Ссылка
на оригинал - http://www.linuxdevcenter.com/pub/a/linux/2005/04/14/encfs.html
Долгое время воровство компьютерного
оборудования остается достаточно серьезной проблемой. Наиболее вероятные жертвы
этого воровства- ноутбуки и различные USB устройства. Настольные компьютеры и
резервные носители тырят менее часто. В большинстве этих случаем, хранящаяся в
устройстве информация стоит дороже самого оборудования и перед нами встает
вопрос о блокировании несанкционированного доступа к этим данным.
Шифрование
Решение может состоять в том, чтобы использовать gpg или иное
решение, основанное на PKI, но прозрачность и легкость управления ключами все
еще оставляет желать лучшего в этой схеме. При работе с несколькими файлами
положение только усугубляется.
Очевидным решением будет использование
шифрующей файловой системы, где никакие пользовательские данные не хранятся в
открытом виде и которая полностью прозрачна для пользователя. Но и здесь есть
некоторая проблема - кодирование документов пользователя необходимо, но
сомнительна важность шифрации любимого текстового редактора или файлов кэша
вашего броузера.
Есть другое частичное решение, связанное с
особенностями Linux-разделов: возможно размещение системных файлов в одном
разделе и хранение пользовательских данных в другом, зашифрованном разделе. На
первый взгляд - это оптимальное решение, однако в реальной жизни все не так
просто, так как возникает сложность в выделении новых разделов.
Еще
сложнее проблема с USB-носителями, так как помимо сохранения пользовательских
данных есть необходимость обмениваться этими данными с другими компьютерами, на
большинстве из которых установлен Windows. Использование схемы шифрации файловой
системы не позволяет этого. Много проектов пробовали этот классический подход.
Наиболее известные - Loopback, CFS и TCFS.
EncFS
Новый подход к решению этой проблемы - EncFS. EncFS выполняется в
окружении пользователя, что позволяет не подгружать модули ядра и иметь
привилегии пользователя root. Основной особенностью этой схемы шифрации является
возможность шифровать отдельные каталоги, а не файловую систему целиком.
Требования к ресурсам невелики, по сравнению с современными мощностями
процессоров, и ЦП 1.5GHz помимо выполнения всех остальных задач способен
осуществлять шифрацию/дешифрацию на лету.
На странице
Valient Gough's EncFS page
приводится детальный анализ и сравнение EncFS.
Для установки EncFS нам
потребуется
Fuse и
rlog. Для SuSE 9.2 вы можете найти
пакеты для установки на домашней странице Valient, а пользователи Debian могут
использовать конвертер пакетов
alien.
После установки
этих двух пакетов, вы можете скомпилировать и установить EncFS. На момент
написания этой статьи, текущей версией была 1.2 Когда все закончено, можно
приступать к шифрации каталогов.
Использование EncFS
Использование зашифрованных каталогов очень похоже
на установку любой другой файловой системы под Linux. Создайте реальный каталог
со всеми вашими файлами, для примера, /home/user/crypt-raw. Необходимо также
создать точку монтирования, пусть это будет /home/user/crypt. При обращении к
этим каталогам убедитесь, что используете абсолютные пути (не
только/usr/bin/crypt).
Шифруем данные командой:
> encfs /home/user/crypt-raw /home/user/crypt
Volume key not found, creating new encrypted volume.
Password:
Verify:
Когда шифрование завершилось, обращаться к файлам можно используя
каталог crypt. После завершения работы используйте команду:
fusermount -u /home/user/crypt
Эта команда отмонтирует каталог crypt, оставляя crypt-raw в
зашифрованном виде. Изменяются имена файлов, шифруется содержимое. Остается
прежним только размер файла и права доступа.
В качестве положительного
момента EncFS можно отметить, что нет необходимости монтировать crypt-raw при
осуществлении резервного копирования. Вместо этого, вы можете взять снимок
зашифрованного каталога и позже его расшифровать. Программы архивации способны
даже определять и архивировать модифицированные файлы.
Существует вопрос
выбора паролей. Когда вы создаете каталог EncFS, EncFS выбирает случайный пароль
(тот, который намного более сложен чем любой пароль, введенный через
клавиатуру), шифрует указанный каталог, и затем шифрует случайный пароль вашим
собственным выбранным паролем. В результате, вы можете сменить пароль в любое
время, без необходимости прешифровывать все файлы.
В результате, EncFS
очень хорошая альтернатива традиционным средствам защиты информации, так как
обладает хорошей скоростью работы, продуманным дизайном и великолепно подходит
для применеия на сменных носителях.