Текущая страница: ГлавнаяРазное → Шифрование данных с использование EncFS и eCryptfs

Шифрование данных с использование EncFS и eCryptfs

EncFS достаточно хорошее решение для случая, когда вы не можете по тем или иным причинам использовать зашифрованные тома и для вас вполне достаточно не всей системы, а отдельного каталога. Устанавливаем encfs:
aptittude install encfs
encfs ~/crypt-raw ~/crypt
EncFS сначала спросит, хотите ли вы создать два каталога, указанные в вышеприведенной команде (crypt-raw и crypt), которые, в нашем примере, расположены в домашнем каталоге. «Реальным» каталогом является crypt-raw, содержащий зашифрованные файлы, тогда как crypt содержит виртуальную файловую систему – расшифрованную версию содержимого каталога crypt-raw.
Далее выбираем режим шифрования:
Стандартный режим – применяет 160-битные ключи и алгоритм шифрования SSL/Blowfish от Брюса Шнайера (Bruce Schneier).
Экспертный режим предоставляет 256-битное AES-шифрование или 256-битное шифование Blowfish, также можно задать длину ключа и ряд дополнительных настроек в интерактивном режиме.
Режим максимальной секретности — максимальная защита, 256-битное AES-шифрование, ключ 256 бит, блоки по 1024 байта.
После этого устанавливаем пароль и дальше можем работать с файлами в каталоге ~/crypt
В каталоге ~/crypt-raw есть скрытый файл, с именем .encfs6.xml, в нем содержится информация, необходимая для понимание содержимого исходной файловой системы для EncFS. Если удалите этот файл — расшифровать данные не сможете, даже зная пароль.
Отмонтировать каталог:
fusermount -u ~/crypt
Иногда вы можете получить сообщение о невозможности отмонтировать каталог, ввиду того что он занят…Смотрим кто занимает lsof | grep crypt, во второй колонке получаем ID процесса, смотрим из любопытства что за процесс ps -eaux | grep ID_процесса…убиваем процесс kill -9 ID и спокойно отмонтируем каталог.
Когда вы создаёте зашифрованный каталог, EncFS выбирает случайный пароль, шифрует указанный каталог, и затем шифрует случайный пароль вашим собственным паролем. В результате, вы можете сменить пароль в любое время, без необходимости прешифровывать все файлы. Изменить пароль можно улититой encfsctl.
encfs passwd ~/crypt-raw
Теперь пару слов о том насколько эта система защищена.
Аудит системы EncFS сделанный Тейлором Хорнби.
Если вкратце то особую опасность, по его мнению, представляет собой известная с 2010 года уязвимость с использованием потокового шифра для шифрования последнего файлового блока. Это означает, что дешифровщик получает доступ к результату выполнения XOR над двумя разными блоками оригинала, что не есть хорошо. Разработчики EncFS предпочли защититься от такого вектора атаки за счет добавления случайных байтов к последнему блоку. По мнению Хорнби, это не выход из ситуации, к тому же, такая опция отключена по умолчанию в EncFS.
Среди других уязвимостей можно выделить одну, которая представляет собой среднюю угрозу, но легко может быть использована злоумышленником. Это слабый контроль над MAC-заголовками, которые защищают шифротекст от внешнего редактирования. Опция просто отключается из конфигурационного файла.encfs6.xml, подробнее можно поискать по CVE-2014-3462.
Тейлор Хорнби продолжил исследование криптостойкости открытых систем дискового шифрования и wwwопубликовал результаты аудита подсистемы eCryptfs, входящей в состав ядра Linux. По результатам проверки сделан вывод, что процесс шифрования в eCryptfs организован заметно лучше, чем в ранее проанализированном EncFS. Тем не менее, архитектура eCryptfs не избавлена от отдельных недочётов, свидетельствующих о том, что её проектированием занимался не профессиональный криптограф и, что код проекта не подвергался серьёзному аудиту безопасности. Всего выявлено три недочёта, которые отмечены как незначительные. В итоге, eCryptfs признан безопасным для использования, но разработчикам даны рекомендации по проведению более детального аудита.
aptittude install ecryptfs-utils
ecryptfs-setup-private —noautomount -w
Сначала программа запросит ваш системный пароль, потом попросит задать пароль для монтирования, тут можете нажать Enter, программа сама сгенерирует пароль.
Как и в encfs ваш пароль шифрует строку mount passphrase и уже с ее помощью шифруются данные.
Ключ —noautomount отключает монтирование при входе в систему
Ключ -w позволяет задать пароль отличный от системного
Пустой файл ~/.cryptfs/auto-mount, если хотите отключить автоммонтирование, просто удалите его, хотите включить — создайте.
Пустой файл ~/.cryptfs/auto-umount аналогично — отмонтирование при выходе.
Файл ~/.cryptfs/wrapped-passphrase содержит зашифрованную mount passphrase
Файл ~/.cryptfs/Private.sig содержит сигнатуру mount passphrase
Файл ~/.cryptfs/Private.mnt содержит путь к зашифрованному каталогу c которым вы будете работать (фактически точка монтирования)
Для монтирования запустите ecryptfs-mount-private
Для размонтирования ecryptfs-umount-private
Директория для зашифрованных файлов ~/.Private
Директория с которой работаем и в которую кладем файлы ~/Private

Добавить комментарий