O essencial
O rclone crypt é uma sobrecamada de cifragem do lado do cliente integrada no rclone, a ferramenta open source de linha de comandos que gere e sincroniza ficheiros em 70+ fornecedores de nuvem. O backend crypt envolve outro remote e cifra o conteúdo dos teus ficheiros - e, opcionalmente, os seus nomes - na tua própria máquina antes do upload, e depois decifra-os no download. O fornecedor só armazena dados cifrados. Isto torna zero-knowledge qualquer nuvem para a qual o apontes.
A quem se destina? A qualquer pessoa à vontade num terminal que queira uma cifragem programável por scripts e automatizável: backups cifrados noturnos, um servidor headless sem interface, ou simplesmente adicionar cifragem do lado do cliente por cima de um fornecedor - Google Drive, Backblaze B2, S3, OneDrive - sem modo zero-knowledge nativo. Se preferes não tocar na linha de comandos, o Cryptomator cobre o mesmo objetivo com um cofre gráfico, e comparamos os dois mais abaixo.
Este guia explica exatamente como o rclone crypt cifra, como o configurar passo a passo, os modos de nomes e uma armadilha honesta que a maioria dos tutoriais ignora: a forma como o rclone.conf guarda a tua palavra-passe.
Como cifra (conteúdo e nomes)
O rclone crypt faz todo o seu trabalho localmente, com primitivas documentadas:
- O conteúdo dos ficheiros é cifrado com XSalsa20-Poly1305, a cifra autenticada da construção NaCl SecretBox. Autenticada significa que qualquer adulteração é detetada no download.
- A chave de cifragem é derivada da tua palavra-passe através de scrypt (uma função de derivação memory-hard), com uma segunda palavra-passe opcional - chamada sal, ou
password2- para a reforçar. - Os nomes dos ficheiros, no modo
standardpredefinido, são cifrados com EME (um modo AES de bloco largo), por isso um caráter alterado em qualquer sítio muda todo o nome cifrado.
O que continua visível para o fornecedor com a cifragem completa ativada: aproximadamente o tamanho de cada ficheiro cifrado e o número de ficheiros. Não o conteúdo, não os nomes. É o mesmo princípio - deslocar a confiança para uma palavra-passe local - que sustenta toda a cifragem do lado do cliente.
Configurar o rclone crypt (passos de config)
A configuração assenta em dois remotes: um remote base que fala com a tua nuvem, e um remote crypt que o envolve. Comandas tudo através de rclone config.
- Cria o remote base. Executa
rclone config, escolhen(novo remote), dá-lhe um nome (ex.gdrive) e segue as indicações do fornecedor (OAuth para o Google Drive, chaves para S3/B2, etc.). - Cria o remote crypt. Executa de novo
rclone config,npara novo, dá-lhe um nome (ex.secret) e escolhe o backendcrypt. - Aponta-o para um sub-caminho do remote base, para que os blobs cifrados aterrem numa pasta dedicada:
remote> gdrive:encrypted
- Escolhe os modos de cifragem dos nomes de ficheiros e pastas (ver a secção seguinte), depois define uma palavra-passe e, opcionalmente, uma segunda palavra-passe (sal). Podes deixar o rclone gerar uma forte e aleatória.
Assim que o remote secret: existir, cifrar e carregar é um único comando:
rclone copy ~/files secret:
Tudo o que é escrito em secret: é cifrado localmente e armazenado em gdrive:encrypted. A leitura de volta (rclone copy secret: ~/restore) decifra de forma transparente. O mesmo esquema funciona com rclone sync, rclone mount e qualquer outro comando rclone.
Modos de cifragem dos nomes
Ao criar o remote crypt, o rclone pergunta como tratar os nomes dos ficheiros. Três modos:
| Modo | O que faz | Compromisso |
|---|---|---|
standard | Cifra os nomes com EME (AES) - o predefinido | Privacidade máxima; nomes cifrados mais longos |
obfuscate | Uma baralhação mais leve dos nomes | Mais rápido, nomes mais curtos, mais fraco que standard |
off | Os nomes mantêm-se legíveis | Nenhuma privacidade dos nomes; a estrutura é exposta ao fornecedor |
A cifragem dos nomes de pastas é uma opção sim/não distinta. Ativá-la esconde também a tua árvore de pastas do fornecedor. Se puseres tanto a cifragem dos nomes de ficheiros como a das pastas em off, só o conteúdo do ficheiro fica protegido e o fornecedor consegue ver toda a tua estrutura de pastas - metadados úteis para um atacante, por isso prefere standard a menos que tenhas uma razão específica para não o fazer.
A armadilha do rclone.conf (palavra-passe ofuscada)
É a advertência que a maioria dos guias ignora, e ela importa. Por predefinição, o rclone guarda a tua palavra-passe crypt no rclone.conf ofuscada - não fortemente cifrada. A ofuscação é reversível: qualquer pessoa que consiga ler o ficheiro pode recuperar a palavra-passe (rclone reveal faz exatamente isso). Um rclone.conf que vaza expõe, portanto, a tua chave de cifragem.
Duas coisas a fazer:
- Define uma palavra-passe de configuração. Em
rclone config, escolhe Set configuration password (s). Isto cifra todo o ficheirorclone.conf, para que a palavra-passe crypt ofuscada deixe de ser legível sem essa palavra-passe de configuração. - Tranca o ficheiro. Restringe as permissões (
chmod 600 rclone.conf), mantém-no fora de locais partilhados ou guardados em claro, e trata-o como um segredo em qualquer servidor headless.
E uma regra sem contornos: se perderes a palavra-passe crypt, os teus dados são irrecuperáveis. Não há reposição, não há chave de recuperação, não há linha de apoio. Guarda a palavra-passe num gestor de palavras-passe com uma cópia offline cifrada.
rclone crypt vs Cryptomator (qual escolher)
Ambos são open source, do lado do cliente e zero-knowledge. A diferença é a interface e o fluxo de trabalho, não o modelo de segurança.
| rclone crypt | Cryptomator | |
|---|---|---|
| Interface | Linha de comandos (CLI) | Gráfica (GUI) |
| Modelo de acesso | Comandos rclone / rclone mount | Monta um cofre como unidade virtual |
| Ideal para | Servidores headless, backups automatizados, scripting | Uso desktop e móvel interativo |
| Fornecedores | Qualquer um dos 70+ remotes do rclone | Clientes de nuvem (Dropbox, Drive, iCloud, pCloud, OneDrive…) |
| Apps móveis oficiais | Não | Sim (iOS + Android) |
| Open source | Sim | Sim |
| Zero-knowledge | Sim | Sim |
Escolhe o rclone crypt se automatizas backups, geres uma máquina headless ou queres cifrar por cima de qualquer remote rclone a partir da linha de comandos. Escolhe o Cryptomator se queres um cofre para montar com um clique, também aberto no telemóvel. Não são rivais - muita gente usa o rclone crypt para os backups de servidor e o Cryptomator para os ficheiros desktop do dia a dia. Para escolher o fornecedor a colocar por baixo de qualquer uma das ferramentas, vê a nossa panorâmica dos serviços de armazenamento cloud cifrado.
Conclusão
O rclone crypt transforma qualquer um dos 70+ fornecedores de nuvem num alvo zero-knowledge com primitivas comprovadas - XSalsa20-Poly1305 para o conteúdo, scrypt para a chave, EME para os nomes. É a ferramenta certa quando queres uma cifragem do lado do cliente automatizável e programável por scripts, sobretudo num servidor. As duas coisas a acertar são honestas: escolhe a cifragem de nomes standard a menos que tenhas uma razão para não o fazer, e protege o rclone.conf com uma palavra-passe de configuração, porque a palavra-passe crypt aí guardada está apenas ofuscada, não cifrada. Faz isso, mantém um backup seguro da palavra-passe, e tens uma cifragem do lado do cliente que sobrevive a uma violação ou a uma intimação junto do fornecedor.
FAQ
As perguntas mais comuns são abordadas no bloco FAQ estruturado acima (também mostrado no rich snippet do Google): o que é o rclone crypt e a quem se destina, a criptografia que usa, a cifragem dos nomes de ficheiros e pastas, a segurança da palavra-passe dentro do rclone.conf, e a comparação com o Cryptomator.
Perguntas frequentes
- O que é o rclone crypt e a quem se destina?
- O rclone crypt é um backend (uma sobrecamada) do rclone, a ferramenta open source de linha de comandos que sincroniza ficheiros em 70+ fornecedores de nuvem. O crypt envolve outro remote e cifra o conteúdo dos teus ficheiros (e, opcionalmente, os seus nomes) na tua máquina antes do upload, e depois decifra no download. O fornecedor de nuvem só armazena dados cifrados, por isso é zero-knowledge. Destina-se a pessoas à vontade com um terminal: quem faz backups cifrados automatizados, um servidor headless, ou quer adicionar cifragem do lado do cliente por cima de um fornecedor sem opção zero-knowledge nativa (Google Drive, Backblaze B2, S3, OneDrive e por aí adiante).
- Que criptografia usa o rclone crypt?
- O conteúdo dos ficheiros é cifrado com XSalsa20-Poly1305, a cifra autenticada da construção NaCl SecretBox. A chave de cifragem é derivada da tua palavra-passe através de scrypt, com uma segunda palavra-passe opcional (chamada sal, ou password2) para reforço adicional. Os nomes dos ficheiros, no modo standard predefinido, são cifrados com EME (um modo AES de bloco largo). Tudo acontece localmente antes de qualquer trânsito na rede, por isso nem o conteúdo nem os nomes chegam ao fornecedor em claro.
- O rclone crypt cifra também os nomes de ficheiros e pastas?
- Sim, opcionalmente. O modo de nomes predefinido é standard, que cifra os nomes dos ficheiros com EME (AES). Podes também escolher obfuscate (uma baralhação mais leve e rápida) ou off (os nomes mantêm-se legíveis). A cifragem dos nomes de pastas é uma opção separada, que podes ligar ou desligar durante a configuração. Se puseres a cifragem dos nomes de ficheiros e pastas em off, só o conteúdo fica protegido e a estrutura de pastas fica visível para o fornecedor, o que pode expor metadados.
- A minha palavra-passe está segura dentro do rclone.conf?
- Não por predefinição, e esta é a advertência mais importante. O rclone.conf guarda a tua palavra-passe crypt ofuscada, não fortemente cifrada. A ofuscação é reversível: qualquer pessoa que consiga ler o teu rclone.conf pode recuperar a palavra-passe com rclone reveal. Para a proteger de verdade, define uma palavra-passe de configuração através de rclone config (Set configuration password), que cifra todo o ficheiro rclone.conf. Restringe sempre as permissões do ficheiro rclone.conf e, idealmente, cifra-o. Trata esse ficheiro como um segredo.
- rclone crypt ou Cryptomator - qual escolher?
- Ambos são open source, do lado do cliente e zero-knowledge, por isso a escolha é sobre o fluxo de trabalho. O rclone crypt é uma ferramenta de linha de comandos: programável por scripts, perfeita para servidores headless e backups automatizados, e funciona com qualquer um dos 70+ remotes do rclone. O Cryptomator é primeiro gráfico, monta um cofre cifrado como unidade virtual e disponibiliza apps móveis oficiais para iOS e Android, o que o torna melhor para um uso desktop e móvel interativo. Se vives num terminal ou automatizas backups, escolhe o rclone crypt. Se queres um cofre para montar com um clique, também aberto no telemóvel, escolhe o Cryptomator. Muita gente usa os dois.
Adiciona cifragem zero-knowledge → pCloud Crypto
Cifragem do lado do cliente · só tu tens a chave · jurisdição suíça