ЭнкФС

EncFS — бесплатная ( LGPL ) FUSE на основе криптографическая файловая система . Он прозрачно шифрует файлы, используя произвольный каталог в качестве хранилища для зашифрованных файлов. ^{[4] [5]}

Для монтирования файловой системы EncFS используются два каталога: исходный каталог и точка монтирования. Каждому файлу в точке монтирования соответствует определенный файл в исходном каталоге. Файл в точке монтирования предоставляет незашифрованное представление файла в исходном каталоге. Имена файлов зашифрованы в исходном каталоге.

Файлы шифруются с помощью ключа тома, который хранится внутри или за пределами зашифрованного исходного каталога. ^[6] . пароль Для расшифровки этого ключа используется

• В Linux позволяет шифровать домашние папки в качестве альтернативы eCryptfs .
• Позволяет шифровать файлы и папки, сохраненные в облачных хранилищах ( Dropbox , Google Drive , OneDrive и т. д.).
• Позволяет переносимое шифрование папок с файлами на съемных дисках.
• Доступен как кроссплатформенный механизм шифрования папок.
• Повышает безопасность хранилища за счет добавления двухфакторной аутентификации (2FA). Когда ключ тома EncFS хранится вне зашифрованного исходного каталога и в месте, физически отделенном от фактических зашифрованных данных, это значительно повышает безопасность за счет добавления двухфакторной аутентификации (2FA). Например, EncFS может хранить каждый уникальный ключ тома где угодно, кроме самих зашифрованных данных, например, на USB-накопителе , сетевом подключении , оптическом диске или в облаке . ^[6] Кроме того, пароль . для расшифровки этого ключа тома может потребоваться

EncFS предлагает несколько преимуществ перед другим программным обеспечением для шифрования дисков просто потому, что каждый файл хранится отдельно как зашифрованный файл в другом месте дерева каталогов хоста.

EncFS доступна на нескольких платформах, тогда как eCryptfs привязан к Linux ядру .

EncFS реализует обнаружение битротов поверх любой базовой файловой системы.

В EncFS нет « томов », которые занимают фиксированный размер — зашифрованные каталоги увеличиваются и уменьшаются по мере добавления или удаления файлов из точки монтирования.

Зашифрованный каталог EncFS может располагаться на обычном файловом сервере (через NFS , SSHFS и т. д.), а также может эффективно зеркалироваться и резервироваться с помощью обычных инструментов файловой системы, таких как Rsync.

Некоторые каталоги в точке монтирования могут существовать на разных физических устройствах, если файловая система смонтирована в одном из подкаталогов исходного каталога.

Утилиты резервного копирования могут создавать резервные копии только тех файлов, которые были изменены в исходном каталоге (синхронизация файлов, облачное хранилище).

Повреждение данных носит более изолированный характер. Повреждение файловых данных является локальным для одного файла, и повреждение данных файловой системы можно исправить с помощью надежной утилиты восстановления файловой системы, такой как fsck . В некоторых системах шифрования всего диска отсутствует один или оба этих атрибута.

Поскольку изменения файлов затрагивают базовую файловую систему, различные оптимизации операционной системы по-прежнему возможны, в отличие от полнодискового шифрования. Например, передача информации об освобожденном пространстве ( TRIM ) может повысить производительность SSD -накопителей. Но это также поддерживается dm-crypt .

Доступ к файлам может быть произвольным. Например, вы можете перейти к середине очень большого зашифрованного видео, не расшифровывая весь файл.

Есть некоторые недостатки использования EncFS.

Подключенные каталоги EncFS имеют те же функции и ограничения, что и файловая система, содержащая исходный каталог.

Из-за шифрования имена зашифрованных файлов, созданных EncFS, длиннее, чем исходные имена файлов. Таким образом, имена файлов, длина которых близка к максимальной, поддерживаемой файловой системой, не могут быть сохранены EncFS, поскольку после шифрования они превысят предел длины. Большинство файловых систем ограничивают имена файлов 255 байтами; в этом случае EncFS поддерживает только имена файлов длиной до 190 байт. ^{[7] [8]}

Любой, кто имеет доступ к исходному каталогу, может увидеть, сколько файлов находится в зашифрованной файловой системе, какие разрешения они имеют, их приблизительный размер, а также время последнего доступа или изменения к ним, хотя имена файлов и данные файлов зашифрованы. ^[9]

В феврале 2014 года был проведен платный аудит безопасности, который выявил несколько потенциальных уязвимостей. В заключение: ^[10]

EncFS, вероятно, безопасен, пока злоумышленник получает только одну копию зашифрованного текста и не более того. EncFS небезопасна, если у злоумышленника есть возможность увидеть два или более снимков зашифрованного текста в разное время. EncFS пытается защитить файлы от вредоносных модификаций, но с этой функцией возникают серьезные проблемы.

Анонс EncFS 1.8 включал в себя несколько основных изменений конструкции, признающих проблемы безопасности, поднятые в ходе предыдущего аудита. Однако определенные опасения по поводу этих уязвимостей по-прежнему сохраняются. ^[11]

При создании нового тома EncFS доступно несколько различных опций для настройки файловой системы в соответствии с различными потребностями.

EncFS использует любые шифры, которые она может найти в различных библиотеках шифрования в системе. Blowfish и AES Обычно доступны .

Длина ключа шифрования (keySize) может быть выбрана для шифров, поддерживающих ключи переменной длины.

Каждый файл шифруется блоками, и этот параметр определяет размер этих блоков. Каждый раз, когда считывается один байт, необходимо расшифровать весь блок, в котором он содержится. Аналогично, для каждой записи блок должен быть расшифрован, изменен и повторно зашифрован.

Размер блока по умолчанию 1024 достаточен для большинства целей.

Имена файлов в исходном каталоге могут быть простыми или зашифрованными в блочном или потоковом режиме. Блочный режим несколько скрывает длину имени файла, в то время как потоковый режим делает его максимально коротким, что может сэкономить место в файловой системе исходного каталога в зависимости от того, как эта файловая система управляет деревом каталогов.

Если этот параметр включен, вектор инициализации для шифрования имени файла извлекается из родительских каталогов файла, в результате чего два файла с одинаковым именем, но в разных каталогах, имеют разные зашифрованные имена.

Если каталог переименован, все файлы и каталоги, содержащиеся в нем, должны будут повторно зашифровать свои зашифрованные имена, что может оказаться дорогостоящей операцией. Эту опцию следует отключить, если сильно заполненные каталоги будут часто переименовываться.

Если этот параметр включен, каждый файл шифруется случайным 8-байтовым вектором инициализации, который сохраняется в зашифрованном файле в исходном каталоге. Если этот параметр отключен, каждый файл шифруется с использованием одного и того же вектора инициализации, что упрощает взлом ключа тома.

Включение этой опции делает файловую систему более безопасной за счет дополнительных 8 байт на файл.

Заставляет вектор инициализации данных файла быть полученным из цепочки векторов инициализации имени файла. Одни и те же данные будут зашифрованы по-разному при другом имени файла или каталоге.

Следовательно, переименование файла, когда этот режим включен, требует, чтобы либо случайный вектор инициализации файла был смещен за счет изменения в цепочке векторов инициализации имени файла, либо данные были перекодированы. Авторы EncFS выбрали первый путь, поскольку он значительно быстрее, особенно для больших файлов.

Делает кодировку зависимой от полного имени пути. Таким образом, переименование или перемещение означает перекодирование. Жесткие ссылки не поддерживаются.

Сохраняет контрольную сумму для каждого зашифрованного блока, что приводит к обнаружению EncFS повреждения или модификации зашифрованных файлов. Контрольная сумма (blockMACBytes) составляет 8 байт, и дополнительно к каждому блоку можно добавить до 8 дополнительных байтов случайных данных (blockMACRandBytes), чтобы предотвратить появление одинаковой контрольной суммы у двух блоков с одинаковыми незашифрованными данными. Эта опция создает большую нагрузку на ЦП , поскольку контрольная сумма каждого блока должна вычисляться при чтении данных (для проверки целостности) или записи (для обновления контрольной суммы).

• Шифрование диска
• Шифрование на уровне файловой системы
• Список криптографических файловых систем
• Список файловых систем

• Страница руководства Encfs
• Safe: еще одна пофайловая реализация для Windows и Mac OS X, без драйвера режима ядра (медленнее), но с полностью открытым исходным кодом.
• Boxcryptor: фирменное программное обеспечение на основе EncFS для Windows, Android и iOS. Архивировано 16 февраля 2017 г. на Wayback Machine.
• EncFSMP: реализация, работающая в Windows и Mac OS X.