Este es el comando encfs que se puede ejecutar en el proveedor de alojamiento gratuito de OnWorks utilizando una de nuestras múltiples estaciones de trabajo en línea gratuitas, como Ubuntu Online, Fedora Online, emulador en línea de Windows o emulador en línea de MAC OS.
PROGRAMA:
NOMBRE
encfs: monta o crea un sistema de archivos virtual cifrado
SINOPSIS
encfs [--versión] [-s] [-f] [-v|--verboso] [-i MINUTOS|--idle = MINUTOS] [--extpass = programa]
[-S|--stdinpass] [--cualquier llave] [--forcedecode] [-d|--fusible-depuración] [--público]
[--sin-banderas-predeterminadas] [--Bajo demanda] [--delaymount] [--contrarrestar] [--estándar] [-o FUSIBLE_OPCIÓN]
directorio raíz punto de montaje [-- [fusible monte ]]
DESCRIPCIÓN
EncFS crea un sistema de archivos virtual encriptado que almacena datos encriptados en el directorio raíz
directorio y hace que los datos no cifrados sean visibles en el punto de montaje directorio. El usuario
debe proporcionar una contraseña que se utiliza para cifrar (indirectamente) tanto los nombres de archivo como el archivo
contenido.
If EncFS no puede encontrar un sistema de archivos compatible en el especificado directorio raíz, luego el usuario
se les preguntará si desean crear un nuevo sistema de archivos cifrado en la ubicación especificada.
Se presentarán opciones al usuario que le permitirán cierto control sobre los algoritmos a utilizar.
As EncFS madura, puede haber un número creciente de opciones.
OPCIONES
-i, --idle = MINUTOS
Habilite el desmontaje automático del sistema de archivos después de un período de inactividad. El período
se especifica en minutos, por lo que el período de tiempo de espera más corto que se puede solicitar es uno
minuto. EncFS no se desmontará automáticamente si hay archivos abiertos dentro del
sistema de archivos, incluso si están abiertos en modo de solo lectura. Sin embargo, simplemente tener archivos abiertos
no cuenta como actividad.
-f El -f (primer plano) opción causas EncFS correr en primer plano. Normalmente EncFS
se genera como un demonio y se ejecuta en segundo plano, devolviendo el control al desove
cáscara. Con el -f opción, se ejecutará en primer plano y cualquier registro de advertencia / depuración
Los mensajes se mostrarán en caso de error estándar. En el modo predeterminado (en segundo plano), todos
los mensajes de registro se registran a través de syslog.
-v, --verboso
Causas EncFS para habilitar el registro de varios canales de depuración dentro EncFS. Normalmente estos
Los mensajes de registro están desactivados y no tienen ningún efecto. Se recomienda que corra en
primer plano (-f) cuando se ejecuta con verbose habilitado.
-s El -s (soltero roscado) opción causas EncFS para ejecutarse en modo de un solo subproceso. Por
defecto EncFS se ejecuta en modo multiproceso. Esta opción se utiliza durante EncFS
desarrollo para simplificar la depuración y permitir que se ejecute bajo control de memoria
instrumentos..
-d, --fusible-depuración
Habilita la depuración dentro del FUSIBLE Biblioteca. Esto solo debe usarse si sospecha que
problema dentro FUSIBLE en sí mismo (no EncFS), ya que genera una gran cantidad de datos de bajo nivel y es
no es probable que sea muy útil en el seguimiento de problemas generales. Tratar verboso modo (-v)
primero, lo que da una visión de nivel superior de lo que está sucediendo dentro EncFS.
--forcedecode
Esta opción solo tiene efecto en los sistemas de archivos que utilizan encabezados de bloque MAC. Por
predeterminado, si se decodifica un bloque y el MAC almacenado no coincide con lo calculado,
luego, se devuelve un error de E / S a la aplicación y no se devuelve el bloque.
Sin embargo, especificando --forcedecode, solo se registrará un error y los datos
aún se devolverá a la aplicación. Esto puede resultar útil para intentar leer
archivos corruptos.
--público
Intente hacer que encfs se comporte como un típico sistema de archivos multiusuario. Por defecto, todos los FUSE
Los sistemas de archivos basados son visibles solo para el usuario que los montó. No otros usuarios
(incluido el root) puede ver el contenido del sistema de archivos. los --público opción hace dos
cosas. Agrega las banderas FUSE "allow_other" y "default_permission" al montar
el sistema de archivos, que le dice a FUSE que permita a otros usuarios acceder al sistema de archivos, y
utilizar los permisos de propiedad proporcionados por el sistema de archivos. En segundo lugar, el --público bandera
cambia cómo funcionan las funciones de creación de nodos de encfs, ya que intentarán establecer la propiedad
de nuevos nodos basados en la identificación de la persona que llama.
advertencia: Para que esto funcione, encfs debe ejecutarse como root; de lo contrario, no
tener la capacidad de cambiar la propiedad de los archivos. Te recomiendo que en su lugar
investigue si la opción fusible allow_other se puede usar para hacer lo que quiere antes
considerando el uso de --público.
--Bajo demanda
Monte el sistema de archivos a pedido. Esto actualmente solo tiene sentido en combinación con
--inactivo y --paso externo opciones. Cuando el sistema de archivos se vuelve inactivo, en lugar de salir,
EncFS deja de permitir el acceso al sistema de archivos eliminando internamente su referencia a
eso. Si alguien intenta acceder al sistema de archivos nuevamente, se usa el programa extpass
para solicitar al usuario la contraseña. Si esto tiene éxito, entonces el sistema de archivos se convierte
disponible de nuevo.
--delaymount
No monte el sistema de archivos cuando encfs se inicia; en su lugar, retrase el montaje hasta la primera
usar. Esta opción solo tiene sentido con --Bajo demanda.
--require-macs
Si crea un nuevo sistema de archivos, esto obliga a que los encabezados del código de autenticación de bloque sean
activado. Al montar un sistema de archivos existente, esto hace que encfs salga si se bloquea
los encabezados del código de autenticación no están habilitados.
Esto se puede utilizar para mejorar la seguridad en caso de que el texto cifrado sea vulnerable a
manipulación, al evitar que un atacante deshabilite las MAC en el archivo de configuración.
--contrarrestar
Normalmente EncFS proporciona una vista de texto sin formato de los datos a pedido. Normalmente almacena
datos cifrados y muestra datos en texto sin formato. Con --contrarrestar toma como fuente
datos en texto plano y produce datos cifrados bajo demanda. Esto puede ser útil para
crear copias de seguridad encriptadas remotas, donde no desea mantener los archivos locales
sin cifrar.
Por ejemplo, lo siguiente crearía una vista cifrada en / tmp / crypt-view.
encfs --reverse / inicio / me / tmp / crypt-view
A continuación, puede copiar el directorio / tmp / crypt-view para tener una copia del
datos cifrados. También debe guardar una copia del archivo /home/me/.encfs6.xml que
contiene la información del sistema de archivos. Juntos, los dos se pueden utilizar para reproducir el
datos no cifrados:
ENCFS6_CONFIG = / inicio / me / .encfs6.xml encfs / tmp / crypt-view / tmp / plain-view
Ahora / tmp / plain-view contiene los mismos datos que / home / me
Tenga en cuenta que --contrarrestar El modo solo funciona con opciones de configuración limitadas, muchas
Los ajustes pueden desactivarse cuando se utilizan.
--nocaché
Deshabilite la caché de atributos de archivo del kernel. Establecer esta opción hace que EncFS pase
"attr_timeout = 0" y "entry_timeout = 0" a FUSE. Esto asegura que las modificaciones a
los archivos de respaldo que ocurren fuera de EncFS aparecen inmediatamente en el montaje de EncFS.
El caso de uso principal de "--nocache" es el modo inverso.
--estándar
Si crea un nuevo sistema de archivos, esto selecciona automáticamente la configuración estándar
opciones, para ayudar con la creación automática del sistema de archivos. Este es el conjunto de opciones que
debe usarse a menos que sepa lo que está haciendo y haya leído la documentación.
Cuando no se crea un sistema de archivos, esta bandera no hace nada.
-o FUSIBLE_ARG
Pasar por FUSIBLE args a la biblioteca subyacente. Esto hace que sea fácil pasar FUSE
opciones al montar EncFS a través del montaje (y / etc / fstab). P.ej:
mount encfs # / home / me-crypt / home / me -t fusible -o kernel_cache
Tenga en cuenta que los argumentos encfs no se pueden establecer de esta manera. Si necesita establecer argumentos encfs,
crear un contenedor, como encfs-reverse;
#!/ Bin / sh
encfs --reverse $ *
Luego monte usando la ruta del script
montar encfs-reverse # / home / me / home / me-crypt -t fusible
-- El -- la opción dice EncFS para enviar los argumentos restantes directamente a FUSIBLE. En turno,
FUSIBLE pasa los argumentos a montaje en fusor. Consulte las montaje en fusor página de ayuda para obtener información
en los comandos disponibles.
--sin-banderas-predeterminadas
Encfs agrega las banderas FUSE "use_ino" y "default_permissions" por defecto, a partir de
versión 1.2.2, porque mejora la compatibilidad con algunos programas. Si para algunos
razón por la que necesita deshabilitar una o ambas de estas banderas, use la opción
--sin-banderas-predeterminadas.
Las siguientes líneas de comando producen el mismo resultado:
cripta sin procesar de encfs
encfs --no-default-flags raw crypt - -o use_ino, default_permissions
--extpass = programa
Especifique un programa externo que se utilizará para obtener la contraseña de usuario. Cuando el externo
se genera el programa, la variable de entorno "RootDir" se configurará para contener la ruta
al directorio raíz. El programa debería imprimir la contraseña en la salida estándar.
EncFS toma todo lo devuelto por el programa como contraseña, excepto una
nueva línea final (\ n) que se eliminará.
Por ejemplo, especificando --paso externo=/ usr / lib / ssh / ssh-askpass causará EncFS que se utilizará
programa de solicitud de contraseña de ssh.
Nota: : EncFS lee como máximo 2k de datos del programa de contraseñas y elimina cualquier
nueva línea final. Las versiones anteriores a 1.4.x solo aceptaban 64 bytes de texto.
-S, --stdinpass
Leer la contraseña de la entrada estándar, sin preguntar. Esto puede ser útil para
montajes de secuencias de comandos encfs.
Tenga en cuenta que primero debe asegurarse de que el sistema de archivos y los puntos de montaje existan. De lo contrario
encfs solicitará las opciones de creación del sistema de archivos, que pueden interferir con su
guión.
--cualquier llave
Desactive la verificación de validación de claves. Esto permite EncFS para ser usado con secundaria
contraseñas. Esto podría usarse para almacenar un conjunto separado de archivos en un
sistema de archivos EncFS ignora los archivos que no se decodifican correctamente, por lo que los archivos creados con
las contraseñas separadas solo serán visibles cuando el sistema de archivos esté montado con su
contraseña asociada.
Tenga en cuenta que si se cambia la contraseña principal (utilizando encfsctl), las otras contraseñas
no se podrá utilizar a menos que la contraseña principal vuelva a ser la que era, ya que
otras contraseñas se basan en una decodificación no válida de la clave de volumen, que no permanecerá
lo mismo si se cambia la contraseña principal.
advertencia: Utilice esta opción bajo su propio riesgo.
MEDIO AMBIENTE VARIABLES
ENCFS6_CONFIG
Qué archivo de configuración (normalmente llamado .encfs6.xml) usar. De forma predeterminada, el archivo de configuración
se lee del directorio cifrado. El uso de esta opción permite almacenar la configuración
archivo separado de los archivos cifrados.
Advertencia: si pierde el archivo de configuración, el contenido del archivo encriptado es irrecuperable
perdió. Contiene la clave maestra encriptada con su contraseña. Sin la llave maestra,
la recuperación es imposible, incluso si conoce la contraseña.
EJEMPLOS
Cree un nuevo sistema de archivos cifrado. Almacene los datos sin procesar (encriptados) en "~ / .crypt" , y
hacer que los datos no cifrados sean visibles en "~ / cripta". Ambos directorios están en la página de inicio
directorio en este ejemplo. Este ejemplo muestra la salida completa de encfs cuando pregunta al
usuario si desea crear el sistema de archivos:
% encfs ~ / .crypt ~ / cripta
El directorio "/home/me/.crypt" no existe, ¿crear (y, n)? Y
El directorio "/ home / me / crypt" no existe, ¿crear (y, n)? Y
Creando un nuevo volumen encriptado.
Elija una de las siguientes opciones:
ingrese "x" para el modo de configuración experto,
ingrese "p" para el modo de paranoia preconfigurado,
cualquier otra cosa, o una línea vacía seleccionará el modo estándar.
?>
Configuración estándar seleccionada.
Usando cifrado Blowfish, tamaño de clave 160, tamaño de bloque 512
Nueva contraseña:
Verificar:
El sistema de archivos ahora está montado y visible en ~ / cripta. Si los archivos se crean allí,
se puede ver en forma cifrada en ~ / .crypt. Para desmontar el sistema de archivos, use montaje en fusor con
el -u (desmontar) opción:
% montaje en fusor -u ~ / cripta
Otro ejemplo. Para montar el mismo sistema de archivos, pero hacer que fusermount nombre el punto de montaje
'/ dev / foo' (como se muestra en df y otras herramientas que leen / etc / mtab), y también solicitar kernel-
almacenamiento en caché de nivel de datos de archivo (que son ambos argumentos especiales para fusermount):
% encfs ~ / .crypt ~ / cripta - -n / dev / foo -c
O, si encuentra un comportamiento extraño en algún programa en particular cuando trabaja en un
sistema de archivos cifrado, puede ser útil ejecutar en modo detallado mientras se reproduce el
problema y envíe el resultado con el informe del problema:
% encfs-v-f ~ / .crypt ~ / cripta 2> encfs-report.txt
Para evitar la filtración de información confidencial a través de los canales de depuración, todos
Las advertencias y los mensajes de depuración (como salida en modo detallado) contienen solo nombres de archivo cifrados.
Puede utilizar las opciones encfsctl programa descodificar función para decodificar nombres de archivos si lo desea.
AVISOS
EncFS no es un verdadero sistema de archivos. No se ocupa del almacenamiento real o
mantenimiento de archivos. Simplemente traduce las solicitudes (cifrando o descifrando como
necesario) y pasa las solicitudes al sistema de archivos del host subyacente. Por lo tanto
cualquier limitación del sistema de archivos del host será heredada por EncFS (o posiblemente estar más lejos
limitado).
Una de esas limitaciones es la longitud del nombre de archivo. Si su sistema de archivos subyacente lo limita a N
caracteres en un nombre de archivo, luego EncFS lo limitará a aproximadamente 3 * (N-2) / 4. Para
ejemplo, si el sistema de archivos del host se limita a 256 caracteres, entonces EncFS estará limitado a 190
nombres de archivo de caracteres. Esto se debe a que los nombres de archivo cifrados siempre son más largos que el texto sin formato.
nombres de archivo.
SISTEMA DE ARCHIVOS OPCIONES
¿Cuándo? EncFS recibe un directorio raíz que no contiene un EncFS sistema de archivos,
le dará la opción de crear uno. Tenga en cuenta que las opciones solo se pueden configurar en el sistema de archivos
tiempo de creación. No hay soporte para modificar las opciones de un sistema de archivos en el lugar.
Si desea actualizar un sistema de archivos para utilizar funciones más nuevas, debe crear un nuevo
sistema de archivos y monte tanto el sistema de archivos antiguo como el nuevo al mismo tiempo y copie
lo viejo a lo nuevo.
Se pueden ejecutar varias instancias de encfs al mismo tiempo, incluidas diferentes versiones de
encfs, siempre que sean compatibles con el módulo FUSE actual de su sistema.
Se proporciona una opción para dos ajustes preconfigurados ('estándar' y 'paranoia'), junto con
con un modo de configuración experto.
Estándar El modo utiliza las siguientes configuraciones:
Cifrado: AES
Tamaño de clave: bits 192
PBKDF2 con 1/2 segundo de tiempo de ejecución, 160 bits de sal
Tamaño del bloque del sistema de archivos: 1024 bytes
Codificación de nombre de archivo: codificación de bloque con encadenamiento IV
Encabezados únicos de archivos vectoriales de inicialización
Agujeros de archivo pasados
Paranoia El modo utiliza las siguientes configuraciones:
Cifrado: AES
Tamaño de clave: bits 256
PBKDF2 con tiempo de ejecución de 3 segundos, sal de 160 bits
Tamaño del bloque del sistema de archivos: 1024 bytes
Codificación de nombre de archivo: codificación de bloque con encadenamiento IV
Encabezados únicos de archivos vectoriales de inicialización
Encabezados de bloque de código de autenticación de mensajes
Encadenamiento IV externo
Agujeros de archivo pasados
En el modo de configuración experto / manual, cada una de las opciones anteriores es configurable.
Aquí hay una lista de opciones actuales con algunas notas sobre lo que significan:
Clave Derivación Función
A partir de la versión 1.5, EncFS ahora usa PBKDF2 como la función de derivación de clave predeterminada. El
El número de iteraciones en la función de codificación se selecciona en función del tiempo del reloj de pared para
generar la clave. En el modo estándar, se utiliza un tiempo objetivo de 0.5 segundos y en la paranoia
modo se utiliza un objetivo de 3.0 segundos.
En un sistema AMD 1.6 de 64Ghz, se pueden realizar aproximadamente 64k iteraciones de la función de derivación de claves.
manejado en medio segundo. El número exacto de iteraciones a utilizar se almacena en el
archivo de configuración, ya que es necesario para volver a montar el sistema de archivos.
Si un EncFS La configuración del sistema de archivos de 1.4.x se modifica con la versión 1.5 (como cuando
usando encfsctl para cambiar la contraseña), entonces se usará la nueva función PBKDF2 y la
El sistema de archivos ya no será legible por versiones anteriores.
Cifra
Qué algoritmo de cifrado utilizar. La lista se genera automáticamente en función de lo que
algoritmos compatibles EncFS que se encuentran en las bibliotecas de cifrado. Cuando se usa un reciente
versión de OpenSSL, Blowfish y AES son las opciones típicas.
Blowfish es un cifrado de 8 bytes, que codifica 8 bytes a la vez. AES es un cifrado de 16 bytes.
Cifra Clave Tamaño
Muchos, si no todos, los cifrados admitidos admiten múltiples longitudes de clave. No hay
Realmente es necesario tener enormes longitudes de clave. Incluso 160 bits (el predeterminado) es
probablemente exagerado.
Sistema de archivos Bloquear Tamaño
Este es el tamaño (en bytes) que EncFS trata a la vez. Cada bloque tiene su
propio vector de inicialización y está codificado en el modo de encadenamiento de bloques de cifrado.
Un bloque parcial al final de un archivo se codifica usando un modo de flujo para evitar tener que
almacenar el en algún lugar.
Tener bloques de mayor tamaño reduce la sobrecarga de EncFS un poco, pero también puede agregar
sobrecarga si sus programas leen partes pequeñas de archivos. Para leer un solo byte
de un archivo, se debe leer y decodificar todo el bloque que contiene ese byte, por lo que
el tamaño de bloque grande agrega gastos generales a las solicitudes pequeñas. Con las llamadas escritas es aún peor,
como un bloque debe ser leído y decodificado, el cambio aplicado y el bloque codificado y
escrito de nuevo.
El valor predeterminado es 512 bytes a partir de la versión 1.0. Estaba codificado en 64 bytes en la versión
0.x, que no era tan eficiente como la configuración actual para uso general.
Nombre del archivo Codificación
New in 1.1. Se ofrece una opción entre la codificación de flujo del nombre de archivo y la codificación de bloque.
La ventaja de la codificación de flujo es que los nombres de archivo codificados serán tan cortos como
posible. Si tiene un nombre de archivo con una sola letra, será muy corto en el
forma codificada, donde, como bloque, los nombres de archivo codificados siempre se redondean al tamaño del bloque
del cifrado de cifrado (8 bytes para Blowfish y 16 bytes para AES).
La ventaja del modo de codificación de bloques es que todos los nombres de archivo aparecen como un
múltiplo del tamaño del bloque de cifrado. Esto significa que alguien mirando su cifrado
los datos no pueden decir tanto sobre la longitud de sus nombres de archivo. Está activado de forma predeterminada, como
se necesita una cantidad de tiempo similar para usar el cifrado de flujo. Sin embargo, cifrado de flujo
El modo puede ser útil si desea nombres de archivo cifrados más cortos por alguna razón.
Antes de la versión 1.1, solo se admitía la codificación de flujo.
Nombre del archivo Inicialización vector Encadenamiento
New in 1.1. En versiones anteriores de EncFS, cada elemento de nombre de archivo en una ruta era
codificado por separado. Por lo tanto, si "foo" se codificaba en "XXX", siempre lo codificaría
manera (dada la misma clave de cifrado), sin importar si la ruta era "a / b / foo", o
"aa / foo / cc", etc. Eso significaba que era posible que alguien mirara el cifrado
datos para ver si dos archivos en directorios diferentes tenían el mismo nombre, aunque
no sabría a qué se descodifica ese nombre.
Con el encadenamiento de vectores de inicialización, cada directorio obtiene su propia inicialización
vector. Entonces, "a / foo" y "b / foo" tendrán nombres codificados completamente diferentes para
"foo". Esta característica casi no tiene impacto en el rendimiento (para la mayoría de las operaciones), por lo que
es el predeterminado en todos los modos.
Nota: Una excepción de rendimiento significativa son los cambios de nombre de directorio. Desde el
el vector de inicialización para la codificación del nombre de archivo depende de la ruta del directorio, cualquier cambio de nombre
requiere volver a codificar cada nombre de archivo en el árbol del directorio que se está cambiando. Si
hay miles de archivos, entonces EncFS tendrá que hacer miles de cambios de nombre. Puede
También es posible que EncFS encuentre un archivo que no puede decodificar o no
tener permiso para moverse durante la operación de cambio de nombre, en cuyo caso intentará
deshaga los cambios realizados hasta ese momento y el cambio de nombre fallará.
Por archivo Inicialización Vectores
New in 1.1. En versiones anteriores de EncFS, cada archivo se codificó de la misma manera.
Cada bloque en un archivo siempre ha tenido su propio vector de inicialización, pero en un
de manera determinista para que el bloque N en un archivo se codifique de la misma manera que el bloque N en
otro archivo. Eso hizo posible que alguien pudiera saber si dos archivos eran idénticos
(o partes del archivo eran idénticas) al comparar los datos codificados.
Con vectores de inicialización por archivo, cada archivo obtiene su propio 64 bits aleatorio
vector de inicialización, para que cada archivo se cifre de una manera diferente.
Esta opción está activada de forma predeterminada.
Externo IV Encadenamiento
New in 1.1.3. Esta opción está estrechamente relacionada con los vectores de inicialización por archivo y
Encadenamiento de vectores de inicialización de nombre de archivo. Básicamente extiende la inicialización
vector de encadenamiento de nombres de archivo al vector de inicialización por archivo.
Cuando esta opción está habilitada, el vector de inicialización por archivo se codifica utilizando el
vector de inicialización derivado del código de encadenamiento del vector de inicialización del nombre de archivo.
Esto significa que los datos de un archivo se vinculan al nombre del archivo. Si un archivo encriptado
se renombra fuera de encfs, ya no se podrá decodificar dentro de encfs. Tenga en cuenta que
a menos que los encabezados de Block MAC estén habilitados, el error de decodificación no se detectará y se
resultar en la lectura de datos de aspecto aleatorio.
Hay un costo asociado con esto. Cuando el encadenamiento intravenoso externo está habilitado,
No se permitirán enlaces dentro del sistema de archivos, ya que no habría forma de
decodificar dos nombres de archivo diferentes que apuntan a los mismos datos.
Además, para cambiar el nombre de un archivo es necesario modificar el encabezado del archivo. Entonces los cambios de nombre solo serán
permitido cuando el usuario tiene acceso de escritura al archivo.
Debido a estos límites, esta opción está desactivada de forma predeterminada para el modo estándar (y
habilitado por defecto para el modo paranoia).
Bloquear dirección MAC cabeceras
New a 1.1. Si esto está habilitado, cada bloque en cada archivo se almacena junto con un
suma de comprobación criptográfica (código de autenticación de mensaje). Esto lo hace virtualmente
imposible modificar un archivo sin que el cambio sea detectado por EncFS. EncFS will
negarse a leer los datos que no pasan la suma de verificación, y registrará el error y
devolver un error de E / S a la aplicación.
Esto agrega una sobrecarga sustancial (el valor predeterminado es de 8 bytes por bloque del sistema de archivos), más
sobrecarga computacional, y no está habilitado de forma predeterminada, excepto en el modo paranoia.
Cuando esto no está habilitado y si EncFS se le pide que lea datos modificados o dañados,
no tendrá forma de verificar que los datos decodificados sean los que se codificaron originalmente.
Agujero de archivo pasar por
Haga que los encfs dejen huecos en los archivos. Si un bloque se lee como todo ceros, se asumirá
para ser un agujero y se dejará como 0 cuando se lea (no se descifre). Esto es necesario si
acceder a encfs mediante el protocolo SMB.
Habilitado por defecto. Puede desactivarse en modo experto.
ataques
El objetivo principal de EncFS es proteger los datos fuera de línea. Es decir, proporcione una forma conveniente
de almacenar archivos de una manera que frustrará cualquier intento de leerlos si los archivos están
luego interceptado.
Algunos algoritmos en EncFS también están destinados a frustrar los ataques en línea donde un atacante está
se supone que puede modificar los archivos.
Los ataques más intrusivos, donde un atacante tiene el control total de la máquina del usuario.
(y por lo tanto puede modificar EncFS o FUSIBLE, o el propio kernel) no están protegidos.
No asuma que los archivos cifrados protegerán sus datos confidenciales si ingresa su
contraseña en una computadora comprometida. Cómo determina que la computadora es segura de usar
está más allá del alcance de esta documentación.
Dicho esto, aquí hay algunos ejemplos de ataques y técnicas de recopilación de datos en el sistema de archivos.
contenidos junto con los algoritmos EncFS apoyos para frustrarlos:
Ataque: modificar algunos bytes de un archivo cifrado (sin saber qué decodificarán
a).
EncFS no utiliza ninguna forma de cifrado XOR que permitiría que se
modificado sin afectar a otros. La mayoría de las modificaciones afectarían a docenas o más
bytes. Además, los encabezados de MAC Block se pueden usar para identificar cualquier cambio en los archivos.
Ataque: copiar un bloque aleatorio de un archivo a un bloque aleatorio de otro archivo.
Cada bloque tiene su propio vector de inicialización [determinista].
Ataque: copiando el bloque N al bloque N de otro archivo.
Cuando la compatibilidad con el vector de inicialización por archivo está habilitada (predeterminado en 1.1.x
sistemas de archivos), un bloque copiado no se decodificará correctamente cuando se copie a otro archivo.
Ataque: copiar un archivo completo a otro archivo.
Puede evitarse habilitando el modo de encadenamiento intravenoso externo.
Ataque: determine si dos nombres de archivo son iguales observando los nombres encriptados.
El encadenamiento de vectores de inicialización de nombre de archivo evita esto dando a cada archivo un
vector de inicialización derivado de su nombre de ruta completo.
Ataque: compara si dos archivos contienen los mismos datos.
La compatibilidad con el vector de inicialización por archivo evita esto.
AVISO DE RESPONSABILIDAD
Esta biblioteca se distribuye con la esperanza de que sea útil, pero SIN NINGUNA GARANTÍA;
incluso sin la garantía implícita de COMERCIABILIDAD o APTITUD PARA UN PROPÓSITO PARTICULAR.
Consulte el archivo "COPIA" distribuido con EncFS para detalles.
AUTORES
EncFS fue escrito por Valiente Gough <[email protected]>.
Use encfs en línea usando los servicios de onworks.net
