EncFs небезпечно, що зараз використовувати

19

Я люблю encfs, оскільки він забезпечує файлове шифрування, що дуже корисно, коли мова йде про хмарне зберігання. Але схоже, що спеціально для цього випадку використання encfs вважається небезпечним . Я знаю, що encfs 2 розробляється, але як з цим боротися тим часом? Чи є альтернативи, які добре інтегруються в ubuntu?

Редагувати: Проблема безпеки, на яку я переважно звертаюсь, - це ця . Він все ще присутній у версії 1.8 і робить ваші файли вразливими, якщо хтось отримає кілька версій зашифрованих файлів. Якщо хтось турбується про такі сервіси, як Dropbox, вони не є надійними і шифрують папки, завантажені в хмару через це, то можливість надання зловмиснику (сервісу) отримує більше однієї копії кістертексту абсолютно надається.

введіть тут опис зображення

security  encryption  cloud  dropbox  encfs 
Себастьян
джерело
Ви не думаєте, що ваше питання трохи пізно? Цей аудит, на який ви посилаєтесь, проводиться з 2014 року, і програмне забезпечення після цього оновило два оновлення, де 1-й вирішив деякі проблеми, згадані в аудиті. Тим не менш: див. Останнє речення в моїй відповіді: encryptfs - це поточний типовий стандарт.
Rinzwind
1
Оскільки проблема з мусліплярними версіями файлу робить його вразливим, все ще: Ні.
Себастьян
Що стосується наведеного вище зображення попереджувального тексту, де власники системи зберігання змінюють конфігурацію, щоб спростити безпеку без знань власників даних ... Це одна з причин, чому я не вірю в фактичне зберігання файлу конфігурації encfs із фактичними даними каталог, але зберігаючи його окремо до фактично зашифрованих даних. Дивіться "Видалення файлів конфігурації encfs із каталогу даних" у моїх примітках ... ict.griffith.edu.au/anthony/info/crypto/encfs.txt
anthony

Відповіді:

10

Коли я це пишу, мабуть, існує досить багато інструментів з відкритим кодом, схожих на encfs(але більш "сучасні", ніж encfs), які могли б зашифрувати файли "зручним для хмари" способом (тобто, забезпечуючи шифрування за файлами, зберігаючи час модифікації , і так далі).

Більшість з них чудово, якщо ви використовуєте лише Ubuntu або будь-яку іншу систему Linux ( ecryptfsздається, що добре), але все стає складним, якщо вам потрібна сумісність з іншими ОС і мобільними пристроями, як сьогодні очікує більшість із нас.

Просто для назви декількох:

  • Схоже, криптовалют єдиний, який працює «скрізь», від будь-якої ОС GNU / Linux до Android. Існує навіть PPA для Ubuntu та бінарні файли для кількох інших дистрибутивів та ОС.
  • ecryptfs працює лише в системах GNU / Linux (наприклад, Ubuntu, але також ChromeOS), і це добре, якщо вам не потрібно буде отримувати доступ до своїх файлів з не-Linux ОС, але люди кажуть, що можуть виникнути проблеми з інструментами хмарної синхронізації.
  • CryFS - це молоде рішення, наразі працює лише на Linux, але є плани також перенести його на MacOS та Windows. Можливо, це заслуговує на деяку увагу в майбутньому.

Також вам може бути цікавим таке порівняння інструментів із веб-сайту CryFS .

герлос
джерело
3
Кріптоматор непридатний, оскільки екстрееееміє дуже повільно. ecryptfs не підходить для хмар. CryFS був бета-версією майже 3 роки. Отже, це насправді не альтернативи
Рубі Шнол
9

Висновок у посиланні підсумовує це:

  1. Висновок

На закінчення, хоча EncFS є корисним інструментом, він ігнорує багато стандартних найкращих практик криптографії. Це, швидше за все, пов’язано зі старістю (спочатку розроблялася до 2005 року), проте вона все ще використовується сьогодні і потребує оновлення.

Автор EncFS каже, що розробляється версія 2.0 1 . Це був би вдалий час для виправлення старих проблем.

EncFS, ймовірно, безпечний, доки противник отримує лише одну копію шифротексту і більше нічого. EncFS не є безпечним, якщо противник має можливість бачити два чи більше знімків шифротексту в різний час. EncFS намагається захистити файли від шкідливих модифікацій, але з цією функцією є серйозні проблеми.

Отже, на питання, на яке вам потрібно відповісти: Наскільки ймовірно, що зловмисник може вловитись шифротекстом?

Але цей аудит проводиться з 2014 року і робився на v1.7. v1.8 вже вирішує деякі проблеми, згадані в аудиті:

Перший кандидат випуску EncFS 1.8 виправляє дві потенційні вразливості, згадані в аудиті безпеки, та вносить кілька інших удосконалень:

  • покращити автоматичне використання тесту: також тестувати зворотний режим (зробити тест)
  • додайте IV-файли для файлів на основі номера inode для зворотного режиму для підвищення безпеки
  • додати автоматичний бенчмарк (зробити бенчмарк)
  • порівнюйте MAC у постійному часі
  • опція додати --nocache

v1.8 вийшов і в 2014 році.

На сторінці проекту :

Статус

За останні 10 років виросла низка хороших альтернатив. Обчислювальна потужність зросла до того моменту, коли розумно зашифрувати всю файлову систему персональних комп'ютерів (і навіть мобільних телефонів!). В Linux, ecryptfs забезпечує хороший зашифрований домашній каталог, що динамічно монтується, і добре інтегрований у дистрибутиви, які я використовую, наприклад Ubuntu.

EncFS деякий час дрімає. Я почав прибирати, щоб спробувати забезпечити кращу базу для версії 2, але чи знову квіти EncFS залежать від інтересу громади. Для того, щоб хтось полегшив внесок, він переїжджає додому на Github. Тож якщо вас зацікавив EncFS, зануріться!

Це з 2013 року ... Я вважав би проект мертвим, якби це була остання новина.

Але він перераховує шифри як альтернативу для Ubuntu, тому подивіться на це.

Rinzwind
джерело
Дякую за детальну відповідь. Але afaik encryptfs не використовується для забезпечення даних у хмарі.
Себастьян
"Отже, на питання, на яке вам потрібно відповісти: наскільки ймовірно, що зловмисник може вловитись шифротекстом?" Я маю на увазі, головне питання полягає в тому, що як тільки зловмисник отримає доступ до мого облікового запису хмарних служб, як Dropbox, вони автоматично отримують доступ до декількох збережених знімків. І саме там EncFS стає незахищеним.
тонконіг
3

Encfs неоціненний через свою зворотну особливість. Це миттєво робить можливими напівзахисні додаткові резервні копії за межами сайту, без додаткових витрат на диску.

У Truecrypt цього немає, ні Veracrypt, ні ecryptfs.

Під час роботи над encfs 2.0 перевірте CryFS , який ще не 1,0. Інша можливість - fuseflt, яка дозволяє створювати відфільтровані представлення каталогів (наприклад, зашифрований вигляд за допомогою flt_cmd = gpg --encrypt).

Грег Белл
джерело
Я не знаю, наскільки насправді може бути функція програмного забезпечення для шифрування, якщо програмне забезпечення не захищене ...?
тонконіг
2

У 2019 році CryFS та gocryptfs - це найкращі кандидати на мою думку. Обидва були розроблені для Хмари, активно розробляються та не мають відомих проблем безпеки.

Їх дизайн відрізняється, що має плюси і мінуси:

CryFs приховує метадані (наприклад, розміри файлів, структури каталогів), що є приємною властивістю. Щоб досягти цього, CryFs зберігає всі файли та інформацію про каталоги у блоках фіксованого розміру, що забезпечує вартість продуктивності.

Навпаки, gocrytfs ближче до дизайну EncFs (для кожного простого текстового файлу є один зашифрований файл). В першу чергу це турбується про конфіденційність вмісту файлу і не має настільки сильного захисту від витоку метаінформації. Як і EncFs, він також підтримує зворотний режим , що корисно для зашифрованих резервних копій.

Загалом, дизайн CryFs має перевагу в частині конфіденційності та стійкості до фальсифікації. З іншого боку, gocrypts має практичні переваги (продуктивність, підтримка зворотного режиму).

Обидві системи відносно нові. З точки зору прозорості обидва є проектами з відкритим кодом. gocryptfs провели незалежний аудит безпеки у 2017 році . У CryFs такого аудиту не було, але дизайн був розроблений та підтверджений у магістерській роботі та опубліковано статтю .

Що з іншими?

EncFS не рекомендується через невирішені проблеми безпеки. Небезпечно, якщо зловмисник отримає доступ до попередніх версій файлів (що буде у випадку, коли ви зберігаєте дані у Хмарі). Також вона просочує метаінформацію, наприклад розміри файлів. Існує нитка про плани на версію 2 , але немає ознак того, що це станеться найближчим часом. Оригінальний розробник EncFs рекомендував gocryptfs.

eCryptfs останнім часом відчуває брак підтримки . В Ubuntu інсталятор більше не підтримує зашифровані / домашні каталоги ecryptfs. Натомість вони рекомендують повне шифрування диска на основі LUKS . Крім того, eCryptFs розроблений для локальних дисків, а не хмарного сховища, тому я б не рекомендував це.

VeraCrypt (спадкоємець TrueCrypt) має хорошу репутацію з точки зору безпеки, але це не є зручним для Хмари, оскільки все зберігається в одному великому файлі. Це зробить синхронізацію повільною. Однак для локальної файлової системи це не хвилює, що робить її відмінним кандидатом там.

Існує приємне порівняння всіх цих інструментів на домашній сторінці CryFs .

Філіп Класен
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.