GoCryptFS: Unterschied zwischen den Versionen
K Textersetzung - „\[\[Kategorie([A-zA-z])“ durch „[[Kategorie:\1“ |
K Textersetzung - „== Syntax ==“ durch „== Aufruf ==“ |
||
(50 dazwischenliegende Versionen desselben Benutzers werden nicht angezeigt) | |||
Zeile 1: | Zeile 1: | ||
'''GoCryptFS''' | '''GoCryptFS''' - ein [[FUSE]]-Dateisystem zur Kryptografie auf Dateiebene | ||
= Beschreibung = | == Beschreibung == | ||
* Alternative zu EncFS, eCryptfs | * Alternative zu EncFS, eCryptfs | ||
* Linux, OS X, Windows | * Linux, OS X, Windows | ||
= | === Hintergründe === | ||
Die Kryptografie des Dateiinhalts erfolgt im Forward Mode mit AES-GCM und im Reverse Mode mit AES-SIV-512. | |||
Die | |||
* Der hierfür benötigte Schlüssel wird mit dem Scrypt Algorithmus aus dem Masterkey abgeleitet. | * Der hierfür benötigte Schlüssel wird mit dem Scrypt Algorithmus aus dem Masterkey abgeleitet. | ||
* Die Dateinamen werden im Encrypt-Mix-Encrypt – Verfahren verschlüsselt. | * Die Dateinamen werden im Encrypt-Mix-Encrypt – Verfahren verschlüsselt. | ||
* Jede | * Jede Kryptografie bietet mögliche Angriffswege. | ||
* Daher wird die Sicherheit der | * Daher wird die Sicherheit der Kryptografie grundsätzlich erhöht, wenn man Daten mit verschiedenen Programmen geschichtet [https://wiki.ubuntuusers.de/Daten_verschlüsseln/ verschlüsselt]. | ||
* Aus den von GoCryptfs verschlüsselten Dateien kann ein Angreifer erkennen, wie viele Dateien man hat, und welche Größe diese haben. | * Aus den von GoCryptfs verschlüsselten Dateien kann ein Angreifer erkennen, wie viele Dateien man hat, und welche Größe diese haben. | ||
* Daraus könnten Rückschlüsse auf den Inhalt der Dateien möglich sein. | * Daraus könnten Rückschlüsse auf den Inhalt der Dateien möglich sein. | ||
* Dem kann man entgegenwirken, indem man die Dateien vor der | * Dem kann man entgegenwirken, indem man die Dateien vor der Kryptografie [https://wiki.ubuntuusers.de/split/ zerlegt] oder in Container zusammenfasst. | ||
''' Forward und Reverse Mode ''' | ''' Forward und Reverse Mode ''' | ||
Zeile 179: | Zeile 20: | ||
* Der '''Reverse Modus''' dient dazu Dateien, die unverschlüsselt (lokal) gespeichert sind, zur Datensicherung zu verschlüsseln. | * Der '''Reverse Modus''' dient dazu Dateien, die unverschlüsselt (lokal) gespeichert sind, zur Datensicherung zu verschlüsseln. | ||
** Die verschlüsselten Dateien bestehen nur, solange das FUSE-Dateisystem eingehängt ist. | ** Die verschlüsselten Dateien bestehen nur, solange das FUSE-Dateisystem eingehängt ist. | ||
** Aus dem FUSE-Dateisystem können die verschlüsselten Dateien manuell oder mit einem Datensicherungsprogramm (z.B. [https://wiki.ubuntuusers.de/rsync/ rsync]) in einen dauerhaften Speicher kopiert werden. | ** Aus dem FUSE-Dateisystem können die verschlüsselten Dateien manuell oder mit einem Datensicherungsprogramm (z. B. [https://wiki.ubuntuusers.de/rsync/ rsync]) in einen dauerhaften Speicher kopiert werden. | ||
== Forward Mode == | === Forward Mode === | ||
Die Dateien werden im Verzeichnis '''CIPHERDIR''' verschlüsselt gespeichert. | Die Dateien werden im Verzeichnis '''CIPHERDIR''' verschlüsselt gespeichert. | ||
* Der Inhalt von '''CIPHERDIR''' wird im Verzeichnis '''MOUNTPOINT''' über das FUSE Dateisystem entschlüsselt zum lesen und schreiben angezeigt, wenn '''MOUNTPOINT''' eingehängt ist. | * Der Inhalt von '''CIPHERDIR''' wird im Verzeichnis '''MOUNTPOINT''' über das FUSE Dateisystem entschlüsselt zum lesen und schreiben angezeigt, wenn '''MOUNTPOINT''' eingehängt ist. | ||
== Reverse Mode == | === Reverse Mode === | ||
Im Reverse Mode wird der Inhalt von CIPHERDIR über das FUSE-Dateisystem „read-only“ angezeigt, wenn dieses eingehängt ist. | Im Reverse Mode wird der Inhalt von CIPHERDIR über das FUSE-Dateisystem „read-only“ angezeigt, wenn dieses eingehängt ist. | ||
== | == Installation == | ||
<syntaxhighlight lang="bash" | <syntaxhighlight lang="bash" highlight="1" line> | ||
sudo apt install gocryptfs | |||
</syntaxhighlight> | </syntaxhighlight> | ||
== | == Aufruf == | ||
<syntaxhighlight lang="bash" highlight="1" line> | |||
<syntaxhighlight lang="bash" | |||
</syntaxhighlight> | </syntaxhighlight> | ||
=== | === Optionen === | ||
Common Options (use -hh to show all) | Common Options (use -hh to show all) | ||
{| class="wikitable sortable" | {| class="wikitable sortable options" | ||
|- | |- | ||
! Option || Beschreibung | ! Option || Beschreibung | ||
|- | |- | ||
|| -aessiv | || -aessiv | ||
|| AES-SIV- | || AES-SIV-Kryptografie verwenden (mit -init) | ||
|- | |- | ||
|| -allow_other | || -allow_other | ||
Zeile 305: | Zeile 121: | ||
|} | |} | ||
= | === Parameter === | ||
== | === Umgebungsvariablen === | ||
=== Exit-Status === | |||
=== Dateien === | |||
== | == Anwendung == | ||
* [[GoCryptFS/Anwendung]] | |||
* [[GoCryptFS/Problembehebung]] | |||
<noinclude> | |||
== Anhang == | |||
=== Siehe auch === | |||
{{Special:PrefixIndex/{{BASEPAGENAME}}}} | |||
* [[ECryptfs]] | |||
==== Dokumentation ==== | |||
===== Man-Page ===== | |||
===== Info-Pages ===== | |||
==== Links ==== | |||
===== Projekt ===== | |||
# Projektseite: https://nuetzlich.net/gocryptfs/ | # Projektseite: https://nuetzlich.net/gocryptfs/ | ||
# Quellcode und Dokumentation: [https://github.com/rfjakob/gocryptfs https://github.com/rfjakob/gocryptfs] | # Quellcode und Dokumentation: [https://github.com/rfjakob/gocryptfs https://github.com/rfjakob/gocryptfs] | ||
===== Weblinks ===== | |||
# AES-GCM: [https://eprint.iacr.org/2004/193.pdf https://eprint.iacr.org/2004/193.pdf] | # AES-GCM: [https://eprint.iacr.org/2004/193.pdf https://eprint.iacr.org/2004/193.pdf] | ||
# AES-SIV-512: [https://tools.ietf.org/html/rfc5297 https://tools.ietf.org/html/rfc5297] | # AES-SIV-512: [https://tools.ietf.org/html/rfc5297 https://tools.ietf.org/html/rfc5297] | ||
Zeile 319: | Zeile 154: | ||
# Version für Windows: [https://github.com/bailey27/cppcryptfs https://github.com/bailey27/cppcryptfs] | # Version für Windows: [https://github.com/bailey27/cppcryptfs https://github.com/bailey27/cppcryptfs] | ||
[[Kategorie: | |||
[[Kategorie | [[Kategorie:Dateisystem/Kryptografie]] | ||
[[Kategorie:FUSE]] | |||
</noinclude> |
Aktuelle Version vom 12. November 2024, 18:40 Uhr
GoCryptFS - ein FUSE-Dateisystem zur Kryptografie auf Dateiebene
Beschreibung
- Alternative zu EncFS, eCryptfs
- Linux, OS X, Windows
Hintergründe
Die Kryptografie des Dateiinhalts erfolgt im Forward Mode mit AES-GCM und im Reverse Mode mit AES-SIV-512.
- Der hierfür benötigte Schlüssel wird mit dem Scrypt Algorithmus aus dem Masterkey abgeleitet.
- Die Dateinamen werden im Encrypt-Mix-Encrypt – Verfahren verschlüsselt.
- Jede Kryptografie bietet mögliche Angriffswege.
- Daher wird die Sicherheit der Kryptografie grundsätzlich erhöht, wenn man Daten mit verschiedenen Programmen geschichtet verschlüsselt.
- Aus den von GoCryptfs verschlüsselten Dateien kann ein Angreifer erkennen, wie viele Dateien man hat, und welche Größe diese haben.
- Daraus könnten Rückschlüsse auf den Inhalt der Dateien möglich sein.
- Dem kann man entgegenwirken, indem man die Dateien vor der Kryptografie zerlegt oder in Container zusammenfasst.
Forward und Reverse Mode
- Im Forward Mode werden die Daten verschlüsselt gespeichert, der entschlüsselte Lese- und Schreibzugriff erfolgt über das FUSE-Dateisystem.
- Dieser Betriebsmodus könnte beispielsweise eingesetzt werden, um die Daten in der Cloud zu speichern und auf diese von verschiedenen Geräten zuzugreifen.
- Der Reverse Modus dient dazu Dateien, die unverschlüsselt (lokal) gespeichert sind, zur Datensicherung zu verschlüsseln.
- Die verschlüsselten Dateien bestehen nur, solange das FUSE-Dateisystem eingehängt ist.
- Aus dem FUSE-Dateisystem können die verschlüsselten Dateien manuell oder mit einem Datensicherungsprogramm (z. B. rsync) in einen dauerhaften Speicher kopiert werden.
Forward Mode
Die Dateien werden im Verzeichnis CIPHERDIR verschlüsselt gespeichert.
- Der Inhalt von CIPHERDIR wird im Verzeichnis MOUNTPOINT über das FUSE Dateisystem entschlüsselt zum lesen und schreiben angezeigt, wenn MOUNTPOINT eingehängt ist.
Reverse Mode
Im Reverse Mode wird der Inhalt von CIPHERDIR über das FUSE-Dateisystem „read-only“ angezeigt, wenn dieses eingehängt ist.
Installation
sudo apt install gocryptfs
Aufruf
Optionen
Common Options (use -hh to show all)
Option | Beschreibung |
---|---|
-aessiv | AES-SIV-Kryptografie verwenden (mit -init) |
-allow_other | Anderen Benutzern den Zugriff auf die Halterung erlauben |
-i, -idle | Automatisches Aushängen nach festgelegter Leerlaufzeit |
-config | Benutzerdefinierter Pfad zur Konfigurationsdatei |
-ctlsock | Steuersteckdose am Standort erstellen |
-extpass | Externes Programm aufrufen, um nach dem Passwort zu fragen |
-fg | Bleib im Vordergrund |
-fsck | Dateisystemintegrität prüfen |
-fusedebug | FUSE-Aufrufe debuggen |
-h, -help | Dieser kurze Hilfetext |
-hh | Langer Hilfetext mit allen Optionen |
-init | Verschlüsseltes Verzeichnis initialisieren |
-info | Informationen zum verschlüsselten Verzeichnis anzeigen |
-masterkey | Mount mit explizitem Hauptschlüssel statt Passwort |
-nonempty | Mounten über nicht leeres Verzeichnis zulassen |
-nosyslog | Leiten Sie Protokollnachrichten nicht an syslog um |
-passfile | Passwort aus Datei lesen |
-passwd | Kennwort ändern |
-plaintextnames | Dateinamen nicht verschlüsseln (mit -init) |
-q, -quiet | Informationsnachrichten stummschalten |
-reverse | Rückwärtsmodus aktivieren |
-ro | Schreibgeschützt einbinden |
-speed | Führen Sie einen Krypto-Geschwindigkeitstest durch |
-version | Print version information |
-- | Optionsparsing stoppen |
Parameter
Umgebungsvariablen
Exit-Status
Dateien
Anwendung
Anhang
Siehe auch
Dokumentation
Man-Page
Info-Pages
Links
Projekt
- Projektseite: https://nuetzlich.net/gocryptfs/
- Quellcode und Dokumentation: https://github.com/rfjakob/gocryptfs
Weblinks
- AES-GCM: https://eprint.iacr.org/2004/193.pdf
- AES-SIV-512: https://tools.ietf.org/html/rfc5297
- Scrypt Schlüsselableitung: https://tools.ietf.org/html/rfc7914
- Encrypt-Mix-Encrypt : https://github.com/rfjakob/eme
- Sicherheitsgutachten: https://defuse.ca/audits/gocryptfs.htm
- Version für Windows: https://github.com/bailey27/cppcryptfs