Прячем данные с помощью EncFs

Наиболее простой и эффективный способ создания зашифрованного раздела (папки) для ваших файлов – это использовать fuse.

Fuse – модуль ядра, позволяющий пользователям создавать свои собственные локальные файловые системы, в своём домашнем каталоге или на USB-брелке, например.

Главное преимущество здесь в том, что можно затем открыть файловую систему носителя под другими операционными системами – особенно полезное, если вы собираетесь подключать ваш USB-брелок к другим компьютерам (а именно для этого USB-брелок и придуман).

Fuse, легкий способ

Обычно вам не нужно беспокоиться о самостоятельной установке Fuse. Практически во всех дистрибутивах последних версий, включая SUSE, Fedora, Ubuntu, Mint это предусмотрено. Для зашифрованных файловых систем и Fuse тоже существует специально разработанный инструмент.

Этот инструмент называется EncFS, и благодаря Fuse решение получается весьма эффективным и гибким. Если вы не смогли найти пакет EncFS для вашей системы (что маловероятно), сборка из исходных текстов займет столько времени, сколько вам потребуется для того, чтобы найти и установить Fuse и связанные с ним библиотеки разработчика. Вам также понадобится пакет rlog (созданный автором EncFS), который доступен по адресу http://arg0.net/wiki/EncFS.

Выглядит не особо эффектно, зато Fuse и EncFS – эффективное и мощное решение для шифрования.

После установки EncFS, для создания зашифрованного каталога достаточно просто набрать

encfs ~/crypt-raw ~/crypt

EncFS сначала спросит, хотите ли вы создать два каталога, указанные в вышеприведенной команде (crypt-raw и crypt), которые, в нашем примере, расположены в домашнем каталоге. «Реальным» каталогом является crypt-raw, содержащий зашифрованные файлы, тогда как crypt содержит виртуальную файловую систему – расшифрованную версию содержимого каталога crypt-raw.

Следующий необходимый шаг – указание желаемого режима настройки. Выбор включает

• Expert Configuration (Для Эксперта),
• Preconfigured For The Paranoid (Для параноика) 
• Standard Mode (Стандартный).

В большинстве случаев стандартный режим более чем достаточен – он применяет 160-битные ключи и алгоритм шифрования SSL/Blowfish от Брюса Шнайера (Bruce Schneier).

Экспертный режим предоставляет также 256-битное AES-шифрование, надежное, как в Пентагоне.

Размер области зашифрованных данных определяется размером блока. Пусть вы хотите сохранить одиночный байт, EncFS все равно создаст зашифрованный блок указанного вами размера.

Последний шаг в построении файловой системы – установка пароля для блокировки содержимого.

Пароль обычно считается самым слабым местом в шифровании, так как многие люди используют один и тот же простой пароль много раз, и теоретически Blowfish особенно уязвим для атак на слабые ключи.

Хотя на практике это почти невозможно, слабые ключи несомненно упрощают работу хакера, а пароли случайной природы, включающие символы и цифры наряду с буквами, труднее для взлома, чем девичья фамилия матери.

Проблема в том, что если вы забудете пароль для EncFS, то нет инструментов для восстановления ваших данных. В результате, лучше проявить слабость, взяв запоминающийся пароль, а не недоступный для взлома.

Затем войдите в каталог crypt и создайте файл. Команда

touch newfile

создаст пустой файл с именем newfile, но вы можете легко скопировать в этот каталог данные, которые хотите защитить. Теперь, взглянув на содержимое каталога crypt-raw, вы увидите то же количество файлов, но их имена и содержимое будут представлять собой случайный набор символов. Эта криптограмма – результат шифрования.

Однако права доступа к файлу, вместе с датой и временем изменения, все еще читаемы. Это представляет небольшой риск, но зато программы резервного копирования смогут понять, когда файл изменялся в последний раз, и сделать его копию.

В каталоге crypt-raw есть также скрытый файл, с именем .encfs6 (скрытый - начинается с точки), в нем содержится информация, облегчающая понимание содержимого исходной файловой системы для EncFS.

Вы можете размонтировать зашифрованную файловую систему, набрав

fusermount -u ~/crypt

Это сделает запрет на шифрование в каталог crypt-raw, и ваши файлы будут как в сейфе. Чтобы вновь получить к ним доступ, просто запустите первую команду, которую мы использовали для создания каталога.

Дополнение

По-дефолту функции монтирования доступны только root'у, поэтому чтобы разрешить обычным пользователям работать с описанным шифрованием, необходимо в файле /etc/fuse.conf раскомментировать строчку user_allow_other.