これは、Ubuntu Online、Fedora Online、Windows オンライン エミュレーター、または MAC OS オンライン エミュレーターなどの複数の無料オンライン ワークステーションの XNUMX つを使用して、OnWorks 無料ホスティング プロバイダーで実行できるコマンド encfs です。
プログラム:
NAME
encfs - 暗号化された仮想ファイルシステムをマウントまたは作成します
SYNOPSIS
encfs [- バージョン] [-s] [-f] [-v|-詳細] [-i MINUTES|--idle=分] [--extpass=プログラム]
[-S|--stdinpass] [--任意のキー] [--forcedecode] [-d|--fuse-debug] [- 公衆]
[--デフォルトフラグなし] [- オンデマンド] [--遅延マウント] [- 逆行する] [- 標準] [-o ヒューズオプション]
ルートディレクトリ マウントポイント [-- [ヒューズ マウント オプション]]
DESCRIPTION
EncFS 暗号化されたデータを保存する仮想暗号化ファイルシステムを作成します。 ルートディレクトリ
ディレクトリに保存し、暗号化されていないデータを マウントポイント ディレクトリ。 ユーザー
ファイル名とファイルの両方を(間接的に)暗号化するために使用されるパスワードを指定する必要があります
内容。
If EncFS 指定された場所でサポートされているファイルシステムが見つかりません ルートディレクトリ、次にユーザー
指定された場所に新しい暗号化されたファイルシステムを作成するかどうかを尋ねられます。
使用するアルゴリズムをある程度制御できるオプションがユーザーに表示されます。
As EncFS 大人になると選択肢が増えるかもしれません。
OPTIONS
-i, --idle=分
非アクティブな期間が続いた後のファイルシステムの自動アンマウントを有効にします。 期間
分単位で指定されるため、要求できる最短のタイムアウト期間は XNUMX です。
分。 EncFS 内で開いているファイルがある場合、自動的にアンマウントされません。
ファイルシステムは、読み取り専用モードで開いている場合でも同様です。 ただし、単にファイルを開いているだけでは
アクティビティとしてカウントされません。
-f 当学校区の -f (フォアグラウンド) オプションの原因 EncFS フォアグラウンドで実行します。 通常は EncFS
デーモンとして生成され、バックグラウンドで実行され、制御が生成元に戻ります。
シェル。 とともに -f オプションを選択すると、フォアグラウンドで実行され、警告/デバッグ ログが記録されます。
メッセージは標準エラーに表示されます。 デフォルト(バックグラウンド)モードでは、すべて
ログ メッセージは syslog 経由で記録されます。
-v, -詳細
目的 EncFS 内部のさまざまなデバッグ チャネルのログを有効にします。 EncFS。 通常これら
ロギング メッセージは無効になっており、効果はありません。 で実行することをお勧めします
前景 (-f) モードは、verbose を有効にして実行する場合に使用されます。
-s 当学校区の -s ( ねじ込み) オプションの原因 EncFS シングルスレッドモードで実行するには。 による
デフォルト、 EncFS マルチスレッドモードで実行されます。 このオプションは次のときに使用されます。 EncFS
デバッグを簡素化し、メモリチェックの下で実行できるようにするための開発
ツール..
-d, --fuse-debug
内でのデバッグを有効にします。 FUSE 図書館。 これは、疑わしい場合にのみ使用してください。
自分の中の問題 FUSE それ自体(そうではありません) EncFS)、大量の低レベルデータが生成されるため、
一般的な問題追跡にはあまり役に立たないと思われます。 試す 詳細 モード(-v)
まず、内部で何が起こっているかをより高いレベルで表示します。 EncFS.
--forcedecode
このオプションは、MAC ブロック ヘッダーを使用するファイル システムにのみ影響します。 による
デフォルトでは、ブロックがデコードされ、保存されている MAC が計算されたものと一致しない場合、
その後、IO エラーがアプリケーションに返され、ブロックは返されません。
ただし、指定することで、 --forcedecode、エラーのみが記録され、データは記録されません。
まだアプリケーションに返されます。 これは、読書を試みる場合に役立つかもしれません
破損したファイル。
- 公衆
encfs を典型的なマルチユーザー ファイルシステムとして動作させようとします。 デフォルトでは、すべての FUSE
ベースのファイルシステムは、それをマウントしたユーザーのみに表示されます。 他のユーザーはいません
(ルートを含む) ファイルシステムの内容を表示できます。 の - 公衆 オプションは XNUMX つのことを行います
もの。 マウント時に FUSE フラグ「allow_other」と「default_permission」を追加します。
ファイルシステム。他のユーザーがファイルシステムにアクセスできるように FUSE に指示します。
ファイルシステムによって提供される所有権のアクセス許可を使用します。 第二に、 - 公衆 フラグ
encfs のノード作成関数の動作方法が変更されます - 所有権の設定が試行されるため
発信者 ID に基づいて新しいノードの数を決定します。
警告: これを機能させるには、encfs を root として実行する必要があります。そうしないと実行されません。
ファイルの所有権を変更する機能があります。 代わりにお勧めします
事前に、fuse allowed_other オプションを使用して目的の処理ができるかどうかを調査してください。
の使用を考慮して - 公衆.
- オンデマンド
ファイルシステムをオンデマンドでマウントします。 これは現在、以下と組み合わせた場合にのみ意味を持ちます。
-アイドル --extpass オプション。 ファイルシステムが終了するのではなくアイドル状態になると、
EncFS ファイルシステムへの参照を内部的に削除することで、ファイルシステムへのアクセスの許可を停止します。
それ。 誰かがファイルシステムに再度アクセスしようとすると、extpass プログラムが使用されます。
ユーザーにパスワードの入力を求めるプロンプトを表示します。 これが成功すると、ファイルシステムは次のようになります。
再び利用可能。
--遅延マウント
encfs の開始時にファイルシステムをマウントしないでください。 代わりに、最初までマウントを遅らせます
使用。 このオプションは次の場合にのみ意味を持ちます。 - オンデマンド.
--require-macs
新しいファイルシステムを作成する場合、これによりブロック認証コードヘッダーが強制的に
有効になりました。 既存のファイルシステムをマウントすると、ブロックされた場合に encfs が終了します。
認証コードヘッダーが有効になっていません。
これは、暗号文が脆弱な場合にセキュリティを向上させるために使用できます。
攻撃者が構成ファイル内の MAC を無効にすることを防止することで、改ざんを防ぎます。
- 逆行する
通常は EncFS オンデマンドでデータのプレーンテキスト ビューを提供します。 通常は保管されます
暗号化されたデータを表示し、平文データを表示します。 と - 逆行する ソースとして取ります
平文データを生成し、オンデマンドで暗号化データを生成します。 これは次のような用途に役立ちます。
ローカル ファイルを保持したくないリモート暗号化バックアップの作成
暗号化されていません。
たとえば、次の例では、暗号化されたビューが /tmp/crypt-view に作成されます。
encfs --reverse /home/me /tmp/crypt-view
次に、/tmp/crypt-view ディレクトリをコピーして、
暗号化されたデータ。 ファイル /home/me/.encfs6.xml のコピーも保持する必要があります。
ファイルシステム情報が含まれています。 この XNUMX つを組み合わせて使用すると、
暗号化されていないデータ:
ENCFS6_CONFIG=/home/me/.encfs6.xml encfs /tmp/crypt-view /tmp/plain-view
/tmp/plain-view には /home/me と同じデータが含まれるようになりました
注意してください - 逆行する モードは限られた設定オプションでのみ機能するため、多くのオプションが設定されています。
使用すると設定が無効になる場合があります。
--nocache
カーネルのファイル属性のキャッシュを無効にします。 このオプションを設定すると EncFS が通過します
「attr_timeout=0」および「entry_timeout=0」を FUSE に設定します。 これにより、への変更が確実に行われます。
EncFS の外部で発生したバッキング ファイルは、EncFS マウントにすぐに表示されます。
「--nocache」の主な使用例はリバース モードです。
- 標準
新しいファイルシステムを作成する場合、標準構成が自動的に選択されます
ファイルシステムの自動作成を支援するオプション。 これは、次のオプションのセットです。
自分が何をしているのかを理解し、ドキュメントを読んだことがない限り、使用する必要があります。
ファイルシステムを作成していない場合、このフラグは何も行いません。
-o FUSE_ARG
パススルー FUSE 基礎となるライブラリへの引数。 これにより FUSE を通過しやすくなります
装着時のオプション EncFS マウント経由 (そして /etc/fstab )。 例えば:
mount encfs#/home/me-crypt /home/me -t furuse -o kernel_cache
encfs 引数はこの方法では設定できないことに注意してください。 encfs 引数を設定する必要がある場合は、
encfs-reverse などのラッパーを作成します。
#!/bin/sh
encfs --reverse $*
次に、スクリプトパスを使用してマウントします
mount encfs-reverse#/home/me /home/me-crypt -t furuse
-- 当学校区の -- オプションは言う EncFS 残りの引数を直接送信するには FUSE。 順番に、
FUSE 引数をに渡します フューザーマウント。 見る フューザーマウント ヘルプページの情報
利用可能なコマンドについて。
--デフォルトフラグなし
Encfs 現在、FUSE フラグ「use_ino」と「default_permissions」がデフォルトで追加されています。
バージョン 1.2.2。これにより、一部のプログラムとの互換性が向上します。
これらのフラグの一方または両方を無効にする必要がある場合は、オプションを使用してください
--デフォルトフラグなし.
次のコマンド ラインは同じ結果を生成します。
encfs 生暗号
encfs --no-default-flags raw crypt -- -o use_ino,default_permissions
--extpass=プログラム
ユーザーパスワードの取得に使用する外部プログラムを指定します。 外部の
プログラムが生成されると、環境変数「RootDir」にパスが含まれるように設定されます。
ルートディレクトリに。 プログラムはパスワードを標準出力に出力する必要があります。
EncFS プログラムから返されたものをすべてパスワードとして受け取ります。
末尾の改行 (\n) は削除されます。
たとえば、次のように指定します。 --extpass=/usr/lib/ssh/ssh-askpass 引き起こすだろう EncFS 使用する
ssh のパスワード プロンプト プログラム。
注意: EncFS パスワード プログラムから最大 2k のデータを読み取り、すべてのデータを削除します
末尾の改行。 1.4.x より前のバージョンでは、64 バイトのテキストのみを受け入れました。
-S, --stdinpass
プロンプトを表示せずに、標準入力からパスワードを読み取ります。 これは次のような場合に役立つかもしれません
encfs マウントのスクリプト作成。
最初にファイルシステムとマウント ポイントが存在することを確認する必要があることに注意してください。 さもないと
encfs はファイルシステム作成オプションの入力を求めるプロンプトを表示しますが、これにより作業が妨げられる可能性があります。
スクリプト。
--任意のキー
キーの検証チェックをオフにします。 これにより、 EncFS セカンダリで使用する
パスワード。 これは、別のファイルのセットを暗号化されたファイルに保存するために使用される可能性があります。
ファイルシステム。 EncFS は、正しくデコードされないファイルを無視するため、
個別のパスワードは、ファイルシステムがそれらのパスワードでマウントされている場合にのみ表示されます。
関連付けられたパスワード。
プライマリパスワードが変更された場合 (次を使用) に注意してください。 encfsctl)、その他のパスワード
プライマリパスワードを元のパスワードに戻さない限り使用できなくなります。
他のパスワードはボリューム キーの無効なデコードに依存しており、ボリューム キーは残りません。
プライマリパスワードが変更された場合も同様です。
警告: このオプションは自己責任で使用してください。
ENVIRONMENT 変数
ENCFS6_CONFIG
どの構成ファイル (通常は .encfs6.xml という名前) を使用するか。 デフォルトでは、設定ファイルは
暗号化されたディレクトリから読み取られます。 このオプションを使用すると、構成を保存できます
ファイルを暗号化されたファイルから分離します。
警告: 構成ファイルを紛失すると、暗号化されたファイルの内容は復元できなくなります。
失った。 これには、パスワードで暗号化されたマスターキーが含まれています。 マスターキーがないと、
パスワードを知っていても復元は不可能です。
例
新しい暗号化されたファイルシステムを作成します。 生の(暗号化された)データを「」に保存します。~/.crypt" 、 そして
暗号化されていないデータを「」で表示できるようにする~/crypt"。どちらのディレクトリもホームにあります
この例ではディレクトリ。 この例は、encfs が要求したときの完全な出力を示しています。
ユーザーがファイルシステムを作成したい場合:
%encfs ~/.crypt ~/crypt
ディレクトリ「/home/me/.crypt」が存在しません。(y,n) を作成しますか?y
ディレクトリ「/home/me/crypt」が存在しません。(y,n) を作成しますか?y
新しい暗号化ボリュームを作成しています。
次のオプションのいずれかを選択してください。
エキスパート構成モードの場合は「x」を入力します。
事前設定されたパラノイア モードの場合は「p」を入力します。
それ以外の場合、または空行を指定すると、標準モードが選択されます。
?>
標準構成が選択されました。
暗号 Blowfish を使用、キー サイズ 160、ブロック サイズ 512
新しいパスワード:
確認する:
ファイルシステムがマウントされ、次の場所に表示されます。 ~/crypt。 そこにファイルが作成されると、
暗号化された形式で見ることができます ~/.crypt。 ファイルシステムをアンマウントするには、次を使用します。 フューザーマウント
-u (アンマウント) オプション:
% フューザーマウント -u ~/crypt
もう一つの例。 同じファイルシステムをマウントしますが、fusermount にマウント ポイントの名前を付けます。
'/dev/foo' (図に示すように) df およびその他の読み取りツール /etc/mtab)、またカーネルを要求します。
ファイル データのレベル キャッシュ (どちらも fusermount への特別な引数):
%encfs ~/.crypt ~/crypt -- -n /dev/foo -c
または、特定のプログラムで作業しているときに奇妙な動作を見つけた場合は、
暗号化されたファイルシステムの場合、再作成中に冗長モードで実行すると役立つ場合があります。
問題を報告し、その出力を問題レポートとともに送信します。
% encfs -v -f ~/.crypt ~/crypt 2> encfs-report.txt
デバッグ チャネルを介した機密情報の漏洩を避けるために、すべての
警告およびデバッグ メッセージ (詳細モードでの出力) には、暗号化されたファイル名のみが含まれます。
あなたが使用することができます encfsctl プログラムの デコード 必要に応じてファイル名をデコードする機能。
警告
EncFS は真のファイルシステムではありません。 実際のストレージや
ファイルのメンテナンス。 単にリクエストを変換するだけです (暗号化または復号化します)。
必要)、リクエストを基盤となるホスト ファイルシステムに渡します。 したがって
ホスト ファイルシステムの制限はすべて継承されます。 EncFS (あるいはさらに先の可能性もある)
限定)。
そのような制限の XNUMX つはファイル名の長さです。 基礎となるファイルシステムが N に制限している場合
ファイル名に文字が含まれている場合、 EncFS 約 3*(N-2)/4 に制限されます。 のために
たとえば、ホスト ファイルシステムが 256 文字に制限している場合、 EncFS 190個限定となります
文字ファイル名。 これは、暗号化されたファイル名が常に平文よりも長いためです。
ファイル名。
ファイルシステム OPTIONS
日時 EncFS 既存のファイルを含まないルート ディレクトリが与えられます。 EncFS ファイルシステム、
作成するオプションが表示されます。 オプションはファイルシステムでのみ設定できることに注意してください
作成時間。 ファイルシステムのオプションをその場で変更することはサポートされていません。
新しい機能を使用するためにファイルシステムをアップグレードする場合は、新しいファイルシステムを作成する必要があります。
ファイルシステムを作成し、古いファイルシステムと新しいファイルシステムの両方を同時にマウントしてコピーします
古いものから新しいものへ。
encfs の複数のインスタンス (異なるバージョンの encfs を含む) を同時に実行できます。
encfs (システム上の現在の FUSE モジュールと互換性がある限り)。
XNUMX つの事前構成済み設定 (「標準」と「パラノイア」) の選択肢が提供されます。
エキスパート構成モードを使用します。
スタンダード モードでは次の設定が使用されます。
暗号: AES
キーサイズ: 192ビット
PBKDF2 (ランタイム 1/2 秒、160 ビット ソルト)
ファイルシステムのブロックサイズ: 1024 バイト
ファイル名エンコーディング: IV チェーンを使用したブロック エンコーディング
固有の初期化ベクター ファイル ヘッダー
通過したファイル穴
パラノイア モードでは次の設定が使用されます。
暗号: AES
キーサイズ: 256ビット
PBKDF2 (ランタイム 3 秒、160 ビット ソルト)
ファイルシステムのブロックサイズ: 1024 バイト
ファイル名エンコーディング: IV チェーンを使用したブロック エンコーディング
固有の初期化ベクター ファイル ヘッダー
メッセージ認証コードブロックヘッダー
外部 IV チェーン
通過したファイル穴
エキスパート / 手動構成モードでは、上記の各オプションを構成できます。
現在のオプションのリストとその意味についての注意事項を以下に示します。
キー 導出 演算
バージョン1.5以降、 EncFS は、デフォルトのキー導出関数として PBKDF2 を使用するようになりました。 の
キーイング関数の反復回数は、実時間に基づいて選択されます。
キーを生成します。 標準モードでは 0.5 秒の目標時間が使用され、パラノイアでは
モードでは 3.0 秒の目標が使用されます。
1.6Ghz AMD 64 システムでは、キー導出関数を約 64 回反復できます。
XNUMX秒で処理されます。 使用する正確な反復回数は、
ファイルシステムを再マウントするために必要な構成ファイルです。
もし EncFS 1.4.x からのファイルシステム構成がバージョン 1.5 で変更される (たとえば、
encfsctl を使用してパスワードを変更する場合)、新しい PBKDF2 関数が使用され、
ファイルシステムは古いバージョンでは読み取れなくなります。
暗号
どの暗号化アルゴリズムを使用するか。 リストは何に基づいて自動的に生成されますか
サポートされているアルゴリズム EncFS 暗号化ライブラリにあります。 最近のものを使用する場合
のバージョン OpenSSLの, Blowfish と AES が代表的なオプションです。
Blowfish は 8 バイトの暗号で、一度に 8 バイトをエンコードします。 AES は 16 バイトの暗号です。
暗号 キー サイズ
サポートされている暗号のすべてではないにしても、多くは複数のキー長をサポートしています。 存在しない
非常に長い鍵が必要になります。 160 ビット (デフォルト) でも
おそらくやりすぎでしょう。
ファイルシステム ブロック サイズ
これは、次のサイズ (バイト単位) です。 EncFS 一度に対処します。 各ブロックは、
独自の初期化ベクトルを持ち、暗号の暗号ブロック連鎖モードでエンコードされます。
ファイル末尾の部分ブロックは、ストリーム モードを使用してエンコードされ、
ファイルサイズをどこかに保存します。
ブロック サイズを大きくすると、オーバーヘッドが減少します。 EncFS 少しですが、追加することもできます
プログラムがファイルの小さな部分を読み取る場合のオーバーヘッド。 XNUMXバイトを読み取るには
ファイルから、そのバイトを含むブロック全体を読み取ってデコードする必要があるため、
ブロック サイズが大きいと、小さいリクエストにオーバーヘッドが追加されます。 書き込み呼び出しの場合はさらに悪化します。
ブロックを読み取ってデコードする必要があるため、変更が適用されてブロックがエンコードされ、
書き戻されました。
バージョン 512 のデフォルトは 1.0 バイトです。 バージョンでは 64 バイトにハードコードされていました
0.x は、一般的な用途では現在の設定ほど効率的ではありませんでした。
ファイル名 エンコーディング
New in 1.1。 ファイル名のストリーム エンコーディングとブロック エンコーディングのどちらかを選択できます。
ストリーム エンコーディングの利点は、エンコードされたファイル名が短くなることです。
可能。 ファイル名が XNUMX 文字の場合、ファイル名は非常に短くなります。
エンコードされた形式。ブロックとしてエンコードされたファイル名は常にブロック サイズに切り上げられます。
暗号化暗号 (Blowfish の場合は 8 バイト、AES の場合は 16 バイト)。
ブロック エンコーディング モードの利点は、ファイル名の長さがすべて
暗号ブロック サイズの倍数。 これは、誰かがあなたの暗号化されたものを見ていることを意味します
ファイル名の長さについては、データからはあまりわかりません。 デフォルトではオンになっています。
ストリーム暗号を使用する場合と同様の時間がかかります。 ただしストリーム暗号
モードは、何らかの理由で暗号化されたファイル名を短くしたい場合に便利です。
バージョン 1.1 より前は、ストリーム エンコードのみがサポートされていました。
ファイル名 初期化 ベクトル 連鎖
New in 1.1。 以前のバージョンでは、 EncFS、パス内の各ファイル名要素は
個別にエンコードされます。 したがって、「foo」が「XXX」にエンコードされた場合、常にそれをエンコードします。
(同じ暗号化キーが与えられた場合)、パスが「a/b/foo」であるかどうかは関係ありません。
「aa/foo/cc」など。これは、誰かが暗号化されたファイルを閲覧できることを意味します。
データを使用して、異なるディレクトリにある XNUMX つのファイルが同じ名前であるかどうかを確認します。
その名前が何にデコードされたのかはわかりません。
初期化ベクターチェーンを使用すると、各ディレクトリが独自の初期化を取得します。
ベクター。 したがって、「a/foo」と「b/foo」は完全に異なるエンコード名になります。
「ふー」。 この機能は (ほとんどの操作に対して) パフォーマンスにほとんど影響を与えないため、
すべてのモードのデフォルトです。
注意: パフォーマンス上の重要な例外の XNUMX つは、ディレクトリ名の変更です。 以来、
ファイル名エンコーディングの初期化ベクトルは、ディレクトリ パス、名前変更に依存します。
変更されるディレクトリのツリー内のすべてのファイル名を再エンコードする必要があります。 もし
ファイルが数千ある場合、EncFS は何千もの名前変更を行う必要があります。 かもしれない
また、EncFS がデコードできない、またはデコードできないファイルに遭遇する可能性もあります。
名前変更操作中に移動する権限を持っているため、その場合、移動が試行されます。
その時点までに行った変更を元に戻すと、名前の変更は失敗します。
ファイルごと 初期化 ベクトル
New in 1.1。 以前のバージョンでは、 EncFS、各ファイルは同じ方法でエンコードされました。
ファイル内の各ブロックには常に独自の初期化ベクトルがありますが、
XNUMX つのファイル内のブロック N がファイル内のブロック N と同じようにエンコードされるように、決定的な方法で
別のファイル。 これにより、XNUMX つのファイルが同一かどうかを誰かが判断できるようになりました。
エンコードされたデータを比較して、ファイルの一部が同一であるかどうかを確認します。
ファイルごとの初期化ベクトルを使用すると、各ファイルは独自の 64 ビット ランダムを取得します。
初期化ベクトルを使用して、各ファイルが異なる方法で暗号化されるようにします。
このオプションはデフォルトで有効になっています。
外部 IV 連鎖
New in 1.1.3。 このオプションは、ファイルごとの初期化ベクトルと密接に関連しています。
ファイル名の初期化ベクトルの連鎖。 基本的には初期化を拡張します
ファイル名からファイルごとの初期化ベクトルまでのベクトル連鎖。
このオプションが有効な場合、ファイルごとの初期化ベクトルは次の形式を使用してエンコードされます。
ファイル名初期化ベクトル連鎖コードから派生した初期化ベクトル。
これは、ファイル内のデータがファイル名に関連付けられることを意味します。 暗号化されたファイルの場合
encfs の外部で名前が変更されると、encfs 内でデコードできなくなります。 ご了承ください
ブロック MAC ヘッダーが有効になっていない限り、デコード エラーは検出されず、
その結果、ランダムに見えるデータが読み取られることになります。
これには費用がかかります。 外部 IV チェーンが有効な場合、ハード
適切にリンクする方法がないため、ファイルシステム内でのリンクは許可されません。
同じデータを指す XNUMX つの異なるファイル名をデコードします。
また、ファイルの名前を変更するには、ファイル ヘッダーを変更する必要があります。 したがって、名前の変更は次のようになります。
ユーザーがファイルへの書き込みアクセス権を持っている場合に許可されます。
これらの制限のため、このオプションは標準モード (および
パラノイア モードではデフォルトで有効になっています)。
ブロック マック ヘッダーの
New 〜へ 1.1。 これが有効な場合、すべてのファイルのすべてのブロックが、
暗号化チェックサム (メッセージ認証コード)。 これにより、仮想的にそれが可能になります
によって変更が検出されずにファイルを変更することは不可能です。 EncFS. EncFS 意志
チェックサムに合格しないデータの読み取りを拒否し、エラーをログに記録します。
IOエラーをアプリケーションに返します。
これにより、かなりのオーバーヘッドが追加されます (デフォルトはファイルシステム ブロックごとに 8 バイト)。
計算オーバーヘッドが発生するため、パラノイア モードを除いてデフォルトでは有効になっていません。
これが有効になっていない場合、および EncFS 変更されたデータまたは破損したデータの読み取りを要求された場合、
デコードされたデータが最初にエンコードされたものであることを確認する方法はありません。
ファイル穴 パススルー
encfs でファイルに穴が残るようにします。 ブロックがすべてゼロとして読み取られた場合、次のようにみなされます。
はホールとなり、読み取られると 0 のままになります (解読されません)。 これは次の場合に必須です
SMB プロトコルを使用して encfs にアクセスします。
デフォルトで有効になっています。 エキスパートモードでは無効にできます。
攻撃
の主な目標 EncFS オフラインでデータを保護することです。 つまり、便利な方法を提供する
ファイルが次の場合にファイルを読み取ろうとするのを妨げるような方法でファイルを保存すること。
後で傍受されました。
一部のアルゴリズムでは、 EncFS 攻撃者がいる場所でのオンライン攻撃を阻止することも目的としています。
ファイルを変更できると想定されます。
最も侵入的な攻撃。攻撃者がユーザーのマシンを完全に制御します。
(したがって変更することができます) EncFSまたは FUSE、またはカーネル自体)は防御されていません。
あなたの個人情報を入力した場合、暗号化されたファイルが機密データを保護するとは考えないでください。
侵害されたコンピュータにパスワードを侵入させます。 コンピュータが安全に使用できるかどうかを判断する方法
このドキュメントの範囲外です。
とはいえ、ファイルシステムに対する攻撃とデータ収集手法の例をいくつか紹介します。
コンテンツとアルゴリズム EncFS それらを阻止するためのサポート:
攻撃: 暗号化されたファイルの数バイトを変更します (何をデコードするかは不明です)
に)。
EncFS 単一バイトを許可する形式の XOR 暗号化は使用しません。
他に影響を与えずに変更されます。 ほとんどの変更は数十以上に影響を与えます
バイト。 さらに、MAC ブロック ヘッダーを使用して、ファイルへの変更を識別できます。
攻撃: あるファイルのランダム ブロックを別のファイルのランダム ブロックにコピーします。
各ブロックには独自の [決定的] 初期化ベクトルがあります。
攻撃: ブロック N を別のファイルのブロック N にコピーします。
ファイルごとの初期化ベクトルのサポートが有効な場合 (1.1.x のデフォルト)
ファイルシステム)、コピーされたブロックを別のファイルにコピーすると、正しくデコードされません。
攻撃: ファイル全体を別のファイルにコピーします。
外部 IV チェーン モードを有効にすることで回避できます。
攻撃: 暗号化された名前を見て、XNUMX つのファイル名が同じかどうかを判断します。
ファイル名初期化ベクトルチェーンは、各ファイルに 64 ビットを与えることでこれを防ぎます。
フルパス名から派生した初期化ベクトル。
攻撃: XNUMX つのファイルに同じデータが含まれているかどうかを比較します。
ファイルごとの初期化ベクトルのサポートにより、これが防止されます。
免責事項
このライブラリは役立つことを期待して配布されていますが、いかなる保証もありません。
商品性または特定目的への適合性の黙示の保証もありません。
配布されている「COPYING」ファイルを参照してください。 EncFS 完全な詳細については。
作者
EncFS によって書かれた ヴァリアント ゴフ <[メール保護]>.
onworks.net サービスを使用してオンラインで encfs を使用する
