EncFs niepewne, czego teraz użyć

19

Uwielbiam szyfrowania, ponieważ zapewnia szyfrowanie na podstawie plików, co jest bardzo przydatne, jeśli chodzi o przechowywanie w chmurze. Ale wygląda to tak, szczególnie w tym przypadku użycia, szyfrowanie jest uważane za niepewne . Zdaję sobie sprawę z tego, że encfs 2 jest w fazie rozwoju, ale jak sobie z tym poradzić? Czy są jakieś alternatywy, które dobrze integrują się z Ubuntu?

Edycja: Problem bezpieczeństwa, o którym głównie mówię, to ten . Jest nadal obecny w wersji 1.8 i sprawia, że ​​twoje pliki są podatne na ataki, jeśli ktoś otrzyma wiele wersji zaszyfrowanych plików. Jeśli martwisz się usługami takimi jak Dropbox, nie są one tak wiarygodne i dlatego szyfrują foldery przesłane do chmury, dlatego osoba atakująca (usługa) otrzymuje więcej niż jedną kopię tekstu szyfrowanego.

wprowadź opis zdjęcia tutaj

Sebastian
źródło
Nie uważasz, że twoje pytanie jest trochę spóźnione? Audyt, do którego linkujesz, pochodzi z 2014 roku, a oprogramowanie miało 2 aktualizacje po tym, gdy pierwszy rozwiązał niektóre problemy wymienione w audycie. Niemniej jednak: zobacz ostatnie zdanie w mojej odpowiedzi: szyfrowanie jest bieżącym domyślnym.
Rinzwind,
1
Ponieważ problem z wielowymiarowymi wersjami pliku powoduje, że jest on podatny na atak, nadal występuje: Nie.
Sebastian
W odniesieniu do powyższego obrazu tekstowego z ostrzeżeniem, w którym właściciele systemu pamięci masowej modyfikują konfigurację w celu uproszczenia bezpieczeństwa bez wiedzy właścicieli danych ... To jeden z powodów, dla których nie wierzę w faktyczne przechowywanie pliku konfiguracyjnego encfs z rzeczywistymi danymi katalog, ale przechowywanie go osobno do rzeczywistych zaszyfrowanych danych. Zobacz „Usuń pliki konfiguracyjne encfs z katalogu danych” w moich notatkach ... ict.griffith.edu.au/anthony/info/crypto/encfs.txt
anthony

Odpowiedzi:

10

Gdy piszę to, wydaje się, że istnieje całkiem sporo narzędzi typu open source podobnych do encfs(ale bardziej „nowoczesnych” niż encfs), które mogłyby szyfrować pliki w sposób „przyjazny dla chmury” (tj. Zapewniając szyfrowanie dla poszczególnych plików, zachowując czasy modyfikacji , i tak dalej).

Większość z nich jest w porządku, jeśli używasz tylko Ubuntu lub innego systemu Linux ( ecryptfswydaje się dobry), ale sytuacja staje się trudna, jeśli potrzebujesz współdziałania z innymi systemami operacyjnymi i urządzeniami mobilnymi, czego większość z nas obecnie oczekuje.

Żeby wymienić tylko kilka:

  • Cryptomator wydaje się być jedynym, który działa „wszędzie”, od dowolnego systemu operacyjnego GNU / Linux po system Android. Istnieje nawet PPA dla Ubuntu i pliki binarne dla kilku innych dystrybucji i systemów operacyjnych.
  • ecryptfs działa tylko na systemach GNU / Linux (takich jak Ubuntu, ale także ChromeOS) i jest to miłe, jeśli nie będziesz potrzebować dostępu do plików z systemów innych niż Linux, ale ludzie mówią, że mogą być pewne problemy z narzędziami do synchronizacji w chmurze.
  • CryFS to młode rozwiązanie, na razie działa tylko na Linuksie, ale planuje się przenieść go również na MacOS i Windows. Może w przyszłości warto na to zwrócić uwagę.

Ciekawe może być to porównanie narzędzi ze strony CryFS .

gerlos
źródło
3
Cryptomator jest bezużyteczny, ponieważ jest bardzo powolny. ecryptfs nie jest odpowiedni dla chmur. CryFS jest w fazie beta od prawie 3 lat. Tak więc to nie są tak naprawdę alternatywy
Rubi Shnol
9

Podsumowanie linku podsumowuje:

  1. Wniosek

Podsumowując, chociaż EncFS jest użytecznym narzędziem, ignoruje wiele standardowych najlepszych praktyk w kryptografii. Jest to najprawdopodobniej spowodowane starością (pierwotnie opracowaną przed 2005 rokiem), jednak nadal jest używana i wymaga aktualizacji.

Autor EncFS twierdzi, że opracowywana jest wersja 2.0 1 . To byłby dobry czas, aby naprawić stare problemy.

EncFS jest prawdopodobnie bezpieczny, o ile przeciwnik otrzymuje tylko jedną kopię tekstu zaszyfrowanego i nic więcej. EncFS nie jest bezpieczny, jeśli przeciwnik ma możliwość zobaczenia dwóch lub więcej migawek tekstu zaszyfrowanego w różnych momentach. EncFS próbuje chronić pliki przed złośliwymi modyfikacjami, ale z tą funkcją występują poważne problemy.

Pytanie, na które musisz odpowiedzieć: na ile prawdopodobne jest, że osoba atakująca może zdobyć tekst zaszyfrowany?


Ale ten audyt pochodzi z 2014 roku i został przeprowadzony w wersji 1.7. Wersja 1.8 już rozwiązuje niektóre problemy wymienione w audycie:

Pierwszy kandydat do wydania EncFS 1.8 naprawia dwie potencjalne luki wymienione w audycie bezpieczeństwa i wprowadza kilka innych ulepszeń:

  • popraw średnią automatycznych testów: testuj także tryb odwrotny (wykonaj test)
  • dodaj IV dla poszczególnych plików na podstawie numeru i-węzła do trybu odwrotnego, aby poprawić bezpieczeństwo
  • dodaj automatyczny test porównawczy (wykonaj test porównawczy)
  • porównaj MAC w stałym czasie
  • dodaj opcję --nocache

Wersja 1.8 pojawiła się również w 2014 roku.


Ze strony projektu :

Status

W ciągu ostatnich 10 lat wyrosło wiele dobrych alternatyw. Moc obliczeniowa wzrosła do punktu, w którym uzasadnione jest szyfrowanie całego systemu plików komputerów osobistych (a nawet telefonów komórkowych!). W systemie Linux ecryptfs zapewnia ładny, dynamicznie montowany, zaszyfrowany katalog domowy i jest dobrze zintegrowany z dystrybucjami, których używam, takimi jak Ubuntu.

EncFS jest nieaktywny przez jakiś czas. Zacząłem sprzątać, aby spróbować zapewnić lepszą bazę dla wersji 2, ale to, czy kwiaty EncFS ponownie zależą od zainteresowania społeczności. Aby ułatwić komukolwiek udział, przenosi nowy dom na Github. Więc jeśli jesteś zainteresowany EncFS, zanurz się!

To jest z 2013 roku ... Uważałbym projekt za martwy, gdyby to były najnowsze wiadomości.

Ale zawiera listę ecryptfów jako alternatywę dla Ubuntu, więc spójrz na to.

Rinzwind
źródło
Dziękuję za szczegółową odpowiedź. Ale afaik ecryptfs nie nadaje się do zabezpieczania danych w chmurze.
Sebastian,
„Więc pytanie, na które musisz odpowiedzieć: na ile prawdopodobne jest, że atakujący może zdobyć tekst zaszyfrowany?” Chodzi mi o to, że główny problem polega na tym, że gdy tylko osoba atakująca ma dostęp do mojego konta usługi w chmurze, takiego jak Dropbox, automatycznie uzyskuje dostęp do wielu zapisanych migawek. I właśnie wtedy EncFS staje się niepewny.
finefoot
3

Encfs jest nieoceniony ze względu na jego funkcję odwrotną. Dzięki temu natychmiastowe, częściowo bezpieczne przyrostowe kopie zapasowe są możliwe poza siedzibą, bez dodatkowych kosztów miejsca na dysku.

Truecrypt nie ma tego, ani Veracrypt, ani ecryptfs.

Podczas pracy nad szyfrowaniem 2.0 sprawdź CryFS , który nie jest jeszcze 1.0. Inną możliwością jest fuseflt, który pozwala tworzyć filtrowane widoki katalogów (np. Widok zaszyfrowany przy użyciu flt_cmd = gpg --encrypt).

Greg Bell
źródło
Nie wiem, jak wartościowa może być funkcja oprogramowania szyfrującego, jeśli oprogramowanie nie jest bezpieczne ...?
finefoot
2

W 2019 roku CryFS i gocryptfs są najlepszymi kandydatami. Oba zostały zaprojektowane dla chmury, są aktywnie rozwijane i nie mają znanych problemów z bezpieczeństwem.

Ich konstrukcja różni się, co ma zalety i wady:

CryFs ukrywa metadane (np. Rozmiary plików, struktury katalogów), co jest przyjemną właściwością. Aby to osiągnąć, CryFs przechowuje wszystkie pliki i informacje o katalogach w blokach o stałym rozmiarze, co wiąże się z kosztem wydajności.

W przeciwieństwie do tego, gocrytfs jest bliżej projektowania EncFs (dla każdego zwykłego pliku tekstowego jest jeden zaszyfrowany plik). Obawia się przede wszystkim o poufność treści pliku i nie ma tak silnej ochrony przed wyciekaniem meta informacji. Podobnie jak EncFs, obsługuje również tryb wsteczny , co jest przydatne w przypadku szyfrowanych kopii zapasowych.

Ogólnie rzecz biorąc, konstrukcja CryFs ma przewagę pod względem poufności i odporności na manipulacje. Z drugiej strony gocrypts ma praktyczne zalety (wydajność, obsługa trybu odwrotnego).

Oba systemy są stosunkowo nowe. Pod względem przejrzystości oba są projektami typu open source. gocryptfs przeprowadził niezależny audyt bezpieczeństwa w 2017 roku . CryF nie miał takiego audytu, ale projekt został opracowany i sprawdzony w pracy magisterskiej, a artykuł został opublikowany.

Co z innymi?

EncFS jest odradzany z powodu nierozwiązanych problemów bezpieczeństwa. Nie jest bezpieczne, jeśli osoba atakująca uzyska dostęp do poprzednich wersji plików (tak będzie w przypadku przechowywania danych w chmurze). Wyciekają także meta informacje, takie jak rozmiary plików. Jest wątek na temat planów dla wersji 2 , ale nic nie wskazuje na to, że stanie się to w najbliższej przyszłości. Oryginalny program EncFs zalecił gocryptfs.

eCryptfs ostatnio widział brak wsparcia . W Ubuntu instalator nie obsługuje już zaszyfrowanych / home katalogów ecryptfs. Zamiast tego zalecają pełne szyfrowanie dysku w oparciu o LUKS . Ponadto eCryptFs został zaprojektowany dla dysków lokalnych, a nie magazynu w chmurze, więc nie poleciłbym tego.

VeraCrypt (następca TrueCrypt) ma dobrą reputację z punktu widzenia bezpieczeństwa, ale nie jest przyjazny dla chmury, ponieważ wszystko jest przechowywane w jednym dużym pliku. Spowoduje to spowolnienie synchronizacji. Jednak w przypadku lokalnego systemu plików nie stanowi to problemu, co czyni go doskonałym kandydatem.

Ładne porównanie wszystkich tych narzędzi znajduje się na stronie głównej CryFs .

Philipp Claßen
źródło