EncFS – kolejne narzędzie do szyfrowania upada

Dawno temu zachwycałem się EncFS[1]. Obsługiwało AES, pozwalało szyfrować pliki, nie partycje i pozwalało trzymać je na zwykłym systemie plików. Tak naprawdę szyfrowany był katalog. Jakiś czas temu upadł Truecrypt, który – zdaniem twórców – okazał się nie tak bezpieczny, jak postrzegali go ludzie. Teraz kolej na EncFS.

Wczoraj, podczas aktualizacji systemu[2], dostałem w twarz dialogboksem o następującej treści:

Encfs security informationAccording to a security audit by Taylor Hornby (Defuse Security), the current implementation of Encfs is vulnerable or potentially vulnerable to multiple types of attacks. For example,an attacker with read/write access to encrypted data might lower the decryption complexity for subsequently encrypted data without this being noticed by a legitimate user, or might usetiming analysis to deduce information.Until these issues are resolved, encfs should not be considered a safe home for sensitive data in scenarios where such attacks are possible.

Pięknie, prawda? Szczególnie, że EncFS byłby świetnym rozwiązaniem do szyfrowania plików w chmurze – EncFS dla WebDAV czy Dropbox były proste w założeniu i wygodne w użytkowaniu[3]

Wygląda, że pomału można żegnać się z EncFS. A podobnych alternatyw jakoś nie widać na horyzoncie.

[1] Strona projektu zwraca 404. Przypadek? W każdym razie nie linkuję, łatwe do wyszukania…

[2] Debian unstable. Akurat tam nie używam encfs, ale instaluję wszędzie. Planowałem do chmury.

[3] Ładne ilustrowane howto dla EncFS w chmurze.

9 odpowiedzi na “EncFS – kolejne narzędzie do szyfrowania upada”

  1. Być może to naprawią, z tego co pamiętam co pisało w audycie, to nie były jakieś krytyczne problemy. Może będą musieli zerwać z kompatybilnością wstecz, ale to wszystko.

    Swoją drogą, mi osobiście jakoś nie zależy na ukrywaniu metadanych (nazwy plików, wielkości itd) – ciekawe czy istnieje jakiś filesystem dla FUSE który po prostu szyfruje każdy plik osobno przez PGP. Jako bonus dałoby się to odczytywać np. na telefonie, bo z encfs to raczej kiepsko. Wiadomo że będą problemy z wydajnością dla dużych plików i tak dalej, ale do pewnych zastosowań byłoby całkiem w porządku.

  2. @GDR! Zobaczymy. Strona projektu leży, jak sprawdzałem jakiś czas temu, to nie grzeszył aktualizacjami. IMHO padnie.

    Metadane typu nazwa IMO warto ukrywać – wiadomo nad czym np. firma pracuje czy jaką inną firmą się interesuje itp. Rozmiar – tu jest problem, bo można tylko zwiększać. IMHO niekrytyczne, ale fajnie, jakby FS miał opcję zwiększania rozmiaru pliku o losową ilość, nie więcej niż N procent.

    Co do szyfrowania przez GPG – myślałem o tym samym, ale będzie parę problemów:
    1. pliki tymczasowe (gdzie trzymać?)
    2. jednowątkowość gpg (wydajność)

    Czemu encfs miałby kiepsko działać na telefonie via FUSE, skoro GPG by działało (via FUSE). Widzę minimum 3 choć w części kompatybilne: Boxcryptor Classic, Encdroid Multi Cloud, Cryptonite.

    BTW z Linuksowych alternatyw polecono mi ecryptfs. Jeszcze się nie przyglądałem…

  3. @Tomasz: Masz rację i jej nie masz. Faktycznie jest nowa strona, ale… nie jest kompletna. Zacytuję:
    GitHub hosting for EncFS is in progress. Until the transition is complete, see also the original, and more complete, introduction page at http://www.arg0.net/encfs I 404 na podanym linku.

  4. @fenrir Prawda, teraz działa, dzięki za info. Wtedy nie działało (i wątpię, by o mój internet chodziło ;)). Można się przekonać, że na githubie niepotrzebnie odsyła do starej strony, bo nic ciekawego na niej nie ma. 🙂

  5. W tej chwili projekt jest nadal rozwijany. Działa dobrze, a dziury, które wykryto nie były jakieś krytyczne. Tym bardziej, że jeśli ktoś tego używał lokalnie to w ogóle go nie dotyczyły.

    W mojej opinii jest najlepszy. A najlepszym dowodem na to jest fakt, że audyt odbył się w sposób profesjonalny, a nie jak z TrueCryptem, gdzie po audycie okazało się, że są dwie nowe dziury, których audytorzy nie wykryli.

    Na dzień dzisiejszy EncFS jest bezpieczny. Tylko bierzcie pod uwagę to, że mówię o samym EncFS. Jak ktoś używa go za pośrednictwem jakiś programów to musi liczyć się z tym, że te programy będą miały jakieś backdoory. Polecam EncFS+konsola+trzymanie pliku z kluczem w innej lokalizacji niż zaszyfrowane dane.

    Pzdr.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *