Как надежно зашифровать свои данные с помощью EncFS в Linux

Как говорил величайший ум современности Дмитрий Анатольевич Медведев, «шифрование лучше, чем нешифрование». Или он это о свободе говорил? Неважно. В наше неспокойное время лучше шифровать всё подряд. Во-первых, компьютеры стали достаточно мощными, чтобы осуществлять шифрование налету без потери производительности. Во-вторых, никогда не знаешь, когда люди в погонах выпилят дверь и унесут твой системный блок. Сегодня рассмотрим самый простой и очень эффективный способ защиты своих данных — EncFS.

Защита данных и шифрование EncFS

EncFS представляет собой файловую систему в пространстве пользователя (FUSE), для которой осуществляется прозрачное шифрование. От вас потребуется только ввести пароль, все остальное берет на себя EncFC. В отличии от бутафорных средств защиты данных типа BitLocker, EncFS использует проверенные отраслевые стандарты шифрования, без всяких закладок, бэкдоров и запасных ключей для правительства. Доступный исходный код EncFS позволяет любому желающему в этом убедиться.

Установка шифрования EncFS

Для установки потребуется ввести следующие команды:

sudo apt-get install encfs

Среди линуксоидов новой школы это не принято, но все же после установки рекомендуется почитать документацию:

man encfs

Как использовать шифрование EncFS в Linux

Сначала нам потребуется создать две директории. Одна для физического хранения зашифрованных файлов, а другая для использования в качестве точки монтирования. Создадим их в домашней директории:

mkdir -p ~/encrypted
mkdir -p ~/decrypted

decrypted — это точка монтирования. Теперь запустим encfs, используя созданные директории в качестве аргументов:

encfs ~/encrypted ~/decrypted

Нас попросят выбрать режим работы и задать пароль. После этого EncFS будет готов к работе. Все файлы, которые вы сохраняете в директории decrypted будут хранится в зашифрованном виде в директории encrypted. Очевидно, что после размонтирования данные в decrypted станут недоступными и единственный способ получить к ним доступ — запустить encfs вновь, указав пароль. Внимание: постарайтесь запомнить пароль, т.к. без него ваши данные будут навсегда потеряны.

Размонтировать шифруемую директорию можно так:

fusermount -u ~/decrypted

Когда потребуется получить доступ к зашифрованным данным следует указать следующую команду и ввести пароль:

encfs ~/encrypted ~/decrypted

А почему бы не зашифровать весь раздел /home целиком?

У EncFS есть серьезное преимущество — вы шифруете только то, что действительно нужно шифровать. Шифрование на уровне раздела шифрует все: скаченные дистрибутивы, видео, музыку и т.п. EncFS шифрует личные документы, фотографии, персональные данные. С помощью символических ссылок можно гибко управлять той информацией, которую вы хотите защитить. Например, можно добавить ссылку на профиль Google Chrome и зашифровать историю посещенных сайтов и сохраненные пароли.

Дистрибутивы: 
Программное обеспечение: 

Комментарии

А ГУЙ к ней есть?

Гуй может и есть, но какой в нем смысл, если он заменяет всего одну команду encfs ~/encrypted ~/decrypted?

Привет всем! Я Денис Мельниченко из Ясиноватой. Я melcomtec и идиот. Айда общаться!

Ой, Дениска Мельниченко выполз! ;) А ведь клялся и божился, что тут не появишься. Мол, ресурс не очень интересный, никто не читает и вообще сайт скоро умрет. А сам, оказывается, втихаря каждую статейку до дыр зачитывал? Ну, я не удивлен. Давно заметил, что обкакавшиеся и забаненные являются самыми преданными читателями.

Привет тебе от melcomtec.

Себе оставь. ;)

Ты больной?

Ох, Дениска, чья бы корова мычала... Ты 3 года мне поддакивал под каждым моим комментарием. Потом наоборот стал неистово гадить и был забанен. Потом стал просить тебя разбанить — я разбанил. Снова начал гадить — пришлось снова забанить. Потом ты создал виртуала Qantorium и начал писать стихи в честь Либератума, но продержался недолго, вновь сорвался с цепи и был забанен. Потом снова стал лизать мне зад под учеткой melcomtec. А когда ты прислал свое гейское письмо, мне и вовсе стало страшно. ;)

Скриншот

Ну и кто тут больной? ;)

comrade аватар

В репозитории убунты есть плагин для панели Gnome или Xfce – cryptkeeper

А для виндовса – encfs4win

Вот ещё один такой проект для виндовса (EncFSMP):

Удобно. Надо будет присмотреться. Те же честно спираченные медиа файлы можно так хранить. Конечно сейчас это может показаться параноей, но лучше наверное вырабатывать хорошие привычки заранее :)

А в чем тут паранойя? Потратить несколько процентов вычислительной мощности процессора ради своей же безопасности? Все приватизированные файлы лучше хранить зашифрованными. Хуже точно не будет.

Полностью согласен.

comrade аватар

Есть возможность читать файловую систему EncFS из Windows

Виндузятники пускай своим Битлокером пользуются :)

comrade аватар

Да, да, пущай докупают версию Windows 7 Ultimate или Enterprise, ну, или серверную, и пользуются на здоровье — BitLocker только там! ((-;

Есть свободный и бесплатный TrueCrypt, и для виндовса, и для линукса. Кому надо с зашифрованным диском из разных систем работать — это лучший вариант.

Да, TrueCrype весьма и весьма хорош. Входит в мой набор повседневно используемых программ. Удобно хранить пароли и прочую приватную информацию в одном файле и не бояться подхватить какой-нибудь троян и потерять файл. Я файл с паролями даже на Dropbox-е храню, на случай если винт полетит. :)

comrade аватар

Во-во! И я в трукриптовском контейнере храню "запасы случайных чисел"...
;-))

А в чем разница между TrueCrypt и EncFS? Зашел на сайт TrueCrypt, вроде функции сходные.

Например, в TrueCrypt надо сразу задавать объем выделяемого под хранение места, а EncFS выделяет само по мере необходимости.

Это удобнее. Сейчас опробываю. Действительно просто настраивается и легко пользоваться. Большие объемы информации шифровать быстро не получается, но это можно делать в фоне, да и 200 Гб за несколько часов - это вполне нормально :)

comrade аватар

200Гб зашифруются примерно за час – на HDD, или меньше получаса – на SSD.

У меня дольше вышло. Возможно это зависит от характера файлов. В моем случае это было видео.

Зависеть должно только от скорости чтения и записи на диск. Процессор нагружается слабо, поэтому тип контента значения не имеет.

comrade аватар

Если только в линуксе работаете, то особых преимуществ нету (Разве что с собой можно таскать его бинарник. Точнее, бинарники – для всех основных ОС. И без установки их запускать – для крипто-контейнера на флешке, например).

Но трукрипт на виндовс всё же больше нацелен, в линуксе и без трукрипта с шифрованием всё неплохо.

А вот открытых программ для шифрования всего загрузочного виндозного раздела совсем не много. Да трукриптом можно зашифровать и ещё один, скрытый, виндовс.

И еще в TrueCrypt есть фича отрицаемого шифрования, а кодированные файлы EncFS будут видны стразу. В нашем государстве фича немаловажная. В цивилизованных странах юзер не обязан свидетельствовать против себя и может не сообщать пароль. У нас тоже такое в теории есть, но на практике могут и какой-нибудь стеклянный сосуд в попу засунуть в качестве следственного мероприятия. Так что лучше скрывать сам факт наличия на компьютере чего-то зашифрованного.

comrade аватар

По данному критерию США и Великобритания, например, в число цивилизованных стран не попадают.

В Великобритании приняли простенький такой закон – за не выдачу пароля полиции – 4 месяца тюрьмы. Уже сидят!

В Штатах да – конституция..., не обязан свидетельствовать против себя..., и всё такое. Но один гражданин там попытался на всё это сослаться, когда судья с него затребовал пароль от зашифрованного диска, и получил от судьи 1.5 года тюрьмы ...за неуважение к суду! ((-:
Ну а поскольку там прецедентное право... ;-)

Скрытые контейнеры и системы – это скорее для подобных недоцивилизованных стран. Там "терморектальный криптоанализ" применяют обычно только к "врагам государства", где-нибудь на базе Гуантанамо и в тайных тюрьмах – в Польше, да в Румынии.

Но у нас весь народ, и каждый человек – "враги государства", так что рассчитывать на скрытые контейнеры и деликатное обхождение в России не приходится:((

Да не все так плохо пиндосов, как Вы рассказываете. Тыц.

Кстати, вы уверены, что правильно понимаете фичу возможности отрицания? Как раз таки в России она и актуальна. Что можно требовать от человека, если и файлов-то у него никаких подозрительных не найдено?

Глупости вы говорите, товарищи. Если в нашей стране к вам серьезно так прицепятся наши замечательные и самые гуманные следственные органы — то лучше всего вообще НИЧЕГО не то что запрещенного а вообще хоть как-то компрометирующего не хранить нигде и ни в каком виде. В случае всяких скрытых контейнеров и прочей лабуды — единственная надежда будет на некомпетентность проверяющих\копающих под вас товарищей.
Единственная возможная польза от шифрования данных в этой стране — это защита информации от банальной кражи техники, или от происков конкурентов (которые тоже могут через следственные органы к вам докапаться).

да согласен, у нас шифруй ты не шифруй — сам и расскажешь пароль и покажешь как расшифровать. Тут актуально было бы если речь шла о конфиденциальности крупной компании или "богатого буратино", а так для простых "смертных"(тех же домашних хомячков) это не сработает!

какой TruCrypt?? он уже как несколько лет скомпрометирован. В википедию почаще заглядывайте

comrade аватар

Был бы действительно скомпрометирован, его проект бы не прикрыли (-;
Власти надавили на авторов TrueCrypt'а именно по причине того, что он "слишком хорошо" шифрует.

Но проект с открытым кодом прибить не так просто.
Вот, например, одно из продолжений TrueCrypt'а:

Codeplex — подконтрольный MS хостинг. Я бы ему не доверял.

Своими мозгами нужно пользоваться, а не на Википедию кивать. TrueCrypt прошел аудит. Вердикт: железобетонная защита! Брать надо предпоследнюю версию с сайта той конторы, которая проводила аудит.

"удиторы отметили только 4 потенциально нехороших места, которые не приводили к компрометации каких-либо данных при обычных условиях:

1) Отсутствие проверки подлинности зашифрованных данных в заголовке тома
2) Смешивание ключевого файла происходит не криптографически устойчивым образом
3) Реализация AES может быть уязвима к атаке по времени
4) CryptAcquireContext может оказаться неинициализированным без сообщений об ошибке"
(habrahabr)

На счет железобетона вы погорячились. :)

Это шелуха. Во-первых, никому ни разу не удалось этим воспользоваться ("потенциально нехороших места"). Во-вторых, ни одна из найденных "проблем" не влияет напрямую на стойкость шифрования. Это всё теоретическое бла-бла-бла. Например, могли бы с таким же успехом написать, что TrueCrypt может быть уязвим к атаке по словарю. А что, разве нет? ;)

На сайте разработчика написано, что их поделие больше не безопасно и советуют в качестве замены BitLocker.
Вы верите больше разработчику или.. кому?

Миллион раз уже обсуждалось. См. свидетельство канарейки.

В любом случае проект скомпрометирован.

Да ну? Кем и как? Расскажите. ;)

"Российские разработчики взломали защиту криптоконтейнера BitLocker, PGP и TrueCrypt"

(securitylab, 25.12.2012г.)

Как-то неудобно вас учить читать, но все же...

Корректная работа программы в момент снятия образа оперативной памяти (или в момент «засыпания» компьютера) предусматривает то, что криптоконтейнер должен быть подключен.

Перевести на русский? Злоумышленнику нужно иметь физический доступ к компу и попросить владельца зашифрованных файлов ввести пароль. Охренеть какая компрометация!

comrade аватар

"...которые не приводили к компрометации каких-либо данных при обычных условиях..." — ключевые слова.

Говорят, что не TrueCrypt совсем True:
habrahabr.ru_post_224491

ну.. если хабре-бабр сказал, тогда всё, да, это авторитетно=)))

Теперь вас двое, можно три партии организовать :).

comrade аватар

Вот тут написано, как ставить Ubuntu для работы с зашифрованного диска:

Установка системы с шифрованием всего диска
http://help.ubuntu.ru/wiki/шифрование_всего_диска

В процессе использования заметил одну не совсем приятную особенность. Дешифровка на лету все-таки напрягает систему. При просмотре фильмов в FullHD заметны подтормаживания и заикания звука. Так как в лидерах top encfs появляется не часто, то я винил в этом mplayer, vlc, композитный менеджер xcompmgr, ALSA и естественно больше всего свои руки. Однако после того как я переписал этот же фильм в незакодированную директорию, проблемы с видео пропали. Encfs давал небольшую нагрузку на процессор, но в купе с декодированием видео это приводило к тому, что мой 4-х ядерник не всегда справлялся. Либо надо посмотреть способ, чтобы больше видео расшифровывалось заранее в оперативной памяти, чтобы избежать скачков в нагрузке, либо отказаться от шифрования вообще, либо, что более правильно, подключать видеокарту к декодированию видео. К сожалению пока не нашел как собрать mplayer с поддержкой vaapi в Gentoo, а vlc при включении этой функции падает в сегфолт.

А если не воспроизводить, а просто копировать фильм с защищенного хранилища в обычную директорию, тогда encfs сильно грузит процессор?

Сейчас проверил. Да, прилично. Сперва был скачек до 50%, потом нагрузка колебалась в районе 30%, а затем стабилизировалась где-то на 15-20%.

Странно. Может алгоритм шифрования выбрали какой-нибудь продвинутый, вычислительно сложный?

Специально не стал ковыряться в настройках шифрования, так как мало знаю об алгоритмах. Выбрал настройки по умолчанию - паранойя :). Видимо название говорит само за себя, и там изначально выбирается какой-нибудь сложный алгоритм.

В паранойе выбирается AES-256, но с некоторыми нюансами.

Всегда выбирайте AES, так как он может иметь аппаратную поддержку (не уверен, но вроде EncFS умеет использовать аппаратную реализацию AES из библиотеки OpenSSL)
Поиграйтесь с размером блока. Попробуйте блоки 1К, 2К и 4К — маленький блок даёт куда более хороший IO-Latency, хотя общая скорость и снижается.
Не включайте опции, которые как-то влияют на размер файла — дописывают в начало или в конец файла IV, или случайный мусор — это может умножать io-запросы (write amplification), что плохо скажется на производительности.

В наших реалиях само качество шифрования особо не важно. Расшифровать данные автоматизированными способами в параноидальной настройке или в самой простой настройке — всё равно не выйдет. А если ВДРУГ к вам прицепится товарищ майор, то ваши данные будут расшифровывать методом брутфорса вашей жопы (если вы, конечно, добровольно пароль не назовёте). Так что смысла использовать параноидальную настройку шифрования нет.

Здравствуйте Уважаемый pomodor!
Как у Вас получается участвовать сразу в двух дискуссиях? Причем одна датирована 2016 годом, а другая аж далеким 2012 годом!
Вы путешественник во времени?!

Здравствуйте, уважаемый анонимус. А в чем вы видите затруднение? Обсуждал в 2012 году, люди продолжают задавать вопросы, продолжаю дебаты и в 2016.

Никаких затруднений, уважаемый pomodor, не вижу.
Просто случайно обратил внимание на даты комментариев и мне показалось это забавным. Вот и всё. :)

Шифрованных данных в EncFS сейчас под рукой нет, но посмотрел TrueCrypt с AES-256. При копировании отъедает 5-8 процентов.

comrade аватар

Видимо для EncFS "клюшница водку делала...", т.к. тот же трукрипт не тормозит ничего даже на пентиуме3.

Скорее всего, авторы EncFS не использовали в своих программах кеширование
(т.е., чтение-запись блоками оптимального размера, а не по одному числу).
Значит интенсивность обращений к памяти больше в тыщщи раз – в ущерб другим программам.

Не говоря уже об OpenMP, чтобы все ядра задействовать, или об использовании встроенного AES в недавних процессорах Intel и AMD.

Можно исходники посмотреть, но пока лень (своих хватает:-))

Трудно сказать. А может быть взаимодействие через FUSE сделано через попу. Причин может быть много. Главное, что Дмитрий пофиксил проблему и не остался сегодня без кино. Аж от сердца отлегло. ;) А то посоветовал человеку шифрование, а человек вместо просмотра киноновинок Линукс ковыряет. :)

Сумел завезти vaapi в vlc. Теперь загрузка процессора 20%-30% и добавочные 5-10% от encfs не помеха. Оказывается у меня ffmpeg был собран без поддержки vaapi. Что странно, по идее, если я включил use-flag "vaapi" для vlc, то он должен был потянуть за собой и ffmpeg с тем же флагом. Ну да ладно. В общем, если у вас видеокарта ATI, которая поддерживается vaapi, но в вашем дистрибутиве vlc собран без поддержки vaapi, то есть инструкция по сборке на сайте видео плеера.

Добавлю что использовать в облаке его небезопасно, по результатам аудита кода в нем обнаружена дыра позволяющая путем модификации зашифрованных файлов снизить/убрать защиту последующих записей и тем самым получить доступ к ним.

Сам себе противоречишь. Если дыра уже обнаружена, то почему использовать небезопасно? Разработчики приняли решение ни в коем случае не закрывать дыру? ;)

Лучше бы погуглил, но так и быть, покажу тебе вывод c моей консоли при попытке установить encfs:
encfa

Debian 8 KDE / Версия encfs 1.7.4

Если найдешь инфу, что уязвимость вдруг исправили, буду признателен за линк. А то я ни сном ни духом если что.

Вероятно, речь идет о докладе EncFS Security Audit. Там в конце написано, что вся эта муть относится лишь к тому случаю, если злоумышленник имеет возможность регулярно собирать образцы зашифрованного текста. Тогда у него появляется теоретическая возможность ослабить стойкость алгоритма.

Сам сайт Defuse Security тоже стремный. Хоть там и называют себя группой исследователей, похоже, что это проект Васи Пупкина. По крайней мере, в серьезных криптографических кругах о Defuse Security упоминаний нет. В блоге Defuse Security аж три статьи из серии Моя жизнь (My Life and Projects, Right Now). В общем, можно расслабить ягодицы и спокойно пользоваться EncFS. Чувак просто захотел попиарится. Пускай сначала продемонстрирует взлом на практике, а потом уже выслушаем его теоретические бла-бла-бла. ;)

Вероятно, особое доверие должна внушать фраза "This report is the result of a paid 10-hour security audit" :))

Против терморектального криптоанализа никакое шифрование не спасет.. :)

Единственное неудобство — некоторое уменьшение длины имени файла (с директориями) по сравнению с нешифрованным разделом или шифрованным другими средствами (luks, truecrypt, например).

Ага и команда установки для дебианоподобный дистров.. Зачем? Дебианщики не знают команд для апта, или убунтийцы потеряли менеджер программ?

для EncFS как оказалось существует несколько apk под андроид. Один раз потерял microSD карту для таблетки с некоторыми персональными данными — было очень неприятно. На остановке вставил ее в разъем, выскользнула из под пальца — там внутри пружина или что-то в этом роде — вылетела так, что больше не нашел. Шифровать некоторые вещи надо обязательно,

7zip + шифр имен + web dropbox.
и пароль только в голове, без вариантов

У меня собственно вопрос относительно реальной безопасности? Данной проги.
Исходя из особенности функционала. Данная совтина создаёт скрытую папку где хранятся зашифрованные файлы. И там же лежит конфиг в формате xml. Который содержит поле с хэшем пароля. И таким образом не трудно скумекать, что можно скопировать эту инфу. А затем при помощи полного брута и утилиты hascat крысануть пароль. Стало быть вся безопасность сводиться к одной строчке которая доступна для копирования. И её брутфорс лишь вопрос времени. Поправите меня комрады если я не прав.

comrade аватар

«...А затем при помощи полного брута и утилиты hashcat крысануть пароль...»
— В случае нормального алгоритма хэша и нормального пароля – флаг вам в руки, как говорится.
(-;

— В случае нормального алгоритма хэша

Насколько я знаю. У этой совтухи нельзя выбирать различные алгоритмы шифрования как в TrueCrypt?

и нормального пароля – флаг вам в руки, как говорится.

С какого количества символов по вашему начинается нормальный пароль?

В Великобритании приняли простенький такой закон – за не выдачу пароля полиции – 4 месяца тюрьмы. Уже сидят!

Вще атас полнейший! Без вины виноватые.

Но один гражданин там попытался на всё это сослаться, когда судья с него затребовал пароль от зашифрованного диска, и получил от судьи 1.5 года тюрьмы ...за неуважение к суду! ((-:

Что же это за демократия такая получается? Такие методы смахивают на завуалированный тоталитаризм. Который прикрывается вывеской демократии как фиговым листом. Исходя из этого следует правильное мнение только у тех кто обладает властными полномочиями. А конституция шо дышло куда повернешь туды и вышло. После таких закидонов у них уже нет морального права учить других демократии.

Своими мозгами нужно пользоваться, а не на Википедию кивать. TrueCrypt прошел аудит. Вердикт: железобетонная защита! Брать надо предпоследнюю версию с сайта той конторы, которая проводила аудит.

Ну допустим. Но ведь это релиз 7.1a 2012 года выпуска. Или подобным прогам не грозит устаревание и потеря актуальной безопасности?

Комментировать

Filtered HTML

  • Доступны HTML теги: <a> <em> <strong> <cite> <code> <ul> <ol> <li> <dl> <dt> <dd> <blockquote> <strike> <code> <h2> <h3> <h4> <h5> <del> <img>
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.