Войти
| Разработчик (и) | Valient Gough |
|---|---|
| Стабильная версия | 1.9.5 / 27 апреля 2018 г.; 2 года назад (27.04.2018) |
| Репозиторий |  |
| Операционная система | Linux, FreeBSD, macOS, Windows ("encfs4win" порт ) (также Safe, альтернативный macOS, Windows порт) и Android приложения |
| Тип | файловая система, шифрование |
| Лицензия | LGPL |
| Веб-сайт | EncFS home |
EncFS - это Free (LGPL ) FUSE -based криптографическая файловая система. Он прозрачно шифрует файлы, используя произвольный каталог в качестве хранилища для зашифрованных файлов.
В монтировании файловой системы EncFS участвуют два каталога: исходный каталог и точка монтирования. Каждый файл в точке монтирования имеет определенный файл в исходном каталоге, который ему соответствует. Файл в точке монтирования предоставляет незашифрованный вид файла в исходном каталоге. Имена файлов зашифрованы в исходном каталоге.
Файлы зашифровываются с помощью ключа тома, который хранится внутри или вне зашифрованного исходного каталога. Для расшифровки этого ключа используется пароль.
EncFS предлагает несколько преимуществ перед другими программами шифрования дисков просто потому, что каждый файл хранится индивидуально как зашифрованный файл в другом месте дерева каталогов хоста.
EncFS доступен на нескольких платформах, тогда как eCryptfs привязан к Linux ядру
EncFS реализует обнаружение bitrot поверх любой базовой файловой системы
EncFS не имеет «томов », которые занимают фиксированный размер - зашифрованные каталоги растут и сжимаются по мере добавления или удаления файлов из точки монтирования
Зашифрованный каталог EncFS может быть расположен на обычном файловом сервере (через NFS, SSHFS и т. Д.), И их можно эффективно зеркалировать и создавать резервные копии с помощью обычных инструментов файловой системы, таких как Rsync
Некоторые каталоги в точке монтирования могут существовать на разных физических устройствах, если файловая система смонтирована поверх одного из подкаталогов исходного каталога
Утилиты резервного копирования могут выполнять резервное копирование. вверх только файлы, которые были изменены в так каталог urce (синхронизация файлов, облачное хранилище)
Повреждение данных более изолированно. Повреждение файловых данных является локальным для отдельного файла, и повреждение данных файловой системы можно исправить с помощью надежной утилиты восстановления файловой системы, такой как fsck. В некоторых системах шифрования всего диска отсутствует один или оба этих атрибута.
Поскольку изменения файлов проникают в основную файловую систему, различные оптимизации операционной системы по-прежнему возможны, в отличие от шифрования всего диска. Например, передача информации об освобожденном пространстве (TRIM ) может повысить производительность дисков SSD. Но это также поддерживается dm-crypt.
К файлам можно обращаться произвольно. Вы можете, например, перейти к середине очень большого зашифрованного видео, не расшифровывая весь файл.
Использование EncFS имеет некоторые недостатки.
Подключенные каталоги EncFS имеют те же функции и ограничения, что и файловая система, содержащая исходный каталог.
Из-за шифрования имена файлов для зашифрованных файлов, созданных EncFS, длиннее, чем исходные имена файлов. Следовательно, имена файлов, длина которых близка к максимальной, поддерживаемой файловой системой, не могут быть сохранены в EncFS, поскольку после шифрования они превышают лимит длины. Большинство файловых систем ограничивают имена файлов 255 байтами; в этом случае EncFS поддерживает только имена файлов размером до 190 байт.
Любой, у кого есть доступ к исходному каталогу, может увидеть, сколько файлов находится в зашифрованной файловой системе, какие разрешения у них есть, их приблизительный размер и время последнего доступа или изменения, хотя имена файлов и данные файлов зашифрованы.
Платный аудит безопасности был проведен в Февраль 2014 г., когда было выявлено несколько потенциальных уязвимостей. В нем делается вывод:
EncFS, вероятно, безопасен, пока злоумышленник получает только одну копию зашифрованного текста и ничего более. EncFS небезопасен, если злоумышленник имеет возможность увидеть два или более снимка зашифрованного текста в разное время. EncFS пытается защитить файлы от злонамеренных изменений, но с этой функцией возникают серьезные проблемы.
Объявление о EncFS 1.8 включало несколько основных изменений дизайна, признавая проблемы безопасности, поднятые в предыдущем аудит. Однако определенные опасения по поводу этих уязвимостей все еще остаются.
При создании нового тома EncFS доступны несколько различных параметров для настройки файловой системы в соответствии с различными потребностями.
EncFS использует любые шифры, которые она может найти в различных библиотеках шифрования в системе. Blowfish и AES обычно доступны.
Длина ключа шифра (keySize) может быть выбрана для шифров, которые поддерживают переменную длину ключа.
Каждый файл зашифрован блоками, и этот параметр определяет размер этих блоков. Каждый раз, когда считывается один байт, весь блок, в котором он содержится, должен быть расшифрован. Аналогичным образом, для каждой записи блок должен быть расшифрован, изменен и повторно зашифрован.
Размер блока по умолчанию 1024 достаточен для большинства целей.
Имена файлов в исходном каталоге могут быть простыми или зашифрованными в блочном или потоковом режиме. Блочный режим несколько скрывает длину имени файла, в то время как потоковый режим сохраняет его как можно короче, что может сэкономить место в файловой системе исходного каталога в зависимости от того, как эта файловая система управляет деревом каталогов.
Если этот параметр включен, вектор инициализации для шифрования имени файла извлекается из родительских каталогов файла, в результате чего два файла с одинаковым именем, но в разных каталогах - иметь разные зашифрованные имена файлов.
Если каталог переименован, все файлы и каталоги, содержащиеся в нем, должны будут повторно зашифровать свои зашифрованные имена файлов, что может оказаться дорогостоящей операцией. Этот параметр следует отключить, если густонаселенные каталоги будут часто переименовываться.
Если этот параметр включен, каждый файл зашифровывается случайным 8-байтовым вектором инициализации, который сохраняется в зашифрованном файле в исходном каталоге. Если этот параметр отключен, каждый файл зашифровывается с использованием одного и того же вектора инициализации, что может упростить взлом ключа громкости.
Включение этой опции делает файловую систему более безопасной за счет дополнительных 8 байтов на файл.
Заставляет вектор инициализации данных файла быть полученным из цепочки векторов инициализации имени файла. Одни и те же данные будут по-разному зашифрованы с другим именем файла или другим каталогом.
Следовательно, переименование файла при включении этого режима требует, чтобы либо произвольный вектор инициализации файла был смещен изменением в цепочке векторов инициализации имени файла, либо данные были перекодированы. Авторы EncFS выбрали первый путь, поскольку он значительно быстрее, особенно для больших файлов.
Заставляет кодирование зависеть от полного имени пути. Итак, переименование или перемещение означает перекодирование. Жесткие ссылки не поддерживаются.
Сохраняет контрольную сумму для каждого зашифрованного блока, что приводит к обнаружению повреждением или изменением зашифрованных файлов с помощью EncFS. Контрольная сумма (blockMACBytes) составляет 8 байтов, и, необязательно, до 8 дополнительных байтов случайных данных (blockMACRandBytes) может быть добавлено к каждому блоку, чтобы два блока с одинаковыми незашифрованными данными не имели одинаковой контрольной суммы. Эта опция создает большие накладные расходы CPU, так как контрольная сумма каждого блока должна вычисляться при чтении данных (для проверки целостности) или записи (для обновления контрольной суммы).
EncFS поддерживает несколько примитивную форму вторичных томов, то есть единый исходный каталог, предлагающий разные файлы с разными паролями.
Если EncFS не удается расшифровать файл с помощью ключа тома, он игнорируется. Если EncFS принудительно игнорирует ввод неверного пароля, ключ тома будет декодироваться по-другому, и, следовательно, файлы будут зашифрованы и дешифрованы с другим ключом. Это представит два разных зашифрованных тома с разными паролями.
Однако возможно, что два имени файла на двух разных вторичных томах будут зашифрованы с одним и тем же именем файла. В этом случае любой другой файл будет перезаписан новым создаваемым файлом. Обратите внимание, что это относится только к зашифрованным именам файлов, а не к незашифрованным именам файлов. Эту опасность можно предотвратить, создав один каталог для каждого вторичного тома и сохранив файлы в единственном видимом каталоге после монтирования вторичного тома.
Кроме того, при изменении пароля клавиша громкости перекодируется с новым паролем. Это приведет к исчезновению вторичных файловых систем, так как ключ громкости больше не будет некорректно декодировать тот же ключ для данного вторичного пароля. Если основной пароль будет изменен обратно, вторичные файловые системы снова станут доступными.
Автор EncFS не поддерживает эту технику.
Портал бесплатного программного обеспечения с открытым исходным кодом 