EncFS
EncFS是一个是對 FUSE 加密檔案系統,為自由軟體。通過伊會當共任意 kha-tá-lok-guh 做儲存空間來透明地加密並儲存檔案。
掛載一个 EncFS 檔案系統牽涉著兩个 kha-tá-lok-guh:源 kha-tá-lok-guh 佮掛載點。掛載點內底的逐个檔案攏是加密儲存在源 kha-tá-lok-guh 中的一个佮之對應的檔案。掛載點內底的檔案呈現無加密的款,對應源 kha-tá-lok-guh 中已經加密的檔案。源 kha-tá-lok-guh 中會加密檔名。
檔案通過卷金鎖加密,卷金鎖會當儉佇咧加密的源 kha-tá-lok-guh 以內抑是以外。有一个密碼機制用佇解密該金鎖。
常見用途
- 佇咧 Linux 中,做為 eCryptfs 的替代方案加密 home 資料篋仔。
- 用來加密儲存到雲端儲存(Dropbox、Google Drive、OneDrive 等)的檔案佮資料篋仔。
- 為抽取式磁碟中的資料鋏進行會當紮式加密。
- 成做一个跨平台的資料鋏加密機制。
- 會當增加雙重的身份驗證(二 FA)阮來提高儲存的安全性。比如講,會當將 EncFS 用來加密資料的卷金鎖儲存佇咧加密資料以外(就是隨身碟、網路掛載一寡、光碟抑是雲端儲存內底), 同時要求提供密碼來解密這个卷金鎖。
優勢
佮其他的磁碟加密軟體相比並,EncFS 因為佇主機頂懸獨儲存逐个被加密的檔案而具有一寡優勢。
跨平台
EncFS 會當佇加一个平台,而且 eCryptfs 佮 Linux 核心縖結
Bitrot 檢測
EncFS 佇底層檔案系統頂懸實現了資料腐爛(bitrot)檢測
會當延伸儲存
EncFS 不存在占用固定大細的「卷」——加密的 kha-tá-lok-guh 占用的空間隨掛載點內的檔案增加增加,嘛隨檔案予人刣掉去。
適用於檔案侍服器
EncFS 的加密 kha-tá-lok-guh 會當佇普通的檔案侍服器頂懸(通過 NFS、SSHFS 等), 並且會使用普通的檔案系統的工具(比如講 Rsync)高效地進行鏡像佮備份。
跨物理裝置
掛載點內的某一寡 kha-tá-lok-guh 可能存在佇其他的物理裝置頂懸。
閣較緊的備份
檔案仝步、雲端儲存等等的份軟體會當只攢份源 kha-tá-lok-guh 中已經變更的檔案。
抗損害去
資料損蕩發生的時陣,是閣較袂當波及真濟个檔案。損害嘛較會當控制,可能通過檔案系統級別的維護工具來修復某寡資料損蕩去。磁碟加密系統遭遇資料異常損害的時陣可能拄著閣較濟意外的情形。
最佳化
因為加密的檔案猶原因為底層檔案系統來儲存,某寡作業系統最佳化的機制猶原奏效,比如講傳遞 Trim 命令來幫助提升固態硬碟的效能。猶毋過 dm-crypt 嘛支援這點。
隨機檔案存取
支援檔案的隨機存取,毋免解密規个予人加密的卷。
無夠
EncFS 嘛存在一寡缺點。
相容性
掛載的 EncFS kha-tá-lok-guh 佮容納源 kha-tá-lok-guh 的檔案系統享有仝款的能力佮限制。
無支援長檔名
因為加密原因,EncFS 產生的加密檔案的檔名會比原始檔名長。所以,EncFS 袂當儲存長度接近檔案系統的檔名長度上限的檔名。大多數檔案系統的一般檔名限制為兩百五十五个位元組,這款情形下 EncFS 上濟支援百九十个位元組的檔名。
一般性安全隱患
儘管檔名佮檔案資料被加密,但任何有權存取源 kha-tá-lok-guh 的人攏看著加密的檔案系統內有偌濟檔案、檔案的權限、檔案的大致大細,以及頂擺存取佮頂擺修改檔案的時間。
EncFS 一孵七安全的問題
二空一四年二月進行的付費安全審計發現了濟的潛在的空。會當共出的結論是:
> EncFS is probably safe as long as the adversary only gets one copy of the ciphertext and nothing more . EncFS is not safe if the adversary has the opportunity to see two or more snapshots of the ciphertext at different times . EncFS attempts to protect files from malicious modification , but there are serious problems with this feature . > >
> 若是對手干焦會當看著一版予人加密的內容,EncFS 可能是安全的。若對手會當看著密文佇咧無仝時間的兩版抑是閣較濟版本,著 EncFS 無安全。EncFS 咧試驗避免檔案免遭惡意修改,但是這个功能佇咧嚴重的問題。 > >
EncFS 一又閣有八安全的問題
EncFS 一鋪八的公告包括數項基礎設計變更,以回應頂遍的審計中提出的安全問題。就算講按呢,遮的安全漏洞猶原受著關注。
檔案系統選項
佇新起的 EncFS 卷時,有數用來自訂檔案系統的選項,以滿足無仝的需求。
密碼演算法
EncFS 會當用若是干種存在佇咧系統中各加密庫內的加解密演算法。Blowfish 和 AES 通常會當用。
會當為支援「會當變金鎖長度」的密碼演算法選擇金鎖長度(keySize)。
大細塊
逐个檔案攏以塊的形式加密,有彼个選項控制這塊的大細。逐改讀單位元組的時陣,著愛去解密包含伊的規个塊。仝款,逐改寫入攏需要解密對應塊、改內容閣重新加密。
預設的塊大細一千空二十四(位元組)就會當滿足大多數的用途。
檔名編碼
源 kha-tá-lok-guh 中的檔名會當儲存做明文、加密塊抑是流模式加密。塊模式佇咧一定程度掩檔長度,流模式的檔名會儘可能短,這佇某一寡檔案系統內底有可能減省一寡儲存空間。
檔名 IV 鏈
啟用此選項後,加密檔名所用的初始化向量取自檔案的父 kha-tá-lok-guh—— 這欲用兩个仝名但是佇咧無仝 kha-tá-lok-guh 伊的檔案有啥物無仝款加密伊後檔名。
若是重號名 kha-tá-lok-guh,著其中包括的所有的檔案佮 kha-tá-lok-guh 攏需要重新加密其檔名,這可能開時間佮資源。若是定定重號名有含大量的專案的 kha-tá-lok-guh,則應該愛禁用這个選項。
逐个檔案的初始化共量
啟用此選項後,每一个檔案攏使用一个隨機的八个元組初初佇化向量來加密,該向量儉佇咧源 kha-tá-lok-guh 加密檔案當中。若是禁用這个選項,則逐个檔案攏用仝款的初始化向量來加密,可能予人破解拍鎖閣較會破解。
啟用這改選項會當加強檔案系統的安全性,但是逐个檔案會加占八个位元組。
外部 IV 鏈
檔案資料一直化向量衍生自檔名的初始化向量鏈。仝款的資料猶毋過無仝款檔名抑是 kha-tá-lok-guh 的檔案共加密做無仝款的模樣。
如此,現此模式啟用時重號名檔案需要檔案的隨機初始化共量予人檔名初始化共量鏈中的更改抵消,抑是重新編碼的資料。EncFS 的作者選擇頭前一種方法,因為你快得多,尤其是對大檔案。
檔名到 IV 頭部鏈
使編碼依賴佇完整的路徑名。毋才會重號名抑是徙動檔案會需要重新編碼。袂支援硬連結。
塊 MAC 頭部
儲存逐个加密塊的校驗佮,使 EncFS 會當檢測著加密檔案的損害抑是修改。校驗佮 ( blockMACBytes ) 為八个位元組,並會當選擇共逐塊添加上濟八个額外位元組的亂數據 ( blockMACRandBytes ),以防止相仝無加密資料的兩塊有仝款的校驗佮。因為著愛佇咧讀資料(驗證完整性)佮寫入資料(更新校驗佮)計算逐塊校驗佮,此選項會帶來大量 CPU 開銷。
參見
- 磁碟加密
- 檔案系統級加密
- 加密檔案系統列表
- 加密檔案系統列表
- 檔案系統列表
參考資料
外部連結
- Encfs manpage
- Safe : another per-file implementation for Windows and Mac OS X , with no kernel mode driver ( slower ) , but fully open source
- Boxcryptor : Proprietary software based on EncFS for Windows , Android , and iOS
- EncFSMP : Implementation that runs on Windows and Mac OS X