Názory k článku EncFS: šifrování souborů jinak a bez problémů

a co ecryptfs?

tak jestli na to dobre koukam, tak encfs je v userspace pres FUSE a jinak dela presne to stejne co ecryptfs. Takze nizsi vykon a vzhledem k faktu, ze ecryptfs pouziva defaultne (po jednom kliknuti) ubuntu tak i mensi podpora? asi zustanu u ecryptfs :).

Záleží.

FUSE je pomalejší, ale je univerzální. Jak je v článku napsáno, encfs rozchodíte všude.
Za to ecryptfs je pouze pro Linux/posix

A neprejte si vedet, co vam EcryptFS udela se souborem, kdyz pri jeho kopirovani do sifrovane slozky dojde misto na disku. Normalne se bude tvarit, jako ze se to zkopirovalo. Bude videt a asi mit i spravnou velikost. Ale nepujde precist. Clovek dostane nejakou podivnou hlasku a smytec. Nastroj na opravu neexistuje a je otazka, jestli by tam vubec bylo co opravovat. Mozna tam ani nejsou zadna data, ale to se tezko opravi, kdyz jedina funkcni operace nad souborem je delete.

Chvíli jsme EncFS používal, ale bohužel, vrátil jsem se k TrueCrypt. Odhalená adresářová struktura toho odhaluje příliš.

Z velikostí souborů a přístupových časů lze zjistit ledaco. I kdyby jste aktualizaci created a modified časů vypnuly (pane autore, jde to?) už jen fakt, že v daném adresáři přibývají soubory o lecčem vypovídá. Typické velikosti souborů leccos napoví, například, že se jedná o obrázky, mp3 nebo videa. Proti BSA, RIAA a zvědavé přítelkyni to není ideální ochrana.

Mimochodem, utilitku extcv jste u TC nezkoušleli? Měla by umět kontejner i FS na něm zvětšit. Ale snad pracuje jen s NTFS.

Co se týče cloud storage, vyzkoušel bych JGit (Java implementace Git) s nativní podporou Amazon S3 a s client-side šifrováním. Zabijete 3 mouchy jednou ranou! Inteligentní synchronizaci s lokálem, verzování a šifrování.

Tak, to jsou vlastnosti EncFS. Označovat je jako chyby ...
EncFS je zkrátka o skrytí obsahu, ne povahy. Je to daň za snadnější manipulaci, zálohování, synchronizaci, opravu ...

Pokud někdo kontejner pojmenuje "fotky_z_dovo­leny.tc", pak to činí zcela vědomě. A možná klame. Navíc podobnou blbost (či podobně mást) je možné udělat třeba u názvu adresáře se šifrovaným obsahem nebo u názvu mountpointu.

Pokud bych celou strukturu před EncFS zabalil do archívu s nicneříkajícím názvem, pak už nemám moc výhod oproti TC. Naopak, možná by chyběl náhodný přístup.

"...nic ti nebrani nejdriv celou adresarovou strukturu zbalit do jednoho archivu s nicnerikajicim nazvem..."

Jo, syncnete si pak treba 50 GB na cloud. Na to vetsina lidi nema linku. To je prave vyhoda sifrovani po souborech. Sice je videt velikost, ale bezne ADSL to utahne.

V některých ohledech ano. Ale já si rád vyberu z rozdílných řešení. V řadě případů může ecryptfs nebo encfs vyhovovat lépe než třeba TC. A rozhodování TC vs. encfs má rozhodně smysl.

Někdo nějaké další vlastní zkušenosti?

Docela by mě zajímalo, co to udělá, pokud bych do EncFS zálohoval mailserver (stovky tisíc malých souborů) pomocí rdiff-backup.
Moc se mi do tohoto (zatěžkávajícího) experimentu nechce investovat čas, proto se raději nejdřív ptám, jestli už to někdo nezkoušel :-)

Já rutinně zálohuju do EncFS pomocí rsync, čili prakticky totéž. Desítky tisíc malých souborů. Nemám s tím nejmenší problém.

Super, díky :-) Tak to taky vyzkouším :-)

U EncFS nevim, ale muzu poskytnout zkusenost s eCryptfs. Na netbooku s Atomem pouhe zobrazeni obsahu sifrovaneho adresare s vetsim poctem souboru trva citelne dele, nez u nesifrovaneho adresare (treba desitky vterin versus par oamziku). Zatez CPU pritom silne vzroste - nacpe se do toho prakticky veskera volna kapacita. Cili pokud mate nadupany stroj se silnym CPU, ktere se zrovna flaka, dost mozna rozdil v rychlosti nebude velky, protoze eventuelne to bude drhnout na rychlosti disku a ne CPU. Ale i tak bych to se stovkami tisic souboru moc dobre nevidel. Zejmena pak u EncFS, ktere navic jede ve Fuse a je tedy jeste pomalejsi.

Dale pak treba rychlost kopirovani souboru do sifrovaneho adresare je temer o polovinu nizsi ve srovnani s kopirovanim do nesifrovaneho adresare na stejnem disku. Zatez CPU vzroste pri kopirovani do sifrovaneho adresare o cca 50 % ve srovnani se stavem pred zahajenim kopirovani. Je-li pouzit nesifrovany adresar, narust je tak 20 %. Cisla berte s rezervou, protoze hodne plavou a nevim, cim bych zjistil prumer.

S Atomem možná problém je. S i7 to jede celkem vpohodě :) Problém je snad jen při seeku na konec dlouhého souboru (např. u less).

Na druhou stranu, je otázka, co se šifruje. U relativně malých obrázků to nevadí, stejně se načítají celé. Zdrojáky - nevadí. Textové dokumenty, PDF, tabulky, ... - většinou nevadí. U videa a zvuku by to vadit mohlo. Ale pokud nejde o vlastní produkci ani o dětskou pornografii, nemuselo by to být potřeba šifrovat. Já takto šifruju jen část disku. Nešifruju to, co stáhnu, ale spíš něco, co sám vytvořím nebo obsahuje nějaké citlivé informace.

"Žádný z těchto projektů jsem nezkoušel, netuším v jakém jsou stavu."

Cryptkeeper funguje, ten druhy neznam. A Cryptkeeper se dost hodi, kdyz ma clovek hafo USB flashek. Akorat se musi nejak inteligentne nastavit volume label, aby clovek vedel, co je co.

Jinak doporucuji venovat pozornost parametru --reverse. Ten vytvori sifrovany obraz dat. Clovek ho pak muze rsyncnout na neduveryhodne uloziste a nemusi kvuli tomu mit data sifrovana u sebe na disku. Treba u sbirky fotek velikonocnich kralicku to je zbytecne, ale CIA do toho nic neni.

Jeste by bylo hezke, kdyby nekdo nekde vystoural nejaky FS, ktery by soubory naporcoval na bloky o velikosti urcite hodnoty nebo maximalne urcite hodnoty. Namontovalo by se to pres EncFS nebo obracene. Dalo by se tim obejit omezeni nekterych hloupych mrakovych sluzeb na nejakou dementne malou maximalni velikost souboru. BTW, dalo by se toho vyuzit i k pristupu k TrueCryptovemu kontajneru, takze CIA by se nedozvedela ani velikost vasich souboru. A pri zmene kusu kontajneru by se nemusel kopirovat cely, ale jen par bloku. Na vetsine mrakovych sluzeb nemaji rsync.

Tak taky přihodím.

Cryptkeeper v Ubuntu se zdá že nefunguje, protože se nevytvoří ikona v panelu. Ano, opět zafungoval Unity whitelist, takže třeba si tam po instalaci Cryptkeeper přidat.
Bug mají nahlášen už od dubna minulého roku: https://bugs.launchpad.net/ubuntu/+source/cryptkeeper/+bug/760800

Dále je Unity special a to: CryptFolder-indicator
http://www.webupd8.org/2011/06/cryptfolder-indicator-ubuntu.html
Ten ale u mě letěl z disku hned, když odmítal vytvořit položku bez vyplněného hesla. Heslo si chci zadávat ručně. Tento indicator je služba pro automatické odemčení při přihlášení.

A na androidu mám Cryptonite:
https://play.google.com/store/apps/details?id=csh.cryptonite
páč BoxCryptor je silně placený a Cryptonite podporuje FUSE.
PS.: Cryptonite obsahuje i Truecrypt, sice jen cmd verzi, ale obsahuje.

V Lubuntu Cryptkeeper chrochta v pohode jiz minimalne na dvou poslednich verzich distra.

"Na vetsine mrakovych sluzeb nemaji rsync."

Wedos má :-) Není to teda typicky cloudová služba, ale na odlévání zašifrovaných záloh je použitelná.

Jo, ale vetsina lidi je na nejakem ulepenem DropBoxu nebo necem podobnem.

DropBox zrovna automaticky posílá nahoru i dolů jen změny. Čili má nějaký rsync integrovaný.

To je sice chvalyhodne, ale dal bych prednost tomu, aby clovek nemusel pouzivat pouze jejich klienta, ale mel i moznost pouzit webdav a rsync, idealne rsync skrz ssh.

GUI je priamo v repe a funguje celkom normálne, vďaka za tip :)

celkom by ma zaujimal spominany script na zasifrovane zalohovanie disku na prenosne zariadenie.

Vy si asi delate pulky. Co by tam tak mohlo byt? Nejaky mount sifrovaneho adresare, par prikazu cp, rsync nebo treba rdiff-backup, umount.

BTW, něco takovýho umí i EcryptFS.

Pam_encfs používám, bohužel ve spojení s SD kartou je trochu problém po probuzení.

Jádro totiž SD kartě pokaždé přiřadí jiný identifikátor, takže se vždy musím přihlásit, jít do terminálu, přes sudo remountnout sd kartu a následně ručně připojit encfs. Takže po probuzení zadávám heslo třikrát :-(

Možná to půjde nějak zautomatizovat, ale zatím se mi to nepodařilo :-(