EncFs небезопасно, что использовать сейчас


19

Мне нравится encfs, так как он обеспечивает шифрование на основе файлов, что весьма полезно, когда речь идет о облачном хранилище. Но похоже, что специально для этого случая использования encfs считается небезопасным . Я знаю, что Encfs 2 находится в разработке, но как с этим бороться? Есть ли альтернативы, которые хорошо интегрируются в Ubuntu?

Редактировать: проблема безопасности, на которую я в основном ссылаюсь, является этой . Он все еще присутствует в версии 1.8 и делает ваши файлы уязвимыми, если кто-то получает несколько версий ваших зашифрованных файлов. Если кто-то обеспокоен тем, что такие службы, как Dropbox, не настолько надежны и зашифровывают папки, загруженные в облако, из-за этого, возможность того, что злоумышленник (служба) получит более одной копии зашифрованного текста, абсолютно предоставлена.

введите описание изображения здесь


Тебе не кажется, что твой вопрос немного опоздал? Аудит, на который вы ссылаетесь, был проведен в 2014 году, и после этого программное обеспечение было обновлено 2 раза, и 1-й решил некоторые из проблем, упомянутых в ходе аудита. Тем не менее: см. Последнее предложение в моем ответе: encryptfs является текущим значением по умолчанию.
Rinzwind

1
Поскольку проблема с несколькими версиями файла делает его уязвимым, по-прежнему указывается: Нет.
Себастьян

Что касается приведенного выше изображения с текстом предупреждения, где владельцы системы хранения изменяют конфигурацию, чтобы упростить защиту без ведома владельцев данных ... Это одна из причин, почему я не верю в фактическое сохранение конфигурационного файла encfs с фактическими данными каталог, но хранит его отдельно с фактическими зашифрованными данными. См. «Удаление файлов конфигурации encfs из каталога данных» в моих заметках ... ict.griffith.edu.au/anthony/info/crypto/encfs.txt
Энтони,

Ответы:


10

Когда я пишу это, кажется, что существует довольно много инструментов с открытым исходным кодом, похожих на encfs(но более «современных», чем encfs), которые могли бы быть в состоянии шифровать файлы «облачным» способом (т.е. обеспечивать шифрование для каждого файла, сохраняя время модификации , и так далее).

Большинство из них хороши, если вы используете только Ubuntu или любую другую систему Linux ( ecryptfsкажется, хорошо), но все становится сложнее, если вам требуется совместимость с другими операционными системами и мобильными устройствами, как большинство из нас ожидает в настоящее время.

Просто назвать несколько:

  • Кажется, что Cryptomator - единственный, который работает «везде», от любой ОС GNU / Linux до Android. Есть даже PPA для Ubuntu и двоичные файлы для нескольких других дистрибутивов и операционных систем.
  • ecryptfs работает только в системах GNU / Linux (например, Ubuntu, но также и в ChromeOS), и было бы хорошо, если вам не понадобится доступ к вашим файлам из не-Linux ОС, но люди говорят, что могут быть некоторые проблемы с инструментами облачной синхронизации.
  • CryFS - это молодое решение, пока работает только на Linux, но есть планы перенести его на MacOS и Windows. Возможно, это заслуживает некоторого внимания в будущем.

Вы можете также найти это сравнение инструментов с сайта CryFS .


3
Криптоматор непригоден для использования, так как очень медленно. ecryptfs не подходит для облаков. CryFS была бета-версия почти 3 года. Таким образом, это не совсем альтернативы
Руби Шноль

9

Вывод в ссылке подводит итог:

  1. Вывод

В заключение, хотя EncFS является полезным инструментом, он игнорирует многие стандартные рекомендации по криптографии. Скорее всего, это связано с его старостью (первоначально разработанной до 2005 года), однако, он все еще используется сегодня и нуждается в обновлении.

Автор EncFS говорит, что версия 2.0 разрабатывается 1 . Сейчас самое время исправить старые проблемы.

EncFS, вероятно, безопасен до тех пор, пока противник получает только одну копию зашифрованного текста и ничего более. EncFS не является безопасным, если у злоумышленника есть возможность увидеть два или более снимка зашифрованного текста в разное время. EncFS пытается защитить файлы от вредоносного изменения, но есть серьезные проблемы с этой функцией.

Итак, вопрос, на который вам нужно ответить: насколько вероятно, что злоумышленник сможет получить зашифрованный текст?


Но этот аудит с 2014 года и был сделан на v1.7. v1.8 уже исправляет некоторые проблемы, упомянутые в аудите:

Первый кандидат на выпуск EncFS 1.8 исправляет две потенциальные уязвимости, упомянутые в аудите безопасности, и вносит несколько других улучшений:

  • улучшить автоматический тест converage: также проверить реверсный режим (сделать тест)
  • добавить отдельные файлы на основе номера индекса в обратном режиме для повышения безопасности
  • добавить автоматический тест (сделать тест)
  • сравнить MAC в постоянное время
  • добавить параметр --nocache

v1.8 вышла и в 2014 году.


Со страницы проекта :

Положение дел

За последние 10 лет выросло много хороших альтернатив. Вычислительная мощность возросла до такой степени, что разумно шифровать всю файловую систему персональных компьютеров (и даже мобильных телефонов!). В Linux ecryptfs предоставляет хороший динамически монтируемый зашифрованный домашний каталог и хорошо интегрируется в используемые мной дистрибутивы, такие как Ubuntu.

EncFS давно не используется. Я начал убирать, чтобы попытаться предоставить лучшую базу для версии 2, но вопрос о том, будут ли цветы EncFS снова зависеть от интересов сообщества. Чтобы кому-то было легче внести свой вклад, он перемещает новый дом на Github. Так что, если вы заинтересованы в EncFS, пожалуйста, погрузитесь!

Это с 2013 года ... Я бы посчитал проект мертвым, если бы это были последние новости.

Но он перечисляет ecryptfs как альтернативу Ubuntu, так что взгляните на это.


Спасибо за подробный ответ. Но afaik ecryptfs не может использоваться для защиты данных в облаке.
Себастьян

«Итак, на вопрос, на который вам нужно ответить: насколько вероятно, что злоумышленник сможет получить зашифрованный текст?» Я имею в виду, что основная проблема заключается в том, что как только злоумышленник получает доступ к моей учетной записи облачной службы, такой как Dropbox, он автоматически получает доступ к нескольким сохраненным снимкам. И вот где EncFS становится небезопасным.
Finefoot


3

Encfs неоценим из-за своей обратной функции. Это позволяет мгновенно создавать полугерметичные инкрементные резервные копии без дополнительных затрат на дисковое пространство.

У Truecrypt нет ни этого, ни Veracrypt, ни ecryptfs.

Пока работает encfs 2.0, посмотрите CryFS , которой пока нет 1.0. Другой возможностью является fuseflt, который позволяет вам создавать отфильтрованные представления каталогов (например, зашифрованное представление с использованием flt_cmd = gpg --encrypt).


Я не знаю, насколько ценной может быть функция программного обеспечения для шифрования, если оно не защищено ...?
Finefoot

2

В 2019 году CryFS и gocryptfs являются лучшими кандидатами на мой взгляд. Оба были разработаны для облака, активно развиваются и не имеют известных проблем безопасности.

Их дизайн отличается, что имеет свои плюсы и минусы:

CryFs скрывает метаданные (например, размеры файлов, структуры каталогов), что является хорошим свойством. Для этого CryFs хранит все файлы и информацию о каталогах в блоках фиксированного размера, что приводит к снижению производительности.

Напротив, gocrytfs ближе к дизайну EncF (для каждого простого текстового файла существует один зашифрованный файл). Он в первую очередь заботится о конфиденциальности содержимого файла и не имеет такой надежной защиты от утечки метаинформации. Как и EncFs, он также поддерживает обратный режим , который полезен для зашифрованных резервных копий.

В целом, дизайн CryFs имеет преимущество с точки зрения конфиденциальности и защиты от взлома. С другой стороны, у gocrypts есть практические преимущества (производительность, поддержка обратного режима).

Обе системы являются относительно новыми. С точки зрения прозрачности, оба проекта с открытым исходным кодом. gocryptfs прошел независимый аудит безопасности в 2017 году . У CryFs такого аудита не было, но дизайн был разработан и проверен в магистерской диссертации, и была опубликована статья .

А как насчет других?

EncFS не рекомендуется из-за нерешенных проблем безопасности. Небезопасно, если злоумышленник получит доступ к предыдущим версиям файлов (что будет иметь место при хранении данных в облаке). Также он пропускает метаинформацию, такую ​​как размеры файлов. Есть ветка о планах по версии 2 , но нет никаких признаков того, что это произойдет в ближайшее время. Оригинальный разработчик EncFs рекомендовал gocryptfs.

eCryptfs недавно испытал недостаток поддержки . В Ubuntu установщик больше не поддерживает зашифрованные / домашние каталоги ecryptfs. Вместо этого они рекомендуют полное шифрование диска на основе LUKS . Кроме того, eCryptFs был разработан для локальных дисков, а не для облачного хранилища, поэтому я бы не рекомендовал это делать.

VeraCrypt (преемник TrueCrypt) имеет хорошую репутацию с точки зрения безопасности, но он не дружествен к облакам, поскольку все хранится в одном большом файле. Это замедлит синхронизацию. Тем не менее, в локальной файловой системе это не проблема, что делает его отличным кандидатом.

На главной странице CryFs есть хорошее сравнение всех этих инструментов .

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.