Encfs - bezpečnost?

[drobax]

Dobrý den, potřebuji na usb-disku nosit velmi citlivé údaje v podobě lékařských záznamů. Nerad bych to uzavíral do oddílu, nebo vytvářel kontejner. Při instalaci v Debianu Stretch jsem byl upozorněn na toto:

Vzhledem k bezpečnostnímu auditu Taylora Hornby (Defuse Security), je současná implementace Encfs zranitelná, nebo potencionálně zranitelná vůči vícero typům útoků. Útočník s přístupem pro čtení/zápis do zašifrovaných dat může například snížit složitost dešifrování následně zašifrovaných dat, aniž by to oprávněný uživatel zaznamenal, nebo může k  odvození informací využít časovou analýzu.
Dokud nebudou tyto problémy vyřešeny, nelze v situacích, kdy jsou tyto útoky možné, encfs považovat za bezpečné úložiště dat.       

Nebo jak by jste řešili přenášení tohoto typu dat? (Offline)

[Reklama]

[Ondra Satai Nekola]

Mas nejaky skutecne padny duvod nepouzit LUKS mimo toho "nerad"?

[Kkt1]

Luks? Veracrypt? Sifrovani celeho disku je rozumnejsi nez encfs.

[JardaP .]

Zalezi na tom, kdo po vas jde. Pokud potrebujete chranit pred nahodnym kapsarem, je EncFS asi bezpecny za predpokladu, ze mate nastavene silne heslo.

Pokud po vas jde NSA, tak na EncFS zapomente, protoze trpi minimalne na postranni kanal, kdy utocnik muze zjistit heslo, ma-li pristup k vicero verzim zasifrovanych dat.

Pokud po vas jde CIA, neni bezpecne nic, protoze vas nekde nechaji viset v pruvanu za vhodnou cast tela tak dlouho, az jim heslo date.

[čočkin]

Zkuste https://www.cryfs.org a GUI k tomu např. https://mhogomchungu.github.io/sirikali/.

[Reklama]

[Ja]

A co treba jen GPG ? Muzete sifrovat symetricky jen pomoci hesla nebo asymetricky pomoci klicu.

[Ondra Satai Nekola]

A co treba jen GPG ? Muzete sifrovat symetricky jen pomoci hesla nebo asymetricky pomoci klicu.

A ridit si to rucne? Neni to nachylne na chybu? Nemluve o tom, kam pak ty soubory rozsifrovat, aby je slo skutecne smazat.

[Miky]

Dobrý den, potřebuji na usb-disku nosit velmi citlivé údaje v podobě lékařských záznamů. Nerad bych to uzavíral do oddílu, nebo vytvářel kontejner. Při instalaci v Debianu Stretch jsem byl upozorněn na toto:

Vzhledem k bezpečnostnímu auditu Taylora Hornby (Defuse Security), je současná implementace Encfs zranitelná, nebo potencionálně zranitelná vůči vícero typům útoků. Útočník s přístupem pro čtení/zápis do zašifrovaných dat může například snížit složitost dešifrování následně zašifrovaných dat, aniž by to oprávněný uživatel zaznamenal, nebo může k  odvození informací využít časovou analýzu.
Dokud nebudou tyto problémy vyřešeny, nelze v situacích, kdy jsou tyto útoky možné, encfs považovat za bezpečné úložiště dat.       

Nebo jak by jste řešili přenášení tohoto typu dat? (Offline)

Dobry den,
pokud se jedna o citliva data a podminkou neni free/open source reseni pak doporucuji vyzkouset produkty od Jetico - https://www.jetico.com/    Windows/Mac/Linux
License neni tak draha a firma neni na trhu zadnym novackem...

[Neviditelný]

No teda, nahradit prověřená svodobná řešení jako LUKS nějakou proprietární placenou podivností je fakt nápad.
@drobax: LUKS se na Linuxu používá stejně jednoduše jako EncFS oddíl, akorát je o poznání bezpečnější, nenapadá mě důvod, proč jej nepoužít.

[John de Bill]

nenapadá mě důvod, proč jej nepoužít.

Přílišné množství přepisů buněk u pamětí flash/SSD by teoreticky mohlo paměť/disk postupně degradovat. CryFS apod. vytvoří velké množství malých souborů a sychronizuje pouze příslušné změně, takže nepřepisuje celý kontejner a tím pádem celou paměť/disk.

[RDa]

nenapadá mě důvod, proč jej nepoužít.

Přílišné množství přepisů buněk u pamětí flash/SSD by teoreticky mohlo paměť/disk postupně degradovat. CryFS apod. vytvoří velké množství malých souborů a sychronizuje pouze příslušné změně, takže nepřepisuje celý kontejner a tím pádem celou paměť/disk.

Nikdy se neprepisuje cely kontejner.

Z tohoto pohledu jsou oba pristupy temer nastejno - na disk se zapisuji jenom zmenene data. Pri sifrovani jinak dobre komprimovatelnych dat se jenom vytvori nekomprimovatelna verze dat, s cim by meli problem nektere starsi SSD jez vyuzivali moznosti komprimace pro dosazeni virtualne vetsi rychlosti (Sandforce radic), ale dnes uz to neni v mode.

[j]

....
Přílišné množství přepisů buněk u pamětí flash/SSD by teoreticky mohlo paměť/disk postupně degradovat....

Asi tezko ... kdyz zapisujes na na sifrovanej disk/partysnu/.... tak se zapise +- stejny mnoztvi dat, jako kdyz sifrovana vubec neni, v pripade sifrovani jednotlivych souboru naopak zapisujes tech dat vic, protoze kazdej jeden soubor musi mit nejaky metadata navic. Predpokladam ze dneska neni problem ani s podporou trim.