eCryptfs -- где указать опции алгоритма шифрования? Или чем лучше шифровать данные?

nafanja
но сейчас присматриваюсь к CryFS
не читал, будем изучать и пробовать ...

EDIT 1 - установил, попробовал - довольно просто и удобно, один мастер пароль, вот только не уточнял завязан ли он на вход в систему.
Из минусов (хотя это и не совсем минусы) - сохраняет некоторые файлы на диске, можно узнать, что используется cryfs .. и грузит систему при расшифровке (2-3 секунды, интересно посмотреть на большом объеме информации.
В AUR имеется в помощь и GUI (sirikali) - но это уже и лишнее.
Ошибки не исчезают с опытом - они просто умнеют
vasek
один мастер пароль, вот только не уточнял завязан ли он на вход в систему.
не завязан
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
vasek
Из минусов (хотя это и не совсем минусы) - сохраняет некоторые файлы на диске, можно узнать, что используется cryfs .. и грузит систему при расшифровке (2-3 секунды, интересно посмотреть на большом объеме информации.
все такое ПО практически одинаково грузит систему и использует сигнатуры.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
все такое ПО практически одинаково грузит систему.
Только в данном случае обратил внимание на кратковременный скачок температуры cpu - Warning (у меня Warning в интервале 65-75 гр.С - желтый цвет).
Но согласен, в принципе это мелочь. На всякий случай кидаю ссылку на ихний сайт - там есть и простенький Tutorial и How it works

EDIT 1 - кстати, на том же сайте есть раздел Compare, где идет сравнение отдельных способов шифрования, приведены отдельные их недостатки и в конце приводится, что CryFS решает все эти проблемы, но из-за повышенной безопасности работает немного медленнее.
Ошибки не исчезают с опытом - они просто умнеют
nafanja
CryFS
чот на вики в разделе дискового шифрования о нем нет ничего вроде, по крайней мере в таблицах
nafanja
vasek
- при создании зашифрованной папки дополнительно создается и подлежит хранению определенная информация, при потере которой данные не расшифровать, то есть они будут потеряны.
да, создается файл ключ и это правильно!!!
я бы сказал ентот файл-ключ можно даже через облако синхронить, он жеж зашифрован.
vasek
На всякий случай кидаю ссылку на ихний сайт
а вот енто уже кулл, тож присмотрюсь мож буду им пользоваться...
вот как бывает, искал ответы на одну прогу, нашел в итоге другую, возможно более подходящую)))
safocl
я бы сказал ентот файл-ключ можно даже через облако синхронить, он жеж зашифрован.
я этот файл храню отдельно от данных.

попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ.
Псевдографический инсталлятор Arch Linux ver. 3.8.2
Благодарности принимаются на ЯД 410012815723874
nafanja
я этот файл храню отдельно от данных.
так можно хранить так, будто енто совсем и не ключ... -- непример стеганография...

nafanja
попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ.
еще я заметил гибкость в настройке путем указания размера блока файловой криптосистемы, под большие файлы ставишь 4метра и довольно быстро работать начинает. При мелком блоке (пробовал 4КБ) большие файлы долго шифруются и удаляются.
Еще нюансы, после тестирования
1. В ~/.local/share/cryfs/ хранится история. Если, например, удалите basedir и mountdir, а потом создатите по новой, то получите сообщение после ввода пароля
The filesystem id in the config file is different to the last time we loaded a filesystem from this basedir. This can be genuine if you replaced the filesystem with a different one. If you didn't do that, it is possible that an attacker did. Do you want to continue loading the file system?
Your choice [y/n]:
Имхо, лучше перед созданием заново почисть эту директорию.

2. В части изменения/удаления/добавления в basedir
nafanja
попробовал рандомно удалить блоки в CryFS, удивительно, но ФС продолжает функционировать, хотя некоторые данные потеряны, НО НЕ ВСЕ.
По дефолту стоит режим шифрования gsm, точнее aes-256-gcm. Что это означает(не перевожу)
This means it doesn't only protect confidentiality, i.e. against adversaries reading your files, but also integrity, i.e. against adversaries modifying your files without you noticing it. The same restriction mentioned for confidentiality also applies for integrity though. It only ensures that the file contents you're reading were at some point written by you. Attackers can change directory structure, add or delete files or folders, re-add files deleted earlier by you, replace files with earlier versions of themselves or replace their content with the content of other files, or earlier versions of those other files, and you wouldn't necessarily notice any of that. The alternatives mentioned above do also protect against these kinds of attacks.
То есть если есть желание выполнять проверку целостности, то при 1-ой установке, при выборе метода шифровании и размера блока, когда будет задан вопрос
Use default settings?
Your choice [y/n]: n
если ответите «NO», то в конце будет задан вопрос
Most integrity checks are enabled by default. However, by default CryFS does not treat missing blocks as integrity violations.
That is, if CryFS finds a block missing, it will assume that this is due to a synchronization delay and not because an attacker deleted the block.
If you are in a single-client setting, you can let it treat missing blocks as integrity violations, which will ensure that you notice if an attacker deletes one of your files.
However, in this case, you will not be able to use the file system with other devices anymore.
Do you want to treat missing blocks as integrity violations?
Your choice [y/n]:
Если ответите YES, то в случае изменения даже 1 байта в данных basedir (без примонтирования) получите сообщение (я экспериментировал и удалил 1 байт)
Error 24: There was an integrity violation detected. Preventing any further access to the file system. This can either happen if an attacker changed your files or rolled back the file system to a previous state, but it can also happen if you rolled back the file system yourself, for example restored a backup. If you want to reset the integrity data (i.e. accept changes made by a potential attacker), please delete the following file before re-mounting it: /home/vasek/.local/share/cryfs/filesystems/188A063FAE02B83452A816E6B01A00EA/integritydata
НО не сможете полноценно смонтировать mountdir - придется скопировать нормальные файлы в другое место, а испорченный удалить - испорченный файл узнается легко - не читается из консоли (даже hexdump), в MC у имени файла стоит вопрос, в pcmanfm не указан размер файла.
Так что каждый решает сам, конечно, проще по дефолту.
Ошибки не исчезают с опытом - они просто умнеют
 
Зарегистрироваться или войдите чтобы оставить сообщение.