busybit
Anmeldungsdatum: 29. Dezember 2010
Beiträge: 171
|
fpunktk schrieb: Cryptkeeper kenne ich nicht, ich denke aber, dass encfs auf der Kommandozeile nicht sonderlich kompliziert ist und man daher auf weitere Tools verzichten kann.
Zum einmaligen einrichten ist Kommandozeile ok. Aber für die tägliche Arbeit damit ist es schon arg umständlich wenn man zum mounten jedesmal ein Terminalfenster aufmachen muss. Da muss schon eine GUI-Lösung her. Ich werde mir mal den Gnome EncFS Manager anschauen.
|
Jonius
Ikhayateam
Anmeldungsdatum: 21. August 2009
Beiträge: 1860
Wohnort: München
|
Eine linkto in der Suche von "Gnome Encfs Manager" auf diese Seite wäre kuhl ☺
|
grillparzer
Anmeldungsdatum: 7. März 2010
Beiträge: 873
|
Gern würde ich folgendes im Artikel ganz oben einfügen: Achtung!Laut einer Sicherheitsprüfung vom 14.01.2014 enthält EncFS einige potentielle Schwachstellen, entspricht nicht mehr dem neuesten Stand der Technik und wird als überarbeitungswürdig bezeichnet.
Was haltet Ihr davon? V for Vortex hat mich in diesem Post darauf aufmerksam gemacht.
|
fpunktk
Anmeldungsdatum: 24. Oktober 2007
Beiträge: 142
|
grillparzer schrieb: Was haltet Ihr davon?
Ich würde es nicht ganz so drastisch formulieren. Letztendlich hat die Überprüfung gezeigt, dass keine gravierenden Mängel vorliegen die gegen eine Benutzung sprechen.
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Aus dem Audit:
EncFS is probably safe as long as the adversary only gets one copy of the ciphertext and nothing more. EncFS is not safe if the adversary has the opportunity to see two or more snapshots of the ciphertext at different times.
Als Schutz vor Diebstahl oder anderem Zugriff, der nur eine Version der verschlüsselten Daten sieht, dürfte EncFS wahrscheinlich noch schützen. Sobald der Angreifer mehrere Versionen sehen kann, wie z.B. bei der verbreiteten Verwendung von EncFS zur Verschlüsselung von Daten in der Cloud, ist es nach dem Fazit des Audits nicht mehr geeignet. Die Warnung im Wiki sollte diesen Unterschied herausstellen und m.E. auch auf den seit 2010 nicht mehr aktualisierten Code hinweisen. Eine Version 2 ist angekündigt, aber offenbar noch nicht bis zu einer ersten Veröffentlichung gekommen.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28953
Wohnort: WW
|
Hallo, sehe ich auch so: Hinweis zur potentiellen Schwachstelle - ok. Aber dann gibt mit kurzem Abriss (a la V for Vortex), damit jeder selber entscheiden kann, ob es den eigenen Sicherheitsansprüchen noch genügt. Gruß, noisefloor
|
grillparzer
Anmeldungsdatum: 7. März 2010
Beiträge: 873
|
Ok, hier mal ein 2. Versuch... Achtung!Laut einer Sicherheitsprüfung vom 14.01.2014 enthält EncFS 1.7.4, dass seit November 2010 nicht mehr weiterentwickelt wurde, einige potentielle Schwachstellen. Das Fazit der Sicherheitsüberprüfung fällt wie folgt aus: EncFS ist wahrscheinlich noch sicher, solange ein potentieller Angreifer nur (genau) eine Version der verschlüsselten Daten erhält. Dies z.B. wäre der Fall, wenn ein externer Datenträger mit verschlüsselten Daten verloren gehen würde. Kann ein potetieller Angreifer allerdings mehr als eine Version der verschlüsselten Daten einsehen, wie dies z.B. bei der verbreiteten Verwendung von EncFS zur Verschlüsselung von Daten in der Cloud möglich sein könnte, ist EncFS laut Sicherheitsüberprüfung nicht mehr geeignet. Eine Version 2.0 wurde angekündigt aber noch nicht veröffentlicht.
|
noisefloor
Ehemaliger
Anmeldungsdatum: 6. Juni 2006
Beiträge: 28953
Wohnort: WW
|
Hallo, IMHO ok. Gruß, noisefloor
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Ein Vorschlag einer etwas gestrafften Formulierung plus 1-2 Rechtschreibnazi-Korrekturen. 😉 grillparzer schrieb: Achtung!Laut einer Sicherheitsprüfung vom 14.01.2014 enthält EncFS 1.7.4 einige potentielle Schwachstellen. Es wurde seit 2010 keine aktualisierte Version veröffentlicht (Stand: September 2014). Das Fazit der Prüfung: EncFS ist wahrscheinlich noch sicher, solange ein potentieller Angreifer nur (genau) eine Version der verschlüsselten Daten erhält, z.B. bei Diebstahl oder Verlust eines Datenträgers. Kann ein potentieller Angreifer allerdings mehr als eine Version der verschlüsselten Daten einsehen, wie z.B. bei der verbreiteten Verwendung von EncFS zur Verschlüsselung von Daten in der Cloud, ist EncFS laut der Sicherheitsprüfung nicht mehr geeignet. Eine Version 2.0 wurde angekündigt aber noch nicht veröffentlicht.
|
grillparzer
Anmeldungsdatum: 7. März 2010
Beiträge: 873
|
Ok, kein Problem. Du kannst das gern direkt ändern. Hab übrigens den Konjunktiv verwendet, da beim Verlust oder Diebstahl einer Festplatte nicht zwangsläufig die Daten in den Händen eines potentiellen Angreifers sein müssen. Und in der Cloud wird standardmäßig ja auch nicht mitgelesen (soll nur die Möglichkeit zum Ausdruck bringen)...
|
V_for_Vortex
Anmeldungsdatum: 1. Februar 2007
Beiträge: 12085
Wohnort: Berlin
|
Verstehe, was Du meinst. Hier eine Variante, die das m.E. deutlich(er) macht und gleichzeitig eine bessere Lesbarkeit durch Auslagerung des zuvor eingebetteten Nebensatzes in einen eigenen Hauptsatz erzielt. Viel weiter muss man m.E. aber auch nicht relativieren, weil allein der „potentielle Angreifer“ die Möglichkeit ausdrückt. 🤓 Achtung!Laut einer Sicherheitsprüfung vom 14.01.2014 enthält EncFS 1.7.4 einige potentielle Schwachstellen. Es wurde seit 2010 keine aktualisierte Version veröffentlicht (Stand: September 2014). Das Fazit der Prüfung: EncFS ist wahrscheinlich noch sicher, solange ein potentieller Angreifer nur (genau) eine Version der verschlüsselten Daten erhält, wie z.B. bei Diebstahl oder Verlust eines Datenträgers. Kann ein potentieller Angreifer allerdings mehr als eine Version der verschlüsselten Daten einsehen, ist EncFS laut der Sicherheitsprüfung nicht mehr geeignet. Die verbreitete Verwendung von EncFS zur Verschlüsselung von Daten in der Cloud ist ein solcher Risikofall. Eine Version 2.0 wurde angekündigt aber noch nicht veröffentlicht.
|
paulisper
Anmeldungsdatum: 29. September 2013
Beiträge: 27
|
Hallo, auf GitHub gibt es nun eine Version 1.8.1 (2015-03); Änderung gegenüber v1.7.5 (2011) u. a.: "add per-file IVs based on the inode number to reverse mode to improve security". Ob damit das Sicherheitsloch geschlossen ist, kann ich nicht beurteilen. Allzu geheime Dinge sollte man jedenfalls nicht mit EncFS sichern – einfach, weil es zu wenig untersucht ist. Andererseits wird zum Brechen zweifellos eine Menge Krypto-Knowhow benötigt. Gegen ein Mitlesen durch die kleine Schwester (und viele viele andere) sollte es aber genügen.
|
TheThatcher
Anmeldungsdatum: 1. April 2011
Beiträge: Zähle...
|
Der gefundene Fehler ist nicht geschlossen, hier die Diskussion: https://github.com/vgough/encfs/issues/9. Zusammengefasst ist der in der Changelog erwähnte Patch irgendwie merkwürdig wobei ich jetzt nicht tiefer in den Quellcode geschaut habe.
|
apos
Anmeldungsdatum: 2. August 2007
Beiträge: 109
Wohnort: Ludwigshafen, Germany
|
Hallo Leute, beim Speichern von Daten mit Encfs in der Cloud ist das größte Problem bei encfs ein Designproblem: Der Schlüssel mit dem das Datenverzeichnis verschlüsselt wird, liegt im Datenverzeichnis selbst, also in der Cloud!!! Der Schlüssel ist in der Konfigurationsdatei enthalten. Die heißt in der Regel .encfs6.xml und enthält den Schlüssel im Tag <encodedKeyData>: | [...]
<encodedKeySize>52</encodedKeySize>
<encodedKeyData>
äasödlkfäöasldkfäöasldkfäöaslkdfäöasldkfäöaslkdfäöaslkdfäöaslkdfäöasdlkfäöasldkfäöasdl==
</encodedKeyData>
[...]
|
Das Problem läßt sich jedoch relativ einfach lösen: Die Konfig-Datei - vorzugsweise in ein verschlüsseltes Verzeichnis - auf die Festplatte oder einen Stick legen. die .encfs6.xml vom Synchronisieren ausschließen in der Dropbox (oder Owncloud ) Einen Symlink im Datenverzeichnis erstellen, der auf die verschobene Datei zeigt.
Damit ist zumindest mal das Keyfile weg aus der Cloud und man hat quasi dadurch eine Zwei-Faktor-Autorisierung gewonnen. | # unmount the Secured Folder
cd /path/to/Dropbox/.SecuredFolder/
# exclude the .SecuredFolder/.encfs6.xml from syncing -
# if you don't do this, the link will result into a cleartext file on other computers!
dropbox exclude add .encfs6.xml
mv .encfs6.xml /a/local/safe/place/SecuredFolder.xml # contains the key
ln -s /safe/place/SecuredFolder.xml /path/to/Dropbox/.SecuredFolder/.encfs6.xml
|
Gruß
Axel Ist hier dokumentiert:
https://wiki.blue-it.org/Crypt_Filesystems#Gnome_Encfs_Manager
|
TheThatcher
Anmeldungsdatum: 1. April 2011
Beiträge: 104
|
Danke für den Hinweis, allerdings ist die Notwendigkeit dieses Vorgehen schlecht da sehr aufwendig.
|