http://www.linuxdevcenter.com/pub/a/linux/2005/04/14/encfs.html

Перевод: Сгибнев Михаил

Долгое время воровство компьютерного оборудования остается достаточно серьезной проблемой. Наиболее вероятные жертвы этого воровства- ноутбуки и различные USB устройства. Настольные компьютеры и резервные носители тырят менее часто. В большинстве этих случаем, хранящаяся в устройстве информация стоит дороже самого оборудования и перед нами встает вопрос о блокировании несанкционированного доступа к этим данным.

Шифрование

Решение может состоять в том, чтобы использовать gpg или иное решение, основанное на PKI, но прозрачность и легкость управления ключами все еще оставляет желать лучшего в этой схеме. При работе с несколькими файлами положение только усугубляется.

Очевидным решением будет использование шифрующей файловой системы, где никакие пользовательские данные не хранятся в открытом виде и которая полностью прозрачна для пользователя. Но и здесь есть некоторая проблема - кодирование документов пользователя необходимо, но сомнительна важность шифрации любимого текстового редактора или файлов кэша вашего броузера.

Есть другое частичное решение, связанное с особенностями Linux-разделов: возможно размещение системных файлов в одном разделе и хранение пользовательских данных в другом, зашифрованном разделе. На первый взгляд - это оптимальное решение, однако в реальной жизни все не так просто, так как возникает сложность в выделении новых разделов.

Еще сложнее проблема с USB-носителями, так как помимо сохранения пользовательских данных есть необходимость обмениваться этими данными с другими компьютерами, на большинстве из которых установлен Windows. Использование схемы шифрации файловой системы не позволяет этого. Много проектов пробовали этот классический подход. Наиболее известные - Loopback, CFS и TCFS.

EncFS

Новый подход к решению этой проблемы - EncFS. EncFS выполняется в окружении пользователя, что позволяет не подгружать модули ядра и иметь привилегии пользователя root. Основной особенностью этой схемы шифрации является возможность шифровать отдельные каталоги, а не файловую систему целиком. Требования к ресурсам невелики, по сравнению с современными мощностями процессоров, и ЦП 1.5GHz помимо выполнения всех остальных задач способен осуществлять шифрацию/дешифрацию на лету.

На странице Valient Gough's EncFS page приводится детальный анализ и сравнение EncFS.

Для установки EncFS нам потребуется Fuse и rlog. Для SuSE 9.2 вы можете найти пакеты для установки на домашней странице Valient, а пользователи Debian могут использовать конвертер пакетов alien.

После установки этих двух пакетов, вы можете скомпилировать и установить EncFS. На момент написания этой статьи, текущей версией была 1.2 Когда все закончено, можно приступать к шифрации каталогов.

Использование EncFS

Использование зашифрованных каталогов очень похоже на установку любой другой файловой системы под Linux. Создайте реальный каталог со всеми вашими файлами, для примера, /home/user/crypt-raw. Необходимо также создать точку монтирования, пусть это будет /home/user/crypt. При обращении к этим каталогам убедитесь, что используете абсолютные пути (не только/usr/bin/crypt).

Шифруем данные командой:

> encfs /home/user/crypt-raw /home/user/crypt
Volume key not found, creating new encrypted volume.
Password: 
Verify: 

Когда шифрование завершилось, обращаться к файлам можно используя каталог crypt. После завершения работы используйте команду:

fusermount -u /home/user/crypt

Эта команда отмонтирует каталог crypt, оставляя crypt-raw в зашифрованном виде. Изменяются имена файлов, шифруется содержимое. Остается прежним только размер файла и права доступа.

В качестве положительного момента EncFS можно отметить, что нет необходимости монтировать crypt-raw при осуществлении резервного копирования. Вместо этого, вы можете взять снимок зашифрованного каталога и позже его расшифровать. Программы архивации способны даже определять и архивировать модифицированные файлы.

Существует вопрос выбора паролей. Когда вы создаете каталог EncFS, EncFS выбирает случайный пароль (тот, который намного более сложен чем любой пароль, введенный через клавиатуру), шифрует указанный каталог, и затем шифрует случайный пароль вашим собственным выбранным паролем. В результате, вы можете сменить пароль в любое время, без необходимости прешифровывать все файлы.

В результате, EncFS очень хорошая альтернатива традиционным средствам защиты информации, так как обладает хорошей скоростью работы, продуманным дизайном и великолепно подходит для применеия на сменных носителях.