Dies ist der Befehl encfs, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
encfs – mountet oder erstellt ein verschlüsseltes virtuelles Dateisystem
ZUSAMMENFASSUNG
encfs [--Version] [-s] [-f] [-v|- ausführlich] [-i MINUTEN|--idle=MINUTEN] [--extpass=Programm]
[-S|--stdinpass] [--irgendein Schlüssel] [--forcedecode] [-d|--fuse-debug] [--öffentlich]
[--no-default-flags] [--auf Anfrage] [--delaymount] [--umkehren] [--Standard] [-o FUSE_OPTION]
Rootdir Einhängepunkt [-- [Sicherung Montieren Optionen]]
BESCHREIBUNG
EncFS erstellt ein virtuelles verschlüsseltes Dateisystem, das verschlüsselte Daten speichert Rootdir
Verzeichnis und macht die unverschlüsselten Daten dort sichtbar Einhängepunkt Verzeichnis. Der Benutzer
muss ein Passwort angeben, das zum (indirekten) Verschlüsseln von Dateinamen und Dateien verwendet wird
Inhalt.
If EncFS kann unter der angegebenen Adresse kein unterstütztes Dateisystem finden Rootdir, dann der Benutzer
werden gefragt, ob sie am angegebenen Speicherort ein neues verschlüsseltes Dateisystem erstellen möchten.
Dem Benutzer werden Optionen angezeigt, die eine gewisse Kontrolle über die zu verwendenden Algorithmen ermöglichen.
As EncFS Mit zunehmender Reife wird es möglicherweise mehr Auswahlmöglichkeiten geben.
OPTIONAL
-i, --idle=MINUTEN
Aktivieren Sie die automatische Unmountung des Dateisystems nach einer Zeit der Inaktivität. Die Periode
wird in Minuten angegeben, sodass die kürzeste Timeout-Periode, die angefordert werden kann, eins ist
Minute. EncFS wird die Bereitstellung nicht automatisch aufheben, wenn darin Dateien geöffnet sind
Dateisystem, auch wenn sie im schreibgeschützten Modus geöffnet sind. Allerdings einfach Dateien geöffnet haben
zählt nicht als Aktivität.
-f Die -f (Vordergrund) Optionsursachen EncFS im Vordergrund laufen. Normalerweise EncFS
spawnt als Daemon, läuft im Hintergrund und gibt die Kontrolle an den Spawner zurück
Hülse. Mit dem -f Option wird es im Vordergrund und in allen Warn-/Debugprotokollen ausgeführt
Meldungen werden im Standardfehler angezeigt. Im Standardmodus (Hintergrundmodus) alle
Protokollmeldungen werden über Syslog protokolliert.
-v, - ausführlich
Ursachen EncFS um die Protokollierung verschiedener Debug-Kanäle innerhalb zu ermöglichen EncFS. Normalerweise diese
Protokollierungsmeldungen sind deaktiviert und haben keine Auswirkung. Ein Einlauf wird empfohlen
Vordergrund (-f)-Modus bei Ausführung mit aktivierter Verbose-Funktion.
-s Die -s (Single eingefädelt) Optionsursachen EncFS im Single-Threaded-Modus laufen zu lassen. Von
Standard EncFS läuft im Multithread-Modus. Diese Option wird während verwendet EncFS
Entwicklung, um das Debuggen zu vereinfachen und die Ausführung unter Speicherprüfung zu ermöglichen
Werkzeug..
-d, --fuse-debug
Ermöglicht das Debuggen innerhalb der FUSE Bibliothek. Dies sollte nur verwendet werden, wenn Sie den Verdacht haben, dass a
Problem im Inneren FUSE selbst (nicht EncFS), da es viele Low-Level-Daten generiert und ist
Wird bei der allgemeinen Problemverfolgung wahrscheinlich nicht sehr hilfreich sein. Versuchen ausführlich Modus (-v)
Erstens, was einen übergeordneten Überblick über das gibt, was im Inneren geschieht EncFS.
--forcedecode
Diese Option hat nur Auswirkungen auf Dateisysteme, die MAC-Blockheader verwenden. Von
Standardmäßig, wenn ein Block dekodiert wird und der gespeicherte MAC nicht mit dem berechneten übereinstimmt,
dann wird ein E/A-Fehler an die Anwendung zurückgegeben und der Block wird nicht zurückgegeben.
Allerdings durch Angabe --forcedecode, wird nur ein Fehler protokolliert und die Daten werden gespeichert
dennoch an den Antrag zurückgegeben werden. Dies kann für Leseversuche nützlich sein
beschädigte Dateien.
--öffentlich
Versuchen Sie, encfs dazu zu bringen, sich wie ein typisches Mehrbenutzer-Dateisystem zu verhalten. Standardmäßig sind alle FUSE
basierte Dateisysteme sind nur für den Benutzer sichtbar, der sie gemountet hat. Keine anderen Benutzer
(einschließlich Root) können den Inhalt des Dateisystems anzeigen. Der --öffentlich Option macht zwei
Dinge. Beim Mounten werden die FUSE-Flags „allow_other“ und „default_permission“ hinzugefügt
das Dateisystem, das FUSE anweist, anderen Benutzern den Zugriff auf das Dateisystem zu erlauben, und zwar
Verwenden Sie die vom Dateisystem bereitgestellten Eigentumsrechte. Zweitens, die --öffentlich Flagge
Ändert die Funktionsweise der Knotenerstellungsfunktionen von encfs – da versucht wird, den Besitz festzulegen
neuer Knoten basierend auf der Anruferidentifikation.
Warnung: Damit dies funktioniert, muss encfs als Root ausgeführt werden, sonst funktioniert es nicht
Sie haben die Möglichkeit, den Besitz von Dateien zu ändern. Ich empfehle Ihnen stattdessen
Untersuchen Sie vorher, ob die Option „fuseallow_other“ verwendet werden kann, um das zu tun, was Sie möchten
unter Berücksichtigung der Verwendung von --öffentlich.
--auf Anfrage
Mounten Sie das Dateisystem bei Bedarf. Dies ist derzeit nur in Kombination mit sinnvoll
--Leerlauf und --extpass Optionen. Wenn das Dateisystem inaktiv wird, wird es nicht beendet, sondern
EncFS stoppt den Zugriff auf das Dateisystem, indem es intern seinen Verweis darauf löscht
Es. Versucht jemand erneut, auf das Dateisystem zuzugreifen, kommt das Programm extpass zum Einsatz
um den Benutzer zur Eingabe des Passworts aufzufordern. Wenn dies gelingt, wird das Dateisystem
wieder verfügbar.
--delaymount
Hängen Sie das Dateisystem nicht ein, wenn encfs startet. Verzögern Sie stattdessen die Montage bis zum ersten Mal
verwenden. Diese Option macht nur Sinn mit --auf Anfrage.
--require-macs
Wenn Sie ein neues Dateisystem erstellen, werden dadurch die Authentifizierungscode-Header blockiert
ermöglicht. Beim Mounten eines vorhandenen Dateisystems führt dies dazu, dass encfs bei Blockierung beendet wird
Authentifizierungscode-Header sind nicht aktiviert.
Dies kann zur Verbesserung der Sicherheit verwendet werden, falls der Chiffretext angreifbar ist
Manipulation, indem ein Angreifer daran gehindert wird, MACs in der Konfigurationsdatei zu deaktivieren.
--umkehren
Normalerweise EncFS Bietet eine Klartextansicht der Daten bei Bedarf. Normalerweise speichert es
verschlüsselte Daten und zeigt Klartextdaten an. Mit --umkehren es nimmt als Quelle
Klartextdaten und erzeugt bei Bedarf verschlüsselte Daten. Dies kann nützlich sein für
Erstellen entfernter verschlüsselter Backups, bei denen Sie die lokalen Dateien nicht behalten möchten
unverschlüsselt.
Das Folgende würde beispielsweise eine verschlüsselte Ansicht in /tmp/crypt-view erstellen.
encfs --reverse /home/me /tmp/crypt-view
Anschließend können Sie das Verzeichnis /tmp/crypt-view kopieren, um eine Kopie davon zu erhalten
verschlüsselte Daten. Sie müssen außerdem eine Kopie der Datei /home/me/.encfs6.xml aufbewahren
enthält die Dateisysteminformationen. Zusammen können die beiden verwendet werden, um das zu reproduzieren
unverschlüsselte Daten:
ENCFS6_CONFIG=/home/me/.encfs6.xml encfs /tmp/crypt-view /tmp/plain-view
Jetzt enthält /tmp/plain-view dieselben Daten wie /home/me
Beachten Sie, dass --umkehren Der Modus funktioniert nur mit begrenzten Konfigurationsoptionen, also vielen
Die Einstellungen können bei Verwendung deaktiviert sein.
--nocache
Deaktivieren Sie den Cache der Dateiattribute des Kernels. Wenn Sie diese Option festlegen, wird EncFS erfolgreich ausgeführt
„attr_timeout=0“ und „entry_timeout=0“ zu FUSE. Dadurch wird sichergestellt, dass Änderungen an
Die Sicherungsdateien, die außerhalb von EncFS auftreten, werden sofort im EncFS-Mount angezeigt.
Der Hauptanwendungsfall für „--nocache“ ist der Reverse-Modus.
--Standard
Wenn Sie ein neues Dateisystem erstellen, wird automatisch die Standardkonfiguration ausgewählt
Optionen, um bei der automatischen Dateisystemerstellung zu helfen. Dies ist die Reihe von Optionen, die
sollte verwendet werden, es sei denn, Sie wissen, was Sie tun und haben die Dokumentation gelesen.
Wenn kein Dateisystem erstellt wird, hat dieses Flag keine Wirkung.
-o FUSE_ARG
Durchlaufen FUSE args an die zugrunde liegende Bibliothek. Dies erleichtert das Bestehen von FUSE
Optionen bei der Montage EncFS über Mount (und / etc / fstab). Z.B:
mounten Sie encfs#/home/me-crypt /home/me -t Fuse -o kernel_cache
Beachten Sie, dass encfs-Argumente nicht auf diese Weise festgelegt werden können. Wenn Sie encfs-Argumente festlegen müssen,
Erstellen Sie einen Wrapper, z. B. encfs-reverse;
#!/ Bin / sh
encfs --reverse $*
Mounten Sie dann mithilfe des Skriptpfads
Mounten Sie encfs-reverse#/home/me /home/me-crypt -t Fuse
-- Die -- Option sagt EncFS um alle verbleibenden Argumente direkt an zu senden FUSE. Im Gegenzug,
FUSE übergibt die Argumente an Fixierstation. Siehe Fixierstation Weitere Informationen finden Sie auf der Hilfeseite
auf verfügbare Befehle.
--no-default-flags
Encfs Fügt standardmäßig die FUSE-Flags „use_ino“ und „default_permissions“ hinzu
Version 1.2.2, da dies die Kompatibilität mit einigen Programmen verbessert. Wenn für einige
Wenn Sie eines oder beide dieser Flags deaktivieren müssen, verwenden Sie die Option
--no-default-flags.
Die folgenden Befehlszeilen führen zum gleichen Ergebnis:
encfs rohe Krypta
encfs --no-default-flags raw crypt -- -o use_ino,default_permissions
--extpass=Programm
Geben Sie ein externes Programm an, das zum Abrufen des Benutzerkennworts verwendet werden soll. Wenn das Äußere
Wenn das Programm gestartet wird, wird die Umgebungsvariable „RootDir“ so eingestellt, dass sie den Pfad enthält
in das Stammverzeichnis. Das Programm sollte das Passwort auf der Standardausgabe ausgeben.
EncFS Nimmt alles, was vom Programm zurückgegeben wird, als Passwort an, außer a
abschließender Zeilenumbruch (\n), der entfernt wird.
Zum Beispiel spezifizieren --extpass=/usr/lib/ssh/ssh-askpass wird verursachen EncFS benutzen
SSH-Passwort-Eingabeprogramm.
Hinweis: EncFS liest höchstens 2 KB Daten aus dem Passwortprogramm und entfernt alle Daten
nachgestellter Zeilenumbruch. Versionen vor 1.4.x akzeptierten nur 64 Byte Text.
-S, --stdinpass
Lesen Sie das Passwort ohne Aufforderung aus der Standardeingabe. Dies kann nützlich sein für
Skripting für Encfs-Mounts.
Beachten Sie, dass Sie zunächst sicherstellen sollten, dass das Dateisystem und die Mount-Punkte vorhanden sind. Ansonsten
encfs fordert Sie zur Eingabe der Dateisystem-Erstellungsoptionen auf, die Ihre Arbeit beeinträchtigen können
Skripte.
--irgendein Schlüssel
Deaktivieren Sie die Überprüfung der Schlüsselvalidierung. Dies erlaubt EncFS zur Verwendung mit der Sekundärseite
Passwörter. Dies könnte verwendet werden, um einen separaten Satz von Dateien verschlüsselt zu speichern
Dateisystem. EncFS ignoriert Dateien, die nicht richtig dekodiert werden, also Dateien, die mit erstellt wurden
Separate Passwörter werden nur sichtbar, wenn das Dateisystem mit ihnen gemountet wird
zugehöriges Passwort.
Beachten Sie, dass bei einer Änderung des primären Passworts (mit encfsctl), die anderen Passwörter
kann nicht verwendet werden, es sei denn, das primäre Passwort wird auf den alten Wert zurückgesetzt
Andere Passwörter beruhen auf einer ungültigen Dekodierung der Lautstärketaste, die nicht bestehen bleibt
Das Gleiche gilt, wenn das primäre Passwort geändert wird.
Warnung: Nutzen Sie diese Option auf eigenes Risiko.
VARIABLEN
ENCFS6_CONFIG
Welche Konfigurationsdatei (normalerweise mit dem Namen .encfs6.xml) verwendet werden soll. Standardmäßig die Konfigurationsdatei
wird aus dem verschlüsselten Verzeichnis gelesen. Mit dieser Option können Sie die Konfiguration speichern
Datei getrennt von den verschlüsselten Dateien.
Warnung: Wenn Sie die Konfigurationsdatei verlieren, sind die verschlüsselten Dateiinhalte unwiederbringlich
verloren. Es enthält den mit Ihrem Passwort verschlüsselten Hauptschlüssel. Ohne den Hauptschlüssel,
Eine Wiederherstellung ist nicht möglich, selbst wenn Sie das Passwort kennen.
Beispiele:
Erstellen Sie ein neues verschlüsseltes Dateisystem. Speichern Sie die rohen (verschlüsselten) Daten in „~/.crypt" , und
Machen Sie die unverschlüsselten Daten sichtbar in „~/crypt". Beide Verzeichnisse liegen im Home
Verzeichnis in diesem Beispiel. Dieses Beispiel zeigt die vollständige Ausgabe von encfs bei der Abfrage
Benutzer, wenn er das Dateisystem erstellen möchte:
% encfs ~/.crypt ~/crypt
Das Verzeichnis „/home/me/.crypt“ existiert nicht. Erstellen Sie (y,n)?y
Das Verzeichnis „/home/me/crypt“ existiert nicht. Erstellen Sie (y,n)?y
Neues verschlüsseltes Volume erstellen.
Bitte wählen Sie eine der folgenden Optionen:
Geben Sie „x“ für den Expertenkonfigurationsmodus ein.
Geben Sie „p“ für den vorkonfigurierten Paranoia-Modus ein.
Alles andere oder eine leere Zeile wählt den Standardmodus aus.
?>
Standardkonfiguration ausgewählt.
Verwendung der Verschlüsselung Blowfish, Schlüsselgröße 160, Blockgröße 512
Neues Kennwort:
Verifizieren:
Das Dateisystem ist jetzt gemountet und sichtbar in ~/crypt. Wenn dort Dateien erstellt werden, werden sie
kann in verschlüsselter Form eingesehen werden ~/.crypt. Um das Dateisystem auszuhängen, verwenden Sie Fixierstation mit
die -u (Unmount-)Option:
% Fusermount -u ~/crypt
Ein anderes Beispiel. Um dasselbe Dateisystem zu mounten, aber den Mount-Punkt mit „fusermount“ zu benennen
'/dev/foo' (wie in gezeigt df und andere Tools, die lesen / etc / mtab) und auch Kernel anfordern
Ebenen-Caching von Dateidaten (beides sind spezielle Argumente für Fusermount):
% encfs ~/.crypt ~/crypt --n /dev/foo -c
Oder wenn Sie bei der Arbeit in einem bestimmten Programm ein seltsames Verhalten feststellen
Wenn Sie ein verschlüsseltes Dateisystem verwenden, kann es hilfreich sein, beim Reproduzieren im ausführlichen Modus zu arbeiten
Problem und senden Sie die Ausgabe zusammen mit dem Problembericht:
% encfs -v -f ~/.crypt ~/crypt 2> encfs-report.txt
Um zu vermeiden, dass vertrauliche Informationen über die Debugging-Kanäle verloren gehen, alle
Warnungen und Debug-Meldungen (als Ausgabe im ausführlichen Modus) enthalten nur verschlüsselte Dateinamen.
Sie können die Verwendung encfsctl Programme dekodieren Funktion zum Dekodieren von Dateinamen, falls gewünscht.
VORSICHTEN
EncFS ist kein echtes Dateisystem. Es geht nicht um die eigentliche Speicherung bzw
Pflege von Dateien. Es übersetzt einfach Anfragen (Verschlüsseln oder Entschlüsseln als).
erforderlich) und leitet die Anforderungen an das zugrunde liegende Host-Dateisystem weiter. Deshalb
Alle Einschränkungen des Host-Dateisystems werden übernommen EncFS (oder möglicherweise weiter sein
begrenzt).
Eine solche Einschränkung ist die Länge des Dateinamens. Wenn Ihr zugrunde liegendes Dateisystem Sie auf N beschränkt
Zeichen in einem Dateinamen, dann EncFS wird Sie auf ungefähr 3*(N-2)/4 beschränken. Für
Wenn das Host-Dateisystem beispielsweise auf 256 Zeichen beschränkt ist, dann EncFS wird auf 190 begrenzt
Zeichendateinamen. Dies liegt daran, dass verschlüsselte Dateinamen immer länger sind als Klartext
Dateinamen.
DATEISYSTEM OPTIONAL
Wann EncFS erhält ein Stammverzeichnis, das kein vorhandenes enthält EncFS Dateisystem,
Es besteht die Möglichkeit, eines zu erstellen. Beachten Sie, dass Optionen nur im Dateisystem festgelegt werden können
Erstellungszeitpunkt. Es gibt keine Unterstützung für die direkte Änderung der Optionen eines Dateisystems.
Wenn Sie ein Dateisystem aktualisieren möchten, um neuere Funktionen zu nutzen, müssen Sie ein neues erstellen
Dateisystem und mounten Sie sowohl das alte als auch das neue Dateisystem gleichzeitig und kopieren Sie es
das Alte zum Neuen.
Es können mehrere Instanzen von encfs gleichzeitig ausgeführt werden, einschließlich verschiedener Versionen von
encfs, sofern sie mit dem aktuellen FUSE-Modul auf Ihrem System kompatibel sind.
Außerdem stehen zwei vorkonfigurierte Einstellungen („Standard“ und „Paranoia“) zur Auswahl
mit einem Expertenkonfigurationsmodus.
Standard Der Modus verwendet die folgenden Einstellungen:
Verschlüsselung: AES
Schlüsselgröße: 192 Bit
PBKDF2 mit 1/2 Sekunde Laufzeit, 160 Bit Salt
Blockgröße des Dateisystems: 1024 Byte
Dateinamenkodierung: Blockkodierung mit IV-Verkettung
Eindeutige Header der Initialisierungsvektordatei
Durchgehende Aktenlöcher
Paranoia Der Modus verwendet die folgenden Einstellungen:
Verschlüsselung: AES
Schlüsselgröße: 256 Bit
PBKDF2 mit 3 Sekunden Laufzeit, 160 Bit Salt
Blockgröße des Dateisystems: 1024 Byte
Dateinamenkodierung: Blockkodierung mit IV-Verkettung
Eindeutige Header der Initialisierungsvektordatei
Blockheader des Nachrichtenauthentifizierungscodes
Externe IV-Verkettung
Durchgehende Aktenlöcher
Im Experten-/manuellen Konfigurationsmodus ist jede der oben genannten Optionen konfigurierbar.
Hier ist eine Liste der aktuellen Optionen mit einigen Hinweisen zu ihrer Bedeutung:
Wesentliche Ableitung Funktion
Ab Version 1.5 EncFS Verwendet jetzt PBKDF2 als Standardschlüsselableitungsfunktion. Der
Die Anzahl der Iterationen in der Keying-Funktion wird basierend auf der Uhrzeit bis ausgewählt
den Schlüssel generieren. Im Standardmodus wird eine Zielzeit von 0.5 Sekunden verwendet, und im Paranoia-Modus
Im Modus wird ein Ziel von 3.0 Sekunden verwendet.
Auf einem 1.6-GHz-AMD-64-System können ungefähr 64 Iterationen der Schlüsselableitungsfunktion durchgeführt werden
in einer halben Sekunde erledigt. Die genaue Anzahl der zu verwendenden Iterationen wird im gespeichert
Konfigurationsdatei, da sie zum erneuten Mounten des Dateisystems benötigt wird.
Wenn ein EncFS Die Dateisystemkonfiguration von 1.4.x wird mit Version 1.5 geändert (z. B. wenn
Verwenden von encfsctl zum Ändern des Passworts), dann wird die neue PBKDF2-Funktion verwendet und die
Das Dateisystem ist für ältere Versionen nicht mehr lesbar.
Chiffre
Welcher Verschlüsselungsalgorithmus verwendet werden soll. Die Liste wird automatisch basierend auf was generiert
unterstützte Algorithmen EncFS finden Sie in den Verschlüsselungsbibliotheken. Bei Verwendung eines aktuellen
Version von OpenSSL, Blowfish und AES sind die typischen Optionen.
Blowfish ist eine 8-Byte-Verschlüsselung, die jeweils 8 Bytes kodiert. AES ist eine 16-Byte-Verschlüsselung.
Chiffre Wesentliche Größe
Viele, wenn nicht alle, der unterstützten Verschlüsselungsverfahren unterstützen mehrere Schlüssellängen. Da ist nicht
Ich brauche wirklich enorme Schlüssellängen. Sogar 160 Bit (die Standardeinstellung) sind es
wahrscheinlich übertrieben.
Dateisystem Blockieren Größe
Dies ist die Größe (in Bytes). EncFS befasst sich auf einmal. Jeder Block bekommt seinen
besitzt einen eigenen Initialisierungsvektor und wird im Cipher-Block-Chaining-Modus des Chiffrierers kodiert.
Um dies zu vermeiden, wird ein Teilblock am Ende einer Datei mithilfe eines Stream-Modus codiert
Speichern Sie die Dateigröße irgendwo.
Durch größere Blockgrößen wird der Overhead reduziert EncFS ein wenig, aber es kann auch hinzufügen
Mehraufwand, wenn Ihre Programme kleine Teile von Dateien lesen. Um ein einzelnes Byte zu lesen
Aus einer Datei muss der gesamte Block, der dieses Byte enthält, gelesen und dekodiert werden, also a
Eine große Blockgröße erhöht den Overhead für kleine Anfragen. Bei Schreibanrufen ist es noch schlimmer,
Da ein Block gelesen und dekodiert werden muss, muss die Änderung angewendet und der Block kodiert werden
wieder ausgeschrieben.
Der Standardwert beträgt ab Version 512 1.0 Byte. In der Version war es fest auf 64 Byte codiert
0.x, was für den allgemeinen Gebrauch nicht so effizient war wie die aktuelle Einstellung.
Dateiname Codierung
New in 1.1. Es besteht die Wahl zwischen Stream-Kodierung des Dateinamens und Blockkodierung.
Der Vorteil der Stream-Kodierung besteht darin, dass die kodierten Dateinamen nur kurz sind
möglich. Wenn Sie einen Dateinamen mit einem einzelnen Buchstaben haben, ist dieser sehr kurz
kodierte Form, wobei blockkodierte Dateinamen immer auf die Blockgröße aufgerundet werden
des Verschlüsselungscodes (8 Byte für Blowfish und 16 Byte für AES).
Der Vorteil des Blockkodierungsmodus besteht darin, dass die Dateinamenlängen alle als a ausgegeben werden
Vielfaches der Chiffrierblockgröße. Dies bedeutet, dass jemand Ihre verschlüsselte Nachricht ansieht
Daten können nicht so viel über die Länge Ihrer Dateinamen aussagen. Es ist standardmäßig aktiviert, da
Es dauert ähnlich lange wie die Verwendung der Stream-Verschlüsselung. Allerdings Stream-Verschlüsselung
Der Modus kann nützlich sein, wenn Sie aus irgendeinem Grund kürzere verschlüsselte Dateinamen wünschen.
Vor Version 1.1 wurde nur Stream-Kodierung unterstützt.
Dateiname Initialisierung Vector Verkettung
New in 1.1. In früheren Versionen von EncFS, jedes Dateinamenelement in einem Pfad war
separat kodiert. Wenn also „foo“ in „XXX“ kodiert würde, dann würde es immer das kodieren
Weise (mit dem gleichen Verschlüsselungsschlüssel), unabhängig davon, ob der Pfad „a/b/foo“ war, oder
„aa/foo/cc“ usw. Das bedeutete, dass es für jemanden möglich war, sich die verschlüsselte Datei anzusehen
Daten, um zu sehen, ob zwei Dateien in verschiedenen Verzeichnissen denselben Namen hatten, obwohl sie
Ich wüsste nicht, wofür dieser Name dekodiert wurde.
Bei der Initialisierungsvektorverkettung erhält jedes Verzeichnis seine eigene Initialisierung
Vektor. „a/foo“ und „b/foo“ haben also völlig unterschiedliche codierte Namen
„foo“. Diese Funktion hat nahezu keine Auswirkungen auf die Leistung (für die meisten Vorgänge) und so
ist die Standardeinstellung in allen Modi.
Hinweis: Eine wesentliche Leistungsausnahme sind Verzeichnisumbenennungen. Seit der
Der Initialisierungsvektor für die Dateinamenkodierung hängt vom Verzeichnispfad und jeder Umbenennung ab
erfordert die Neucodierung jedes Dateinamens im Baum des zu ändernden Verzeichnisses. Wenn
Da es Tausende von Dateien gibt, muss EncFS Tausende von Umbenennungen durchführen. Es kann
Es kann auch sein, dass EncFS auf eine Datei stößt, die nicht dekodiert werden kann oder nicht
Sie haben die Berechtigung, sich während des Umbenennungsvorgangs zu bewegen. In diesem Fall wird dies versucht
Machen Sie alle bis dahin vorgenommenen Änderungen rückgängig und die Umbenennung schlägt fehl.
Pro Datei Initialisierung Vektoren
New in 1.1. In früheren Versionen von EncFS, jede Datei wurde auf die gleiche Weise codiert.
Jeder Block in einer Datei hatte schon immer seinen eigenen Initialisierungsvektor, aber in einem
deterministische Weise, sodass Block N in einer Datei genauso codiert wird wie Block N in
eine andere Datei. Dadurch konnte jemand erkennen, ob zwei Dateien identisch waren
(oder Teile der Datei waren identisch) durch Vergleich der kodierten Daten.
Bei Initialisierungsvektoren pro Datei erhält jede Datei ihre eigene 64-Bit-Zufallszahl
Initialisierungsvektor, sodass jede Datei auf unterschiedliche Weise verschlüsselt wird.
Diese Option ist standardmäßig aktiviert.
Extern IV Verkettung
New in 1.1.3. Diese Option steht in engem Zusammenhang mit den Initialisierungsvektoren pro Datei und
Dateinamen-Initialisierungsvektorverkettung. Im Grunde erweitert es die Initialisierung
Vektorverkettung von Dateinamen zum Initialisierungsvektor pro Datei.
Wenn diese Option aktiviert ist, wird der Initialisierungsvektor pro Datei mithilfe von codiert
Initialisierungsvektor, abgeleitet vom Dateinamen-Initialisierungsvektor-Verkettungscode.
Das bedeutet, dass die Daten in einer Datei an den Dateinamen gebunden werden. Wenn eine verschlüsselte Datei
außerhalb von encfs umbenannt wird, kann es innerhalb von encfs nicht mehr dekodiert werden. Beachten Sie, dass
Sofern die Option „MAC-Header blockieren“ nicht aktiviert ist, wird der Dekodierungsfehler nicht erkannt
Dies führt dazu, dass zufällig aussehende Daten gelesen werden.
Damit sind Kosten verbunden. Wenn externe IV-Verkettung aktiviert ist, hart
Links innerhalb des Dateisystems sind nicht zulässig, da dies nicht ordnungsgemäß möglich wäre
dekodieren Sie zwei verschiedene Dateinamen, die auf dieselben Daten verweisen.
Außerdem erfordert das Umbenennen einer Datei eine Änderung des Dateiheaders. Es werden also nur Umbenennungen vorgenommen
zulässig, wenn der Benutzer Schreibzugriff auf die Datei hat.
Aufgrund dieser Einschränkungen ist diese Option für den Standardmodus (und) standardmäßig deaktiviert
standardmäßig für den Paranoia-Modus aktiviert).
Blockieren MAC Überschriften
New zu 1.1. Wenn dies aktiviert ist, wird jeder Block in jeder Datei zusammen mit einem gespeichert
kryptografische Prüfsumme (Message Authentication Code). Das macht es virtuell
Es ist unmöglich, eine Datei zu ändern, ohne dass die Änderung erkannt wird EncFS. EncFS werden wir
verweigert das Lesen von Daten, die die Prüfsumme nicht bestehen, und protokolliert den Fehler und
Gibt einen E/A-Fehler an die Anwendung zurück.
Dies führt zu einem erheblichen Mehraufwand (Standard sind 8 Byte pro Dateisystemblock).
Rechenaufwand und ist außer im Paranoia-Modus standardmäßig nicht aktiviert.
Wenn dies nicht aktiviert ist und wenn EncFS wird aufgefordert, geänderte oder beschädigte Daten zu lesen
wird keine Möglichkeit haben, zu überprüfen, ob die dekodierten Daten mit denen übereinstimmen, die ursprünglich kodiert waren.
Aktenloch Durchgang
Sorgen Sie dafür, dass ENCFs Lücken in Dateien hinterlassen. Wenn ein Block nur aus Nullen gelesen wird, wird davon ausgegangen
ein Loch sein und beim Lesen (nicht entschlüsseln) als Null belassen werden. Dies ist erforderlich, wenn
Zugriff auf ENCFs über das SMB-Protokoll.
Standardmäßig aktiviert. Kann im Expertenmodus deaktiviert werden.
Anschläge
Das primäre Ziel von EncFS ist der Offline-Schutz von Daten. Das heißt, bieten Sie eine bequeme Möglichkeit
Dateien auf eine Weise zu speichern, die jeden Versuch, sie zu lesen, vereitelt, wenn die Dateien vorhanden sind
später abgefangen.
Einige Algorithmen in EncFS sollen auch Online-Angriffe dort verhindern, wo sich ein Angreifer befindet
Es wird davon ausgegangen, dass die Dateien geändert werden können.
Die aufdringlichsten Angriffe, bei denen ein Angreifer die vollständige Kontrolle über den Computer des Benutzers hat
(und kann daher ändern EncFS oder FUSEoder der Kernel selbst) sind nicht geschützt.
Gehen Sie nicht davon aus, dass verschlüsselte Dateien Ihre sensiblen Daten schützen, wenn Sie Ihre Daten eingeben
Passwort in einen kompromittierten Computer einschleusen. Wie Sie feststellen, dass die Verwendung des Computers sicher ist
liegt außerhalb des Rahmens dieser Dokumentation.
Vor diesem Hintergrund finden Sie hier einige Beispiele für Angriffe und Datenerfassungstechniken auf das Dateisystem
Inhalte zusammen mit den Algorithmen EncFS unterstützt, sie zu vereiteln:
Attacke: Einige Bytes einer verschlüsselten Datei ändern (ohne zu wissen, was sie dekodieren werden).
zu).
EncFS verwendet keine Form der XOR-Verschlüsselung, die die Verschlüsselung einzelner Bytes ermöglichen würde
geändert werden, ohne andere zu beeinträchtigen. Die meisten Änderungen würden Dutzende oder mehr betreffen
Bytes. Darüber hinaus können MAC-Block-Header verwendet werden, um etwaige Änderungen an Dateien zu identifizieren.
Attacke: Kopieren eines zufälligen Blocks einer Datei in einen zufälligen Block einer anderen Datei.
Jeder Block hat seinen eigenen [deterministischen] Initialisierungsvektor.
Attacke: Block N in Block N einer anderen Datei kopieren.
Wenn die Unterstützung für Initialisierungsvektoren pro Datei aktiviert ist (Standard in 1.1.x
Dateisysteme) wird ein kopierter Block nicht richtig dekodiert, wenn er in eine andere Datei kopiert wird.
Attacke: Kopieren einer gesamten Datei in eine andere Datei.
Kann verhindert werden, indem der externe IV-Kettenmodus aktiviert wird.
Attacke: Stellen Sie anhand der verschlüsselten Namen fest, ob zwei Dateinamen identisch sind.
Die Vektorverkettung der Dateinameninitialisierung verhindert dies, indem jeder Datei eine 64-Bit-Datei zugewiesen wird
Initialisierungsvektor, abgeleitet von seinem vollständigen Pfadnamen.
Attacke: Vergleichen Sie, ob zwei Dateien dieselben Daten enthalten.
Die Unterstützung des Initialisierungsvektors pro Datei verhindert dies.
Haftungsausschluss
Diese Bibliothek wird in der Hoffnung verteilt, dass sie nützlich sein wird, jedoch OHNE JEGLICHE GARANTIE;
auch ohne die stillschweigende Garantie der MARKTFÄHIGKEIT oder EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.
Bitte beachten Sie die mitgelieferte Datei „KOPIEREN“. EncFS für nähere Details.
AUTOREN
EncFS wurde geschrieben von Valient Gough <[E-Mail geschützt] >.
Verwenden Sie encfs online über die Dienste von onworks.net
