OpenSSLの暗号化と復号化をDockerで行う

README.md

OpenSSLの暗号化と復号化をDockerで行う

Shibuya.apk #19にてOpenSSLのバージョン違いによる復号化の失敗談を共有しました。

そのときにふと「暗号化、復号化もDockerでやればよいのでは？」と思ったので、試しに作ってみました。

解説

ファイル	内容
openssl.encrypt.dockerfile	暗号化実行Dockerfile
openssl.decrypt.dockerfile	復号化実行Dockerfile
run-encrypt.sh	暗号化実行シェル
run-decrypt.sh	復号化実行シェル

PLAIN_FILENAME、CHIPER_FILENAME、KEYはシステム環境変数にあることを前提としています。

alpineイメージ（4MB）を使っているので、生成されるイメージは8MB程度と軽量です。

注意事項など

なんとなく暗号化と復号化でdockerfileを分けてしまったんですが、CMD以外は同じです。

Circle CI2.0で実行させることを考えれば、dockerfileはひとつにてdocker-compose.yml（.circlecu/config.yml）の方でコマンドを指定した方がよいと思いました。

decrypt-Dockerfile

FROM alpine:3.6

RUN apk update
RUN apk add openssl=1.0.2k-r0

CMD openssl aes-256-cbc -md sha256 -d \
    -in certs/${CHIPER_FILENAME} \
    -out certs/${PLAIN_FILENAME} \
    -k ${KEY}

openssl.encrypt.dockerfile

FROM alpine:3.6

RUN apk update
RUN apk add openssl=1.0.2k-r0

CMD openssl aes-256-cbc -md sha256 -e \
    -in certs/${PLAIN_FILENAME} \
    -out certs/${CHIPER_FILENAME} \
    -k ${KEY}

run-decrypt.sh

#!/bin/bash -eux

docker build -t yamacraft/openssl-decrypt -f openssl.decrypt.dockerfile .
docker run --rm -v `pwd`:/certs  \
    -e PLAIN_FILENAME=${PLAIN_FILENAME} \
    -e CHIPER_FILENAME=${CHIPER_FILENAME} \
    -e KEY=${PT_SECRET_KEY} \
    -t yamacraft/openssl-decrypt

run-encrypt.sh

#!/bin/bash -eux

docker build -t yamacraft/openssl-encrypt -f openssl.encrypt.dockerfile .
docker run --rm -v `pwd`:/certs  \
    -e PLAIN_FILENAME=${PLAIN_FILENAME} \
    -e CHIPER_FILENAME=${CHIPER_FILENAME} \
    -e KEY=${PT_SECRET_KEY} \
    -t yamacraft/openssl-encrypt

circleciでshで実行させると環境変数の中身がバッチリでてしまうので、やはりcomposeで実行させたほうがよさそう…