EncFs non sécurisé, quoi utiliser maintenant

19

J'adore encfs car il fournit un cryptage basé sur des fichiers, ce qui est très utile en matière de stockage dans le cloud. Mais il semble que spécialement pour ce cas d'utilisation, encfs est considéré comme non sécurisé . Je sais qu'encfs 2 est en cours de développement mais comment y faire face en attendant? Existe-t-il des alternatives qui s'intègrent bien dans ubuntu?

Edit: Le problème de sécurité dont je parle le plus est celui-ci . Il est toujours présent dans la version 1.8 et rend vos fichiers vulnérables si quelqu'un obtient plusieurs versions de vos fichiers cryptés. Si l'on s'inquiète que des services comme Dropbox ne soient pas très fiables et crypte les dossiers téléchargés dans le cloud à cause de cela, l'opportunité que l'attaquant (le service) obtienne plus d'une copie du texte crypté est absolument donnée.

entrez la description de l'image ici

security encryption cloud dropbox encfs Sébastien
la source
Ne pensez-vous pas que votre question est un peu en retard? Cet audit auquel vous vous connectez date de 2014 et le logiciel a eu 2 mises à jour après cela, où le 1er a résolu certains des problèmes mentionnés dans l'audit. Néanmoins: voir la dernière phrase de ma réponse: encryptfs est la valeur par défaut actuelle.
Rinzwind
1
Comme le problème avec plusieurs versions d'un fichier le rend vulnérable est toujours donné: Non.
Sebastian
En ce qui concerne l'image de texte d'avertissement incluse ci-dessus, où les propriétaires du système de stockage modifient la configuration pour simplifier la sécurité sans que les propriétaires de données ne le sachent ... , mais en le stockant séparément dans les données chiffrées réelles. Voir "Supprimer les fichiers de configuration encfs du répertoire de données" dans mes notes ... ict.griffith.edu.au/anthony/info/crypto/encfs.txt
anthony

Réponses:

10

Au moment où j'écris ceci, il semble y avoir pas mal d'outils open source similaires à encfs(mais plus "modernes" queencfs ) qui pourraient être en mesure de crypter des fichiers de manière "cloud friendly" (c'est-à-dire en fournissant un cryptage par fichier, en conservant les temps de modification , etc).

La plupart d'entre eux sont corrects si vous utilisez uniquement Ubuntu ou tout autre système Linux (ecryptfs semble bon), mais les choses deviennent difficiles si vous avez besoin d'interopérabilité avec d'autres systèmes d'exploitation et appareils mobiles, comme la plupart d'entre nous s'y attendent de nos jours.

Juste pour en nommer quelques-uns:

  • Cryptomator semble être le seul qui fonctionne "partout", de n'importe quel OS GNU / Linux à Android. Il y a même un PPA pour Ubuntu et des binaires pour plusieurs autres distributions et OS.
  • ecryptfs ne fonctionne que sur les systèmes GNU / Linux (comme Ubuntu, mais aussi ChromeOS), et c'est bien si vous n'avez pas besoin d'accéder à vos fichiers à partir de systèmes d'exploitation non Linux, mais les gens disent qu'il peut y avoir des problèmes avec les outils de synchronisation cloud.
  • CryFS est une solution jeune, ne fonctionne que sous Linux pour l'instant, mais il est également prévu de la porter sur MacOS et Windows. Peut-être que cela mérite une certaine attention à l'avenir.

Vous pouvez également trouver intéressante cette comparaison d'outils du site Web CryFS .

gerlos
la source
3
Cryptomator est inutilisable car extrêmement lent. ecryptfs n'est pas approprié pour les nuages. CryFS est bêta depuis près de 3 ans. Ce ne sont donc pas vraiment des alternatives
Rubi Shnol
9

La conclusion dans le lien résume:

  1. Conclusion

En conclusion, même si EncFS est un outil utile, il ignore de nombreuses meilleures pratiques standard en cryptographie. Cela est probablement dû à sa vieillesse (développé à l'origine avant 2005), mais il est toujours utilisé aujourd'hui et doit être mis à jour.

L'auteur EncFS dit qu'une version 2.0 est en cours de développement 1 . Ce serait le bon moment pour résoudre les anciens problèmes.

EncFS est probablement sûr tant que l'adversaire ne reçoit qu'une copie du texte chiffré et rien de plus. EncFS n'est pas sûr si l'adversaire a la possibilité de voir deux ou plusieurs instantanés du texte chiffré à des moments différents. EncFS tente de protéger les fichiers contre les modifications malveillantes, mais cette fonctionnalité pose de sérieux problèmes.

Donc, la question à laquelle vous devez répondre: Quelle est la probabilité qu'un attaquant puisse mettre la main sur le texte chiffré?

Mais cet audit date de 2014 et a été effectué sur la v1.7. La v1.8 corrige déjà certains des problèmes mentionnés dans l'audit:

Le premier candidat à la version EncFS 1.8 corrige deux des vulnérabilités potentielles mentionnées dans l'audit de sécurité et apporte quelques autres améliorations:

  • améliorer le test automatique: également tester le mode inverse (faire un test)
  • ajouter des IV par fichier en fonction du numéro d'inode au mode inverse pour améliorer la sécurité
  • ajouter un benchmark automatique (faire un benchmark)
  • comparer MAC en temps constant
  • ajouter l'option --nocache

La v1.8 est également sortie en 2014.

Depuis la page du projet :

Statut

Au cours des 10 dernières années, un certain nombre de bonnes alternatives ont vu le jour. La puissance de calcul a augmenté au point où il est raisonnable de chiffrer l'intégralité du système de fichiers des ordinateurs personnels (et même des téléphones portables!). Sous Linux, ecryptfs fournit un joli répertoire personnel chiffré montable dynamiquement et est bien intégré dans les distributions que j'utilise, comme Ubuntu.

EncFS est en sommeil depuis un certain temps. J'ai commencé à nettoyer afin d'essayer de fournir une meilleure base pour une version 2, mais si les fleurs EncFS dépendent à nouveau de l'intérêt de la communauté. Afin de faciliter la contribution de quiconque, il déménage une nouvelle maison sur Github. Donc, si vous êtes intéressé par EncFS, veuillez plonger!

C'est à partir de 2013 ... Je considérerais le projet comme mort si c'était les dernières nouvelles.

Mais il répertorie ecryptfs comme alternative à Ubuntu, alors jetez un œil à cela.

Rinzwind
la source
Merci pour la réponse détaillée. Mais afaik ecryptfs n'est pas utilisable pour sécuriser les données dans le cloud.
Sebastian
"Donc, la question à laquelle vous devez répondre: quelle est la probabilité qu'un attaquant puisse mettre la main sur le texte chiffré?" Je veux dire, le principal problème est que dès qu'un attaquant a accès à mon compte de service Cloud comme Dropbox, il a automatiquement accès à plusieurs instantanés enregistrés. Et c'est là que EncFS devient peu sûr.
finefoot
3

Encfs est inestimable en raison de sa fonction inverse. Cela permet instantanément des sauvegardes incrémentielles semi-sécurisées hors site, sans coût d'espace disque supplémentaire.

Truecrypt ne l'a pas, ni Veracrypt, ni ecryptfs.

Pendant que encfs 2.0 est en cours d'élaboration, consultez CryFS , qui n'est pas encore 1.0. Une autre possibilité est fuseflt qui vous permet de créer des vues filtrées des répertoires (par exemple une vue chiffrée en utilisant flt_cmd = gpg --encrypt).

Greg Bell
la source
Je ne sais pas à quel point une fonctionnalité d'un logiciel de cryptage peut être utile si le logiciel n'est pas sécurisé ...?
finefoot
2

En 2019, CryFS et gocryptfs sont les meilleurs candidats à mon avis. Les deux ont été conçus pour le cloud, sont activement développés et n'ont aucun problème de sécurité connu.

Leur conception diffère, ce qui présente des avantages et des inconvénients:

CryFs masque les métadonnées (par exemple, la taille des fichiers, les structures de répertoires), ce qui est une belle propriété. Pour y parvenir, CryFs stocke tous les fichiers et informations de répertoire dans des blocs de taille fixe, ce qui entraîne un coût de performance.

En revanche, gocrytfs est plus proche de la conception des EncF (pour chaque fichier texte brut, il y a un fichier chiffré). Il est principalement préoccupé par la confidentialité du contenu du fichier et ne dispose pas d'une telle protection contre les fuites de méta-informations. Comme EncFs, il prend également en charge le mode inverse , qui est utile pour les sauvegardes chiffrées.

Dans l'ensemble, la conception des CryF présente des avantages en termes de confidentialité et de résistance à l'altération. En revanche, les gocrypts présentent des avantages pratiques (performances, prise en charge du mode inverse).

Les deux systèmes sont relativement nouveaux. En termes de transparence, les deux sont des projets open source. gocryptfs a fait l'objet d'un audit de sécurité indépendant en 2017 . Les CryF n'ont pas fait l'objet d'un tel audit, mais la conception a été développée et éprouvée dans une thèse de maîtrise et un article a été publié.

Et les autres?

EncFS est déconseillé en raison des problèmes de sécurité non résolus. Il n'est pas sûr si l'attaquant a accès aux versions précédentes des fichiers (ce qui sera le cas lorsque vous stockez des données sur le Cloud). Il fuit également des méta-informations comme la taille des fichiers. Il y a un fil sur les plans de la version 2 , mais il n'y a aucun signe que cela se produira dans un proche avenir. Le développeur EncFs d'origine a recommandé gocryptfs.

eCryptfs a récemment constaté un manque de support . Dans Ubuntu, le programme d'installation ne prend plus en charge les répertoires cryptés / home ecryptfs. Au lieu de cela, ils recommandent un chiffrement complet du disque basé sur LUKS . De plus, eCryptFs a été conçu pour les disques locaux, pas pour le stockage Cloud, donc je ne le recommanderais pas.

VeraCrypt (successeur de TrueCrypt) a une bonne réputation du point de vue de la sécurité, mais il n'est pas compatible avec le cloud, car tout est stocké dans un seul gros fichier. Cela rendra la synchronisation lente. Cependant, sur un système de fichiers local, ce n'est pas un problème, ce qui en fait un excellent candidat.

Il y a une belle comparaison de tous ces outils sur la page d'accueil de CryFs .

Philipp Claßen
la source