http://www.linuxdevcenter.com/pub/a/linux/2005/04/14/encfs.html
Перевод: Сгибнев Михаил
Долгое время воровство компьютерного оборудования остается достаточно серьезной проблемой.
Наиболее вероятные жертвы этого воровства- ноутбуки и различные USB устройства.
Настольные компьютеры и резервные носители тырят менее часто.
В большинстве этих случаем, хранящаяся в устройстве информация стоит дороже самого
оборудования и перед нами встает вопрос о блокировании несанкционированного доступа
к этим данным.
Шифрование
Решение может состоять в том, чтобы использовать gpg или иное решение, основанное на PKI,
но прозрачность и легкость управления ключами все еще оставляет желать лучшего в этой схеме.
При работе с несколькими файлами положение только усугубляется.
Очевидным решением будет использование шифрующей файловой системы, где никакие пользовательские
данные не хранятся в открытом виде и которая полностью прозрачна для пользователя.
Но и здесь есть некоторая проблема - кодирование документов пользователя необходимо, но сомнительна
важность шифрации любимого текстового редактора или файлов кэша вашего броузера.
Есть другое частичное решение, связанное с особенностями Linux-разделов: возможно размещение
системных файлов в одном разделе и хранение пользовательских данных в другом, зашифрованном разделе.
На первый взгляд - это оптимальное решение, однако в реальной жизни все не так просто, так как
возникает сложность в выделении новых разделов.
Еще сложнее проблема с USB-носителями, так как помимо сохранения пользовательских данных есть
необходимость обмениваться этими данными с другими компьютерами, на большинстве из которых установлен
Windows. Использование схемы шифрации файловой системы не позволяет этого. Много проектов пробовали этот классический подход.
Наиболее известные - Loopback, CFS и TCFS.
EncFS
Новый подход к решению этой проблемы - EncFS. EncFS выполняется в окружении пользователя,
что позволяет не подгружать модули ядра и иметь привилегии пользователя root. Основной особенностью
этой схемы шифрации является возможность шифровать отдельные каталоги, а не файловую систему целиком.
Требования к ресурсам невелики, по сравнению с современными мощностями процессоров, и ЦП 1.5GHz помимо
выполнения всех остальных задач способен осуществлять шифрацию/дешифрацию на лету.
На странице
Valient Gough's EncFS page приводится детальный анализ и сравнение EncFS.
Для установки EncFS нам потребуется
Fuse и
rlog.
Для SuSE 9.2 вы можете найти пакеты для установки на домашней странице Valient, а пользователи Debian могут использовать конвертер
пакетов
alien.
После установки этих двух пакетов, вы можете скомпилировать и установить EncFS.
На момент написания этой статьи, текущей версией была 1.2
Когда все закончено, можно приступать к шифрации каталогов.
Использование EncFS
Использование зашифрованных каталогов очень похоже на установку любой другой файловой системы под Linux.
Создайте реальный каталог со всеми вашими файлами, для примера, /home/user/crypt-raw.
Необходимо также создать точку монтирования, пусть это будет /home/user/crypt.
При обращении к этим каталогам убедитесь, что используете абсолютные пути (не только/usr/bin/crypt).
Шифруем данные командой:
> encfs /home/user/crypt-raw /home/user/crypt
Volume key not found, creating new encrypted volume.
Password:
Verify:
Когда шифрование завершилось, обращаться к файлам можно используя каталог
crypt. После завершения работы используйте команду:
fusermount -u /home/user/crypt
Эта команда отмонтирует каталог crypt, оставляя crypt-raw в зашифрованном виде.
Изменяются имена файлов, шифруется содержимое. Остается прежним только размер файла и права доступа.
В качестве положительного момента EncFS можно отметить, что нет необходимости монтировать
crypt-raw при осуществлении резервного копирования. Вместо этого, вы можете взять снимок
зашифрованного каталога и позже его расшифровать. Программы архивации способны даже определять
и архивировать модифицированные файлы.
Существует вопрос выбора паролей.
Когда вы создаете каталог EncFS, EncFS выбирает случайный пароль
(тот, который намного более сложен чем любой пароль, введенный через клавиатуру),
шифрует указанный каталог, и затем шифрует случайный пароль вашим собственным выбранным паролем.
В результате, вы можете сменить пароль в любое время, без необходимости прешифровывать все файлы.
В результате, EncFS очень хорошая альтернатива традиционным средствам защиты информации, так как
обладает хорошей скоростью работы, продуманным дизайном и великолепно подходит для применеия на сменных носителях.