EncFs tidak aman, apa yang harus digunakan sekarang

19

Saya suka encfs karena menyediakan enkripsi berbasis file yang cukup berguna ketika datang ke penyimpanan cloud. Tapi sepertinya itu terutama untuk kasus penggunaan ini, encf dianggap tidak aman . Saya sadar bahwa encfs 2 sedang dalam pengembangan tetapi bagaimana menghadapinya sementara itu? Apakah ada alternatif yang terintegrasi dengan baik di ubuntu?

Sunting: Masalah keamanan yang sebagian besar saya rujuk adalah yang ini . Masih ada dalam versi 1.8 dan membuat file Anda rentan jika seseorang mendapatkan beberapa versi file terenkripsi Anda. Jika seseorang khawatir tentang layanan seperti Dropbox tidak begitu mudah dan mengenkripsi folder yang diunggah ke cloud karena itu, peluang bahwa penyerang (layanan) mendapatkan lebih dari satu salinan cyphertext benar-benar diberikan.

masukkan deskripsi gambar di sini

Sebastian
sumber
Tidakkah menurut Anda pertanyaan Anda sedikit terlambat? Audit yang Anda tautkan berasal dari 2014 dan perangkat lunak memiliki 2 pembaruan setelah itu di mana pihak ke-1 menyelesaikan beberapa masalah yang disebutkan dalam audit. Namun demikian: lihat kalimat terakhir dalam jawaban saya: mengenkripsi adalah default saat ini.
Rinzwind
1
Sebagai masalah dengan versi mutliple dari sebuah file membuatnya rentan masih diberikan: Tidak.
Sebastian
Sehubungan dengan gambar teks peringatan yang disertakan di atas, di mana pemilik sistem penyimpanan memodifikasi konfigurasi untuk menyederhanakan keamanan tanpa diketahui pemilik data ... Ini adalah salah satu alasan mengapa saya tidak percaya sebenarnya menyimpan file konfigurasi encfs dengan data aktual direktori, tetapi menyimpannya secara terpisah ke data terenkripsi yang sebenarnya. Lihat "Hapus file konfigurasi encf dari direktori data" dalam catatan saya ... ict.griffith.edu.au/anthony/info/crypto/encfs.txt
anthony

Jawaban:

10

Saat saya menulis ini, tampaknya ada beberapa alat open source yang mirip dengan encfs(tetapi lebih "modern" daripada encfs) yang dapat mengenkripsi file dengan cara "cloud-friendly" (yaitu menyediakan enkripsi per file, menjaga waktu modifikasi , dan seterusnya).

Sebagian besar dari mereka baik-baik saja jika Anda hanya menggunakan Ubuntu atau sistem Linux lainnya ( ecryptfstampaknya bagus), tetapi hal-hal menjadi sulit jika Anda memerlukan interoperabilitas dengan OS dan perangkat seluler lain, seperti yang sebagian besar dari kita harapkan saat ini.

Hanya untuk beberapa nama:

  • Cryptomator tampaknya menjadi satu-satunya yang bekerja "di mana-mana", dari setiap OS GNU / Linux ke Android. Bahkan ada PPA untuk Ubuntu dan binari untuk beberapa distro dan OS lainnya.
  • ecryptfs hanya berfungsi pada sistem GNU / Linux (seperti Ubuntu, tetapi juga ChromeOS), dan itu bagus jika Anda tidak perlu mengakses file Anda dari OS non-Linux, tetapi orang mengatakan mungkin ada beberapa masalah dengan alat sinkronisasi cloud.
  • CryFS itu solusi muda, hanya bekerja di Linux untuk saat ini, tetapi ada rencana untuk port ke MacOS dan Windows juga. Mungkin itu perlu mendapat perhatian di masa depan.

Anda mungkin menemukan juga perbandingan alat yang menarik dari situs web CryFS ini .

gerlos
sumber
3
Cryptomator tidak dapat digunakan karena sangat lambat. ecryptfs tidak cocok untuk cloud. CryFS telah menjadi beta selama hampir 3 tahun. Jadi, ini sebenarnya bukan alternatif
Rubi Shnol
9

Kesimpulan dalam tautan merangkum:

  1. Kesimpulan

Kesimpulannya, sementara EncFS adalah alat yang bermanfaat, ia mengabaikan banyak praktik terbaik standar dalam kriptografi. Ini kemungkinan besar karena usia tuanya (awalnya dikembangkan sebelum 2005), namun masih digunakan sampai sekarang, dan perlu diperbarui.

Penulis EncFS mengatakan bahwa versi 2.0 sedang dikembangkan 1 . Ini akan menjadi saat yang tepat untuk memperbaiki masalah lama.

EncFS mungkin aman selama musuh hanya mendapatkan satu salinan ciphertext dan tidak lebih. EncFS tidak aman jika musuh memiliki kesempatan untuk melihat dua atau lebih snapshot dari ciphertext pada waktu yang berbeda. EncFS berupaya melindungi file dari modifikasi berbahaya, tetapi ada masalah serius dengan fitur ini.

Jadi pertanyaan yang perlu Anda jawab: Seberapa besar kemungkinan penyerang bisa mendapatkan ciphertext?


Tapi audit itu dari 2014 dan dilakukan pada v1.7. v1.8 sudah memperbaiki beberapa masalah yang disebutkan dalam audit:

Kandidat rilis EncFS 1.8 pertama memperbaiki dua dari kerentanan potensial yang disebutkan dalam audit keamanan dan membawa beberapa perbaikan lainnya:

  • tingkatkan uji coba otomatis: uji mode balik juga (buat tes)
  • tambahkan per-file IVs berdasarkan nomor inode ke mode terbalik untuk meningkatkan keamanan
  • tambahkan benchmark otomatis (make benchmark)
  • bandingkan MAC dalam waktu yang konstan
  • tambahkan opsi --nocache

v1.8 juga keluar di 2014.


Dari halaman proyek :

Status

Selama 10 tahun terakhir, sejumlah alternatif yang baik telah tumbuh. Daya komputasi telah meningkat ke titik di mana masuk akal untuk mengenkripsi seluruh sistem file komputer pribadi (dan bahkan ponsel!). Di Linux, ecryptfs menyediakan direktori home terenkripsi yang dapat dipasang secara dinamis, dan terintegrasi dengan baik dalam distribusi yang saya gunakan, seperti Ubuntu.

EncFS telah aktif untuk sementara waktu. Saya sudah mulai membersihkan untuk mencoba dan menyediakan basis yang lebih baik untuk versi 2, tetapi apakah bunga EncFS lagi tergantung pada minat masyarakat. Agar lebih mudah bagi siapa saja untuk berkontribusi, itu memindahkan rumah baru di Github. Jadi, jika Anda tertarik dengan EncFS, silakan menyelam!

Itu dari 2013 ... Saya akan menganggap proyek mati jika itu adalah berita terbaru.

Tetapi ia mencantumkan ecryptfs sebagai alternatif untuk Ubuntu jadi lihatlah itu.

Rinzwind
sumber
Terima kasih atas jawaban terincinya. Tetapi ecaikpt afaik tidak dapat digunakan untuk mengamankan data di cloud.
Sebastian
"Jadi pertanyaan yang perlu kamu jawab: Seberapa besar kemungkinan penyerang bisa mendapatkan ciphertext?" Maksud saya, masalah utamanya adalah begitu penyerang memiliki akses ke akun layanan Cloud saya seperti Dropbox, mereka secara otomatis memiliki akses ke beberapa snapshot yang disimpan. Dan di situlah EncFS menjadi tidak aman.
finefoot
3

Encfs sangat berharga karena fitur kebalikannya. Ini secara instan memungkinkan cadangan tambahan di luar lokasi, semi-aman, tanpa biaya ruang disk tambahan.

Truecrypt tidak memiliki ini, atau Veracrypt, atau ecryptfs.

Saat encfs 2.0 sedang dikerjakan, periksa CryFS , yang belum 1.0. Kemungkinan lain adalah fuseflt yang memungkinkan Anda membuat tampilan direktori yang disaring (mis. Tampilan terenkripsi menggunakan flt_cmd = gpg --encrypt).

Greg Bell
sumber
Saya tidak tahu betapa berharganya fitur sebuah perangkat lunak enkripsi jika perangkat lunak tidak aman ...?
finefoot
2

Pada 2019, CryFS dan gocryptfs adalah kandidat terbaik menurut saya. Keduanya dirancang untuk Cloud, dikembangkan secara aktif, dan tidak memiliki masalah keamanan yang diketahui.

Desain mereka berbeda, yang memiliki pro dan kontra:

CryFs menyembunyikan meta-data (misalnya, ukuran file, struktur direktori), yang merupakan properti yang bagus. Untuk mencapainya, CryFs menyimpan semua file dan informasi direktori dalam blok ukuran tetap, yang dilengkapi dengan biaya kinerja.

Sebaliknya, gocrytfs lebih dekat dengan desain EncFs (untuk setiap file teks biasa, ada satu file terenkripsi). Ini terutama berkaitan dengan kerahasiaan konten file dan tidak memiliki perlindungan yang kuat terhadap informasi meta yang bocor. Seperti halnya EncF, ini juga mendukung mode mundur , yang berguna untuk cadangan terenkripsi.

Secara keseluruhan, desain CryFs memiliki keunggulan dalam hal kerahasiaan dan penolakan perusakan. Di sisi lain, gocrypts memiliki keunggulan praktis (kinerja, dukungan untuk mode mundur).

Kedua sistem ini relatif baru. Dalam hal transparansi, keduanya adalah proyek open source. gocryptfs memiliki audit keamanan independen pada 2017 . CryFs tidak memiliki audit seperti itu, tetapi desain telah dikembangkan dan dibuktikan dalam tesis master dan sebuah makalah telah diterbitkan.

Bagaimana dengan yang lainnya?

EncFS tidak disarankan karena masalah keamanan yang belum terselesaikan. Tidak aman jika penyerang mendapatkan akses ke versi file sebelumnya (yang akan menjadi kasus ketika Anda menyimpan data di Cloud). Juga informasi meta bocor seperti ukuran file. Ada utas tentang rencana untuk versi 2 , tetapi tidak ada tanda-tanda bahwa itu akan terjadi dalam waktu dekat. Pengembang EncFs asli telah merekomendasikan gocryptfs.

eCryptfs telah melihat kurangnya dukungan baru-baru ini . Di Ubuntu, installer tidak lagi mendukung direktori ecryptfs dienkripsi / beranda. Sebagai gantinya mereka merekomendasikan enkripsi disk penuh berdasarkan LUKS . Selain itu, eCryptFs telah dirancang untuk disk lokal, bukan penyimpanan Cloud, jadi saya tidak akan merekomendasikannya.

VeraCrypt (penerus TrueCrypt) memiliki reputasi yang baik dari sudut pandang keamanan, tetapi tidak ramah Cloud, karena semuanya disimpan dalam satu file besar. Itu akan membuat sinkronisasi lambat. Namun, pada sistem file lokal, ini bukan masalah, yang menjadikannya kandidat yang sangat baik di sana.

Ada perbandingan yang bagus dari semua alat ini di beranda CryFs .

Philipp Claßen
sumber