EncFS
Материал из Википедии — свободной энциклопедии
| EncFS | |
| Тип | filesystem, encryption |
| Разработчик | Valient Gough |
| ОС | Linux, FreeBSD |
| Текущая версия | 1.4.2 — 13 апреля 2008 |
| Лицензия | GNU GPL |
| Сайт | EncFS home |
EncFS это свободное программное обеспечение (распространяющееся под лицензией GPL), основанная на FUSE криптографическая файловая система, прозрачно шифрующая файлы, используя произвольные имена файлов и директорий для шифрования.
Для монтирования файловой системы EncFS необходимо две директории: исходную зашифрованную директорию и директорию-точку монтирования. Каждый файл в директории-точке монтирования — это соответствующий расшифрованный файл из исходной зашифрованной директории. Имена файлов в зашифрованной директории также зашифрованы.
Файлы зашифрованы, использую ключ, который хранится зашифрованным в исходной директории. А пароль используется для расшифрования этого ключа.
Содержание |
[править] Преимущества
EncFS имеет некоторые преимущества перед системами шифрования разделов жёсткого диска, потому что каждый файл хранится как отдельный зашифрованный файл.
- EncFS-директории не занимают фиксированного размера — они «растут» по мере наполнения.
- Так как EncFS не скрывает структуру исходной директории, то есть возможность монтировать только отдельные поддиректории.
- Резервное копирование можно осуществлять только для тех файлов, которые изменились в своём зашифрованном виде.
[править] Недостатки
Существуют некоторые помехи в использовании EncFS:
- EncFS-директории не могут быть отформатированы как обычные файловые системы.
- Зашифрованные директории подвержены фрагментированию так-же, как и файловая система, на которой они находятся.
- Кто угодно, имеющий доступ к зашифрованной директории, может увидеть количество зашифрованных файлов, их приблизительный размер, права доступа и время последних модификаций и доступа.
[править] Опции файловой системы
При создании нового EncFS каталога доступны различные опции.
[править] Алгоритм шифрования
EncFS может использовать любые алгоритмы шифрования, которые сможет найти в системе. Обычно доступны Blowfish и AES.
Если алгоритм шифрования позволяет выбрать длину ключа, это можно сделать и при использовании его в EncFS.
[править] Размер блока
Каждый файл шифруется поблочно и эта опция позволяет выбрать размер блока. При чтении хотя бы одного байта из зашифрованного файла, расшифровывается весь блок. Также при записи, блок сначала расшифровывается целиком, а потом зашифровывается обратно.
По умолчанию размер блока равен 512, чего достаточно в большинстве случаев.
[править] Шифрование имен файлов
В отличие от содержимого зашифрованных файлов, имена файлов могут быть зашифрованы блочным или поточным шифром. Блочный шифр позволяет скрывать точную длину именен файлов, тогда как поточный показывает её точь-в-точь, экономя при этом место на носителе (хоть и не значительное).
[править] Цепи полных путей файлов
Данная опция позволяет шифровать одиннаковые имена файлов, находящихся в разных директориях, по-разному, исходя из полного пути к файлу.
Однако, если родительская директория будет переименована, то все нижележащие файлы и директории, будут также переименованы. Это может быть довольно затратной операцией. Поэтому не рекомендуется использовать эту опцию, если предполагается частое переименование директорий большой вложенности.
[править] Инициирующий вектор для файлов
Если опция включена, то каждый файл шифруется с произвольным 8-ми байтовым инициирующим вектором, который располагается внутри зашифрованного файла. Если опция отключена, то каждый файл шифруется одним и тем же инициирующим вектором, который может сделать ключ менее стойким к взлому.
Включение этой опции делает файловую систему более защищённой ценой добавление всего лишь 8-ми байт к каждому файлу.
[править] Внешние цепи инициирующих векторов
Позволяет шифровать содержимое одиннаковых блоков различных файлов по-разному, исходя из полного пути к файлу.
Соответственно, изменение пути к файлу, будет менять и его зашифрованное содержимое.
[править] Block MAC headers
Позволяет хранить контрольную сумму каждого зашифрованного блока, чтобы повреждение или модификация зашифрованного файла могли быть детектированы EncFS. Контрольная сумма — это 8 байт, добавляемых к каждому блоку. Можно использовать ещё 8 дополнительных произвольных байтов, чтобы два одиннаковых открытых блока имели разную контрольную сумму.
Эта опция накладывает дополнительные расходы на CPU, так как каждый блок должен быть проверен на соответствие своей контрольной сумме при каждом чтении или записи.
[править] Авторазмонтирование после определённого времени не использования
Если зашифрованная файловая система не использовалась некоторое время (несколько минут), то она может быть автоматически размонтирована. Размонтирование не будет происходить, если открыт хотя-бы один файл, даже на чтение.
[править] Secondary volumes
? Если EncFS не может расшифровать файл с заданным ключом, он игнорируется. Если специально указать, чтобы EncFS игнорировал неправильный пароль, ключ будет расшифрован по-другому и с этого момент файлы будут зашифрованы и расшифрованы с этим другим ключом. Это предоставляет два различных защищённых тома с различными паролями.
[править] См. также
| В Википедии есть портал «Свободное программное обеспечение» |
