EncFs inseguros, qué usar ahora

Me encantan los cifrados, ya que proporciona cifrado basado en archivos que es bastante útil cuando se trata de almacenamiento en la nube. Pero parece que, especialmente para este caso de uso, encfs se considera inseguro . Soy consciente de que encfs 2 está en desarrollo, pero ¿cómo lidiar con eso mientras tanto? ¿Hay alguna alternativa que se integre bien en ubuntu?

Editar: El problema de seguridad al que más me refiero es este . Todavía está presente en la versión 1.8 y hace que sus archivos sean vulnerables si alguien obtiene múltiples versiones de sus archivos cifrados. Si a uno le preocupa que los servicios como Dropbox no sean tan confiables y encripte las carpetas cargadas en la nube debido a eso, la oportunidad de que el atacante (el servicio) obtenga más de una copia del texto cifrado es absolutamente dada.

Mientras escribo esto, parece que hay bastantes herramientas de código abierto similares encfs(pero más "modernas" que encfs) que podrían cifrar archivos de una manera "amigable con la nube" (es decir, proporcionar cifrado por archivo, manteniendo los tiempos de modificación , y así).

La mayoría de ellos están bien si está utilizando solo Ubuntu o cualquier otro sistema Linux ( ecryptfsparece bueno), pero las cosas se vuelven difíciles si requiere interoperabilidad con otros sistemas operativos y dispositivos móviles, como la mayoría de nosotros espera hoy en día.

Sólo para nombrar unos pocos:

• Cryptomator parece ser el único que funciona "en todas partes", desde cualquier sistema operativo GNU / Linux hasta Android. Incluso hay un PPA para Ubuntu y binarios para varias otras distribuciones y sistemas operativos.
• ecryptfs solo funciona en sistemas GNU / Linux (como Ubuntu, pero también ChromeOS), y es bueno si no necesita acceder a sus archivos desde sistemas operativos que no son Linux, pero la gente dice que puede haber algunos problemas con las herramientas de sincronización en la nube.
• CryFS es una solución joven, solo funciona en Linux por ahora, pero también hay planes para portarlo a MacOS y Windows. Quizás merezca algo de atención en el futuro.

También puede encontrar interesante esta comparación de herramientas del sitio web de CryFS .

La conclusión en el enlace lo resume:

4. Conclusión

En conclusión, aunque EncFS es una herramienta útil, ignora muchas de las mejores prácticas estándar en criptografía. Esto probablemente se deba a su vejez (desarrollado originalmente antes de 2005), sin embargo, todavía se usa hoy en día y debe actualizarse.

El autor de EncFS dice que se está desarrollando una versión 2.0 1 . Este sería un buen momento para solucionar los viejos problemas.

EncFS probablemente sea seguro siempre que el adversario solo obtenga una copia del texto cifrado y nada más. EncFS no es seguro si el adversario tiene la oportunidad de ver dos o más instantáneas del texto cifrado en diferentes momentos. EncFS intenta proteger los archivos de modificaciones maliciosas, pero existen serios problemas con esta función.

Entonces, la pregunta que debe responder: ¿qué tan probable es que un atacante pueda obtener el texto cifrado?

Pero esa auditoría es de 2014 y se realizó en v1.7. v1.8 ya corrige algunos de los problemas mencionados en la auditoría:

El primer candidato de la versión EncFS 1.8 corrige dos de las vulnerabilidades potenciales mencionadas en la auditoría de seguridad y ofrece algunas otras mejoras:

• mejorar la cobertura de prueba automática: también prueba el modo inverso (hacer prueba)
• agregue IVs por archivo basados ​​en el número de inodo al modo inverso para mejorar la seguridad
• Agregar referencia automática (hacer referencia)
• comparar MAC en tiempo constante
• agregar la opción --nocache

v1.8 salió en 2014 también.

Desde la página del proyecto :

Estado

En los últimos 10 años, han surgido varias buenas alternativas. El poder de cómputo ha aumentado hasta el punto en que es razonable cifrar todo el sistema de archivos de las computadoras personales (¡e incluso los teléfonos móviles!). En Linux, ecryptfs proporciona un buen directorio de inicio cifrado que se puede montar dinámicamente y está bien integrado en las distribuciones que uso, como Ubuntu.

EncFS ha estado inactivo por un tiempo. Comencé a limpiar para intentar proporcionar una mejor base para una versión 2, pero si EncFS Flowers nuevamente depende del interés de la comunidad. Para facilitar que cualquiera pueda contribuir, se está mudando a un nuevo hogar en Github. Entonces, si estás interesado en EncFS, ¡sumérgete!

Eso es de 2013 ... consideraría el proyecto muerto si esas fueran las últimas noticias.

Pero sí enumera ecryptfs como una alternativa para Ubuntu, así que échale un vistazo.

gocryptfs es una nueva alternativa. Las comparaciones de rendimiento están disponibles . El desarrollador de encfs habla positivamente al respecto.

Encfs es invaluable debido a su característica inversa. Esto hace posible instantáneamente copias de seguridad incrementales semi-seguras fuera del sitio, sin costo adicional de espacio en disco.

Truecrypt no tiene esto, ni Veracrypt, ni ecryptfs.

Mientras se está trabajando en encfs 2.0, consulte CryFS , que aún no es 1.0. Otra posibilidad es fuseflt, que le permite crear vistas filtradas de directorios (por ejemplo, una vista encriptada usando flt_cmd = gpg --encrypt).

En 2019, CryFS y gocryptfs son los mejores candidatos en mi opinión. Ambos fueron diseñados para la nube, se desarrollan activamente y no tienen problemas de seguridad conocidos.

Su diseño difiere, lo que tiene ventajas y desventajas:

CryFs oculta metadatos (por ejemplo, tamaños de archivo, estructuras de directorios), lo cual es una buena propiedad. Para lograrlo, CryFs almacena todos los archivos y la información del directorio en bloques de tamaño fijo, lo que conlleva un costo de rendimiento.

En contraste, gocrytfs está más cerca del diseño de EncFs (para cada archivo de texto plano, hay un archivo encriptado). Le preocupa principalmente la confidencialidad del contenido del archivo y no tiene una protección tan fuerte contra la pérdida de metainformación. Al igual que EncFs, también admite el modo inverso , que es útil para las copias de seguridad cifradas.

En general, el diseño de CryFs tiene la ventaja en términos de confidencialidad y resistencia a la manipulación. Por otro lado, los gocrypts tienen ventajas prácticas (rendimiento, soporte para el modo inverso).

Ambos sistemas son relativamente nuevos. En términos de transparencia, ambos son proyectos de código abierto. gocryptfs tuvo una auditoría de seguridad independiente en 2017 . CryFs no tenía dicha auditoría, pero el diseño se ha desarrollado y probado en una tesis de maestría y se ha publicado un artículo .

¿Qué hay de los demás?

EncFS se desaconseja debido a los problemas de seguridad no resueltos. No es seguro si el atacante obtiene acceso a versiones anteriores de archivos (que será el caso cuando almacene datos en la nube). También se filtra información meta como tamaños de archivo. Hay un hilo sobre los planes para la versión 2 , pero no hay signos de que suceda en el futuro cercano. El desarrollador original de EncFs ha recomendado gocryptfs.

eCryptfs ha visto una falta de soporte recientemente . En Ubuntu, el instalador ya no es compatible con los directorios encriptados / home de ecryptfs. En su lugar, recomiendan el cifrado de disco completo basado en LUKS . Además, eCryptFs ha sido diseñado para discos locales, no para almacenamiento en la nube, por lo que no lo recomendaría.

VeraCrypt (sucesor de TrueCrypt) tiene una buena reputación desde el punto de vista de la seguridad, pero no es compatible con la nube, ya que todo está almacenado en un archivo grande. Eso hará que la sincronización sea lenta. Sin embargo, en un sistema de archivos local, esto no es una preocupación, lo que lo convierte en un excelente candidato allí.

Hay una buena comparación de todas estas herramientas en la página de inicio de CryFs .