastas é uma opção sim/não distinta. Ativá-la esconde também a tua árvore de pastas do fornecedor. Se puseres tanto a cifragem dos nomes de ficheiros como a das pastas em off, só o conteúdo do ficheiro fica protegido e o fornecedor consegue ver toda a tua estrutura de pastas - metadados úteis para um atacante, por isso prefere standard a menos que tenhas uma razão específica para não o fazer.

A armadilha do rclone.conf (palavra-passe ofuscada)

É a advertência que a maioria dos guias ignora, e ela importa. Por predefinição, o rclone guarda a tua palavra-passe crypt no rclone.conf ofuscada - não fortemente cifrada. A ofuscação é reversível: qualquer pessoa que consiga ler o ficheiro pode recuperar a palavra-passe (rclone reveal faz exatamente isso). Um rclone.conf que vaza expõe, portanto, a tua chave de cifragem.

Duas coisas a fazer:

  1. Define uma palavra-passe de configuração. Em rclone config, escolhe Set configuration password (s). Isto cifra todo o ficheiro rclone.conf, para que a palavra-passe crypt ofuscada deixe de ser legível sem essa palavra-passe de configuração.
  2. Tranca o ficheiro. Restringe as permissões (chmod 600 rclone.conf), mantém-no fora de locais partilhados ou guardados em claro, e trata-o como um segredo em qualquer servidor headless.

E uma regra sem contornos: se perderes a palavra-passe crypt, os teus dados são irrecuperáveis. Não há reposição, não há chave de recuperação, não há linha de apoio. Guarda a palavra-passe num gestor de palavras-passe com uma cópia offline cifrada.

rclone crypt vs Cryptomator (qual escolher)

Ambos são open source, do lado do cliente e zero-knowledge. A diferença é a interface e o fluxo de trabalho, não o modelo de segurança.

rclone cryptCryptomator
InterfaceLinha de comandos (CLI)Gráfica (GUI)
Modelo de acessoComandos rclone / rclone mountMonta um cofre como unidade virtual
Ideal paraServidores headless, backups automatizados, scriptingUso desktop e móvel interativo
FornecedoresQualquer um dos 70+ remotes do rcloneClientes de nuvem (Dropbox, Drive, iCloud, pCloud, OneDrive…)
Apps móveis oficiaisNãoSim (iOS + Android)
Open sourceSimSim
Zero-knowledgeSimSim

Escolhe o rclone crypt se automatizas backups, geres uma máquina headless ou queres cifrar por cima de qualquer remote rclone a partir da linha de comandos. Escolhe o Cryptomator se queres um cofre para montar com um clique, também aberto no telemóvel. Não são rivais - muita gente usa o rclone crypt para os backups de servidor e o Cryptomator para os ficheiros desktop do dia a dia. Para escolher o fornecedor a colocar por baixo de qualquer uma das ferramentas, vê a nossa panorâmica dos serviços de armazenamento cloud cifrado.

Conclusão

O rclone crypt transforma qualquer um dos 70+ fornecedores de nuvem num alvo zero-knowledge com primitivas comprovadas - XSalsa20-Poly1305 para o conteúdo, scrypt para a chave, EME para os nomes. É a ferramenta certa quando queres uma cifragem do lado do cliente automatizável e programável por scripts, sobretudo num servidor. As duas coisas a acertar são honestas: escolhe a cifragem de nomes standard a menos que tenhas uma razão para não o fazer, e protege o rclone.conf com uma palavra-passe de configuração, porque a palavra-passe crypt aí guardada está apenas ofuscada, não cifrada. Faz isso, mantém um backup seguro da palavra-passe, e tens uma cifragem do lado do cliente que sobrevive a uma violação ou a uma intimação junto do fornecedor.

FAQ

As perguntas mais comuns são abordadas no bloco FAQ estruturado acima (também mostrado no rich snippet do Google): o que é o rclone crypt e a quem se destina, a criptografia que usa, a cifragem dos nomes de ficheiros e pastas, a segurança da palavra-passe dentro do rclone.conf, e a comparação com o Cryptomator.

Perguntas frequentes

O que é o rclone crypt e a quem se destina?
O rclone crypt é um backend (uma sobrecamada) do rclone, a ferramenta open source de linha de comandos que sincroniza ficheiros em 70+ fornecedores de nuvem. O crypt envolve outro remote e cifra o conteúdo dos teus ficheiros (e, opcionalmente, os seus nomes) na tua máquina antes do upload, e depois decifra no download. O fornecedor de nuvem só armazena dados cifrados, por isso é zero-knowledge. Destina-se a pessoas à vontade com um terminal: quem faz backups cifrados automatizados, um servidor headless, ou quer adicionar cifragem do lado do cliente por cima de um fornecedor sem opção zero-knowledge nativa (Google Drive, Backblaze B2, S3, OneDrive e por aí adiante).
Que criptografia usa o rclone crypt?
O conteúdo dos ficheiros é cifrado com XSalsa20-Poly1305, a cifra autenticada da construção NaCl SecretBox. A chave de cifragem é derivada da tua palavra-passe através de scrypt, com uma segunda palavra-passe opcional (chamada sal, ou password2) para reforço adicional. Os nomes dos ficheiros, no modo standard predefinido, são cifrados com EME (um modo AES de bloco largo). Tudo acontece localmente antes de qualquer trânsito na rede, por isso nem o conteúdo nem os nomes chegam ao fornecedor em claro.
O rclone crypt cifra também os nomes de ficheiros e pastas?
Sim, opcionalmente. O modo de nomes predefinido é standard, que cifra os nomes dos ficheiros com EME (AES). Podes também escolher obfuscate (uma baralhação mais leve e rápida) ou off (os nomes mantêm-se legíveis). A cifragem dos nomes de pastas é uma opção separada, que podes ligar ou desligar durante a configuração. Se puseres a cifragem dos nomes de ficheiros e pastas em off, só o conteúdo fica protegido e a estrutura de pastas fica visível para o fornecedor, o que pode expor metadados.
A minha palavra-passe está segura dentro do rclone.conf?
Não por predefinição, e esta é a advertência mais importante. O rclone.conf guarda a tua palavra-passe crypt ofuscada, não fortemente cifrada. A ofuscação é reversível: qualquer pessoa que consiga ler o teu rclone.conf pode recuperar a palavra-passe com rclone reveal. Para a proteger de verdade, define uma palavra-passe de configuração através de rclone config (Set configuration password), que cifra todo o ficheiro rclone.conf. Restringe sempre as permissões do ficheiro rclone.conf e, idealmente, cifra-o. Trata esse ficheiro como um segredo.
rclone crypt ou Cryptomator - qual escolher?
Ambos são open source, do lado do cliente e zero-knowledge, por isso a escolha é sobre o fluxo de trabalho. O rclone crypt é uma ferramenta de linha de comandos: programável por scripts, perfeita para servidores headless e backups automatizados, e funciona com qualquer um dos 70+ remotes do rclone. O Cryptomator é primeiro gráfico, monta um cofre cifrado como unidade virtual e disponibiliza apps móveis oficiais para iOS e Android, o que o torna melhor para um uso desktop e móvel interativo. Se vives num terminal ou automatizas backups, escolhe o rclone crypt. Se queres um cofre para montar com um clique, também aberto no telemóvel, escolhe o Cryptomator. Muita gente usa os dois.
Choix éditorial
4.5 / 5

Adiciona cifragem zero-knowledge → pCloud Crypto

Cifragem do lado do cliente · só tu tens a chave · jurisdição suíça

Société suisse depuis 2013Satisfait ou remboursé 10jFree 10 GB
Voir l'offre