EncFS - EncFS

EncFS
Разработчики)Доблестный Гоф
Стабильный выпуск
1.9.5 / 27 апреля 2018 г.; 2 года назад (2018-04-27)[1]
Репозиторий Отредактируйте это в Викиданных
Операционная системаLinux, FreeBSD, macOS,[2] Windows ("encfs4win" порт )[3] (также Безопасно, альтернатива macOS, Windows порт) и Android Программы
Типфайловая система, шифрование
ЛицензияLGPL
Интернет сайтГлавная страница EncFS

EncFS это Свободный (LGPL ) ПРЕДОХРАНИТЕЛЬ -на основании криптографическая файловая система. Это прозрачно шифрует файлы, используя произвольный каталог в качестве хранилища для зашифрованных файлов.[4][5]

В монтировании файловой системы EncFS участвуют два каталога: исходный каталог и точка монтирования. Каждый файл в точке монтирования имеет определенный файл в исходном каталоге, который ему соответствует. Файл в точке монтирования предоставляет незашифрованный вид файла в исходном каталоге. Имена файлов зашифрованы в исходном каталоге.

Файлы зашифровываются с помощью ключа тома, который хранится либо внутри, либо вне зашифрованного исходного каталога.[6] А пароль используется для расшифровки этого ключа.

Общее использование

Преимущества

EncFS предлагает несколько преимуществ перед другими программное обеспечение для шифрования дисков просто потому, что каждый файл хранится индивидуально как зашифрованный файл в другом месте в дереве каталогов хоста.

Кроссплатформенность

EncFS доступен на нескольких платформах, тогда как eCryptfs привязан к Linux ядро

Поддержка Bitrot

EncFS реализует битрот обнаружение поверх любой базовой файловой системы

Масштабируемое хранилище

EncFS не имеет "тома "занимающие фиксированный размер - зашифрованные каталоги растут и сжимаются по мере добавления или удаления файлов из точки монтирования.

Обычный файловый сервер

Зашифрованный каталог EncFS может находиться на обычном файловом сервере (через NFS, SSHFS и т. д.), и их можно эффективно зеркалировать и создавать резервные копии с помощью обычных инструментов файловой системы, таких как Rsync

Различные физические устройства

Некоторые каталоги в точке монтирования могут существовать на разных физических устройствах, если файловая система смонтирована над одним из подкаталогов в исходном каталоге.

Более быстрое резервное копирование

Утилиты резервного копирования могут создавать резервные копии только тех файлов, которые были изменены в исходном каталоге (синхронизация файлов, облачное хранилище)

Снижение коррупции

Повреждение данных более изолированно. Повреждение файловых данных является локальным для отдельного файла, и повреждение данных файловой системы можно исправить с помощью надежной утилиты восстановления файловой системы, например fsck. В некоторых системах шифрования всего диска отсутствует один или оба этих атрибута.

Оптимизация

Поскольку изменения файлов проникают в базовую файловую систему, различные оптимизации операционной системы по-прежнему возможны, в отличие от шифрования всего диска. Например, передача информации об освобожденном пространстве (ОТДЕЛКА ) может улучшить производительность SSD диски. Но это также поддерживается dm-crypt.

Произвольный доступ к файлам

Доступ к файлам может быть произвольным. Вы можете, например, перейти к середине очень большого зашифрованного видео, не расшифровывая весь файл.

Недостатки

Использование EncFS имеет некоторые недостатки.

Совместимость

Смонтированные каталоги EncFS имеют те же функции и ограничения, что и файловая система, содержащая исходный каталог.

Нет поддержки для очень длинных имен файлов

Из-за шифрования имена файлов для зашифрованных файлов, созданных EncFS, длиннее, чем исходные имена файлов. Следовательно, имена файлов, длина которых близка к максимальной, поддерживаемой файловой системой, не могут быть сохранены в EncFS, так как после шифрования они превышают лимит длины. Большинство файловых систем ограничивают имена файлов 255 байтами; в этом случае EncFS поддерживает только имена файлов размером до 190 байт.[7][8]

Общие проблемы безопасности

Любой, у кого есть доступ к исходному каталогу, может увидеть, сколько файлов находится в зашифрованной файловой системе, какие у них есть разрешения, их приблизительный размер и время последнего доступа или изменения, хотя имена файлов и данные файлов зашифрованы.[9]

Проблемы безопасности EncFS 1.7

Платный аудит безопасности был проведен в феврале 2014 года, который выявил несколько потенциальных уязвимостей. Он заключает:[10]

EncFS, вероятно, безопасен, пока злоумышленник получает только одну копию зашифрованного текста и ничего более. EncFS небезопасен, если злоумышленник имеет возможность увидеть два или более снимка зашифрованного текста в разное время. EncFS пытается защитить файлы от злонамеренных изменений, но с этой функцией возникают серьезные проблемы.

Проблемы безопасности EncFS 1.8

Объявление о EncFS 1.8 включало в себя несколько основных изменений дизайна, признавая проблемы безопасности, поднятые в ходе предыдущего аудита. Однако определенные опасения по поводу этих уязвимостей остаются.[11]

Параметры файловой системы

При создании нового тома EncFS доступны несколько различных опций для настройки файловой системы в соответствии с различными потребностями.

Алгоритм шифрования

EncFS использует любые шифры, которые он может найти в различных библиотеках шифрования в системе. Blowfish и AES обычно доступны.

Длину ключа шифра (keySize) можно выбрать для шифров, которые поддерживают переменную длину ключа.

Размер блока

Каждый файл зашифрован блоками, и этот параметр определяет размер этих блоков. Каждый раз, когда считывается один байт, весь блок, в котором он содержится, должен быть расшифрован. Аналогичным образом, для каждой записи блок должен быть расшифрован, изменен и повторно зашифрован.

Размер блока по умолчанию 1024 достаточен для большинства целей.

Кодировка имени файла

Имена файлов в исходном каталоге могут быть простыми или зашифрованными в блочном или потоковом режиме. Блочный режим несколько скрывает длину имени файла, в то время как потоковый режим сохраняет его как можно короче, что может сэкономить место в файловой системе исходного каталога в зависимости от того, как эта файловая система управляет деревом каталогов.

Цепочка имени файла IV

При включении вектор инициализации для имени файла шифрование происходит из родительских каталогов файла, в результате чего два файла с одним и тем же именем - но в разных каталогах - имеют разные зашифрованные имена.

Если каталог переименован, все файлы и каталоги, содержащиеся в нем, должны будут повторно зашифровать их зашифрованные имена, что может оказаться дорогостоящей операцией. Этот параметр следует отключить, если густонаселенные каталоги будут часто переименовываться.

Вектор инициализации файла IV

Если этот параметр включен, каждый файл шифруется случайным 8-байтовым вектором инициализации, который сохраняется в зашифрованном файле в исходном каталоге. Если этот параметр отключен, каждый файл зашифровывается с использованием одного и того же вектора инициализации, что может упростить взлом ключа громкости.

Включение этой опции делает файловую систему более безопасной за счет дополнительных 8 байт на файл.

Внешняя цепочка IV

Заставляет вектор инициализации данных файла быть полученным из цепочки векторов инициализации имени файла. Одни и те же данные будут по-разному зашифрованы с другим именем файла или другим каталогом.

Следовательно, переименование файла при включении этого режима требует, чтобы либо случайный вектор инициализации файла был смещен на изменение цепочки векторов инициализации имени файла, либо данные были перекодированы. Авторы EncFS выбрали первый путь, поскольку он значительно быстрее, особенно для больших файлов.

Связывание имени файла с заголовком IV

Делает кодировку зависимой от полного имени пути. Итак, переименование или перемещение означает перекодирование. Жесткие ссылки не поддерживаются.

Заголовки MAC блока

Сохраняет контрольную сумму для каждого зашифрованного блока, в результате чего EncFS обнаруживает повреждение или изменение зашифрованных файлов. Контрольная сумма (blockMACBytes) составляет 8 байтов, и, необязательно, к каждому блоку можно добавить до 8 дополнительных байтов случайных данных (blockMACRandBytes), чтобы два блока с одинаковыми незашифрованными данными не имели одинаковой контрольной суммы. Этот вариант создает большое количество ЦПУ накладные расходы, поскольку контрольная сумма каждого блока должна вычисляться при чтении данных (для проверки целостности) или записи (для обновления контрольной суммы).

Вторичные тома

EncFS поддерживает несколько примитивную форму вторичных томов, то есть единый исходный каталог, предлагающий разные файлы с разными паролями.

Если EncFS не удается расшифровать файл с помощью ключа тома, он игнорируется. Если EncFS принудительно игнорирует ввод неверного пароля, ключ тома будет декодироваться по-другому, и, следовательно, файлы будут зашифрованы и дешифрованы с другим ключом. Это представит два разных зашифрованных тома с разными паролями.

Однако возможно, что два имени файла на двух разных вторичных томах будут зашифрованы с одним и тем же именем файла. В этом случае любой другой файл будет перезаписан новым создаваемым файлом. Обратите внимание, что это относится только к зашифрованным именам файлов, а не к незашифрованным именам файлов. Эту опасность можно предотвратить, создав один каталог для каждого вторичного тома и сохранив файлы в единственном видимом каталоге после монтирования вторичного тома.

Кроме того, если пароль будет изменен, клавиша громкости будет перекодирована с новым паролем. Это приведет к исчезновению вторичных файловых систем, так как ключ громкости больше не будет некорректно декодировать тот же ключ для данного вторичного пароля. Если основной пароль будет изменен обратно, вторичные файловые системы снова станут доступными.

Автор EncFS не поддерживает эту технику.

Смотрите также

использованная литература

  1. ^ "Релизы - vgough / encfs". Получено 11 июн 2018 - через GitHub.
  2. ^ "Доблестный Гоф". Доблестный Гоф. Получено 23 апреля 2018.
  3. ^ "encfs4win - экспериментальный проект по переносу encfs в мир Windows". Получено 29 ноябрь 2013.
  4. ^ Фалько, Тимме (14 января 2017). «Как зашифровать ваши данные с помощью EncFS в Debian 8 (Джесси)». Фонд Linux. Получено 2017-04-13.
  5. ^ Фалько, Тимме (2016-05-06). «Зашифруйте свои данные с помощью EncFS в Ubuntu 16.04». Фонд Linux. Получено 2017-04-13.
  6. ^ а б Гоф, Валиент (2016-12-26). «ПЕРЕМЕННЫЕ ОКРУЖАЮЩЕЙ СРЕДЫ». GitHub. Получено 2017-05-07.
  7. ^ «Проблема № 7 - альтернативное хранилище файлов для очень длинных имен файлов». github.com. 2014-08-22. Получено 2016-01-27. После шифрования и кодирования длинные имена файлов могут превышать ограничения файловой системы.
  8. ^ "Справочная страница для enfs.1". manpages.ubuntu.com. Ubuntu. Архивировано из оригинал на 2016-02-03. Получено 2016-01-27. Если ваша базовая файловая система ограничивает вас до N символов в имени файла, то EncFS ограничивает вас примерно 3 * (N-2) / 4. Например, если файловая система хоста ограничена 256 символами, то EncFS будет ограничено 190 символами имен файлов. Это потому, что зашифрованные имена файлов всегда длиннее, чем имена файлов в открытом виде.
  9. ^ «Замечания по шифрованию каталогов EncFS».
  10. ^ «Аудит безопасности EncFS».
  11. ^ «Объявление о EncFS 1.8».

внешние ссылки