Thursday, October 19th, 2017

Шифрование пользовательских данных с помощью EncFS

Published on Апрель 6, 2009 by   ·   Комментариев нет

резервные носители тырят менее часто. В большинстве этих случаем, хранящаяся в устройстве информация стоит дороже самого оборудования и перед нами встает вопрос о блокировании несанкционированного доступа к этим данным.
Шифрование
Решение может состоять в том, чтобы использовать gpg или иное решение, основанное на PKI, но прозрачность и легкость управления ключами все еще оставляет желать лучшего в этой схеме. При работе с несколькими файлами положение только усугубляется.

Очевидным решением будет использование шифрующей файловой системы, где никакие пользовательские данные не хранятся в открытом виде и которая полностью прозрачна для пользователя. Но и здесь есть некоторая проблема — кодирование документов пользователя необходимо, но сомнительна важность шифрации любимого текстового редактора или файлов кэша вашего броузера.

Есть другое частичное решение, связанное с особенностями Linux-разделов: возможно размещение системных файлов в одном разделе и хранение пользовательских данных в другом, зашифрованном разделе. На первый взгляд — это оптимальное решение, однако в реальной жизни все не так просто, так как возникает сложность в выделении новых разделов.

Еще сложнее проблема с USB-носителями, так как помимо сохранения пользовательских данных есть необходимость обмениваться этими данными с другими компьютерами, на большинстве из которых установлен Windows. Использование схемы шифрации файловой системы не позволяет этого. Много проектов пробовали этот классический подход. Наиболее известные — Loopback, CFS и TCFS.
EncFS
Новый подход к решению этой проблемы — EncFS. EncFS выполняется в окружении пользователя, что позволяет не подгружать модули ядра и иметь привилегии пользователя root. Основной особенностью этой схемы шифрации является возможность шифровать отдельные каталоги, а не файловую систему целиком. Требования к ресурсам невелики, по сравнению с современными мощностями процессоров, и ЦП 1.5GHz помимо выполнения всех остальных задач способен осуществлять шифрацию/дешифрацию на лету.

На странице Valient Gough’s EncFS page приводится детальный анализ и сравнение EncFS.

Для установки EncFS нам потребуется Fuse и rlog. Для SuSE 9.2 вы можете найти пакеты для установки на домашней странице Valient, а пользователи Debian могут использовать конвертер пакетов alien.

После установки этих двух пакетов, вы можете скомпилировать и установить EncFS. На момент написания этой статьи, текущей версией была 1.2 Когда все закончено, можно приступать к шифрации каталогов.
Использование EncFS
Использование зашифрованных каталогов очень похоже на установку любой другой файловой системы под Linux. Создайте реальный каталог со всеми вашими файлами, для примера, /home/user/crypt-raw. Необходимо также создать точку монтирования, пусть это будет /home/user/crypt. При обращении к этим каталогам убедитесь, что используете абсолютные пути (не только/usr/bin/crypt).

Шифруем данные командой:

      > encfs /home/user/crypt-raw /home/user/crypt
      Volume key not found, creating new encrypted volume.
      Password:
      Verify:

Когда шифрование завершилось, обращаться к файлам можно используя каталог crypt. После завершения работы используйте команду:

      fusermount -u /home/user/crypt

Эта команда отмонтирует каталог crypt, оставляя crypt-raw в зашифрованном виде. Изменяются имена файлов, шифруется содержимое. Остается прежним только размер файла и права доступа.

В качестве положительного момента EncFS можно отметить, что нет необходимости монтировать crypt-raw при осуществлении резервного копирования. Вместо этого, вы можете взять снимок зашифрованного каталога и позже его расшифровать. Программы архивации способны даже определять и архивировать модифицированные файлы.

Существует вопрос выбора паролей. Когда вы создаете каталог EncFS, EncFS выбирает случайный пароль (тот, который намного более сложен чем любой пароль, введенный через клавиатуру), шифрует указанный каталог, и затем шифрует случайный пароль вашим собственным выбранным паролем. В результате, вы можете сменить пароль в любое время, без необходимости прешифровывать все файлы.

В результате, EncFS очень хорошая альтернатива традиционным средствам защиты информации, так как обладает хорошей скоростью работы, продуманным дизайном и великолепно подходит для применеия на сменных носителях.








Смотрите также:

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]