GoCryptFS

Aus Foxwiki

GoCryptFS ist ein FUSE-Dateisystem zur Verschlüsselung auf Dateiebene

Beschreibung

  • Alternative zu
    • EncFS
    • eCryptfs
  • Betriebssysteme
    • Linux
    • OS X
    • Windows

Installation

# apt install gocryptfs

Syntax

gocryptfs -init|-passwd|-info [OPTIONS] CIPHERDIR
gocryptfs [OPTIONS] CIPHERDIR MOUNTPOINT

Verzeichnis verschlüsseln

Verzeichnisse anlegen

$ mkdir ~/CIPHERDIR ~/MOUNTPOINT ~/.config/gocryptfs

Initialisierung

Erstellung der Konfigurationsdatei und der Datei gocryptfs.diriv (verschlüsselte Verzeichnisstruktur)

gocryptfs -init -config ~/.config/gocryptfs/KONFDATEI.conf ~/CIPHERDIR

Verzeichnis einhängen

 gocryptfs -config ~/.config/gocryptfs/KONFDATEI.conf ~/CIPHERDIR ~/MOUNTPOINT

Verzeichnis nutzen

Verzeichnis aushängen

 fusermount -u ~/MOUNTPOINT

Passwörter

Zum Entschlüsseln der Dateien ist die GoCryptFS-Konfigurationsdatei und das Passwort erforderlich.

  • Ist ein Angreifer im Besitz der GoCryptFS-Konfigurationsdatei, könnte er, z.B. durch Ausprobieren, das Passwort herausfinden und die Dateien entschlüsseln.
  • Ohne Angabe der Option -config speichert GoCryptFS die Konfigurationsdatei unter dem Namen gocryptfs.conf in das Verzeichnis mit den verschlüsselten Dateien.
  • Werden die verschlüsselten Dateien in einer Cloud oder auf Datenträgern gespeichert, die einem Angreifer in die Hände fallen können, ist es ratsam, die Konfigurationsdatei getrennt von den verschlüsselten Dateien zu speichern.

Passwort ändern

 gocryptfs -config ~/.config/gocryptfs/KONFDATEI.conf -passwd ~/CIPHERDIR
  • Gemeinsam mit der Option -masterkey kann ein neues Passwort vergeben werden, wenn man das Passwort vergessen hat, aber der Masterkey vorliegt.
  • Weitere Informationen enthält die Manpage zu GoCryptFS.

Passwort oder Konfigurationsdatei verloren

Liegt der Masterkey aus der Initialisierung noch vor, können die verschlüsselten Daten mit dessen Eingabe im Terminal geöffnet werden, wobei eine eventuell vorhandene Konfigurationsdatei ignoriert wird.

 gocryptfs -masterkey=stdin

Mit der Option -masterkey <Masterkey> können die verschlüsselten Daten, z.B. über ein Skript, ohne Konfigurationsdatei geöffnet werden.

  • Hierbei kann der Masterkey mit ps -auxwww aus dem Hauptspeicher ausgelesen werden
  • Dieses Risiko liegt bei der Option -masterkey=stdin nicht vor.

Hintergründe

Die Verschlüsselung des Dateiinhalts erfolgt im Forward Mode mit AES-GCM und im Reverse Mode mit AES-SIV-512.

  • Der hierfür benötigte Schlüssel wird mit dem Scrypt Algorithmus aus dem Masterkey abgeleitet.
  • Die Dateinamen werden im Encrypt-Mix-Encrypt – Verfahren verschlüsselt.
  • Jede Verschlüsselung bietet mögliche Angriffswege.
  • Daher wird die Sicherheit der Verschlüsselung grundsätzlich erhöht, wenn man Daten mit verschiedenen Programmen geschichtet verschlüsselt.
  • Aus den von GoCryptfs verschlüsselten Dateien kann ein Angreifer erkennen, wie viele Dateien man hat, und welche Größe diese haben.
  • Daraus könnten Rückschlüsse auf den Inhalt der Dateien möglich sein.
  • Dem kann man entgegenwirken, indem man die Dateien vor der Verschlüsselung zerlegt oder in Container zusammenfasst.

Forward und Reverse Mode

  • Im Forward Mode werden die Daten verschlüsselt gespeichert, der entschlüsselte Lese- und Schreibzugriff erfolgt über das FUSE-Dateisystem.
    • Dieser Betriebsmodus könnte beispielsweise eingesetzt werden, um die Daten in der Cloud zu speichern und auf diese von verschiedenen Geräten zuzugreifen.
  • Der Reverse Modus dient dazu Dateien, die unverschlüsselt (lokal) gespeichert sind, zur Datensicherung zu verschlüsseln.
    • Die verschlüsselten Dateien bestehen nur, solange das FUSE-Dateisystem eingehängt ist.
    • Aus dem FUSE-Dateisystem können die verschlüsselten Dateien manuell oder mit einem Datensicherungsprogramm (z.B. rsync) in einen dauerhaften Speicher kopiert werden.

Forward Mode

Die Dateien werden im Verzeichnis CIPHERDIR verschlüsselt gespeichert.

  • Der Inhalt von CIPHERDIR wird im Verzeichnis MOUNTPOINT über das FUSE Dateisystem entschlüsselt zum lesen und schreiben angezeigt, wenn MOUNTPOINT eingehängt ist.

Reverse Mode

Im Reverse Mode wird der Inhalt von CIPHERDIR über das FUSE-Dateisystem „read-only“ angezeigt, wenn dieses eingehängt ist.

Verzeichnis zum Speichern von GoCryptFS-Konfigurationsdateien erstellen

 mkdir ~/.config/gocryptfs/

Verzeichnisse CIPHERDIR und KLARTEX anlegen

 mkdir ~/CIPHERDIR ~/MOUNTPOINT

GocryptFS initialisieren

Ohne die Option -config wird die Konfigurationsdatei als ~/CIPHERDIR/gocryptfs.conf gespeichert.

 gocryptfs -init -config ~/.config/gocryptfs/KONFDATEI.conf -reverse ~/CIPHERDIR

Verzeichnis CIPHERDIR einhängen

Im Reverse Mode können Dateien mit den Optionen -exclude, -exclude-wildcard und -exclude-from von der verschlüsselten Ansicht ausgeschlossen werden.

  • Soll rsync für die Datensicherung verwendet werden, sollte, um Fehler und Warnmeldungen zu vermeiden, der Ausschluss beim Einhängen mit GoCryptFS erfolgen.
 gocryptfs -config ~/.config/gocryptfs/KONFDATEI.conf -reverse ~/MOUNTPOINT ~/CIPHERDIR

Datensicherung durchführen

 cp -a ~/CIPHERDIR ~/BACKUP

CIPHERDIR aushängen

 fusermount -u ~/CIPHERDIR

Home-Verzeichnis verschlüsseln

Optionen

Common Options (use -hh to show all)

Option Beschreibung
-aessiv AES-SIV-Verschlüsselung verwenden (mit -init)
-allow_other Anderen Benutzern den Zugriff auf die Halterung erlauben
-i, -idle Automatisches Aushängen nach festgelegter Leerlaufzeit
-config Benutzerdefinierter Pfad zur Konfigurationsdatei
-ctlsock Steuersteckdose am Standort erstellen
-extpass Externes Programm aufrufen, um nach dem Passwort zu fragen
-fg Bleib im Vordergrund
-fsck Dateisystemintegrität prüfen
-fusedebug FUSE-Aufrufe debuggen
-h, -help Dieser kurze Hilfetext
-hh Langer Hilfetext mit allen Optionen
-init Verschlüsseltes Verzeichnis initialisieren
-info Informationen zum verschlüsselten Verzeichnis anzeigen
-masterkey Mount mit explizitem Hauptschlüssel statt Passwort
-nonempty Mounten über nicht leeres Verzeichnis zulassen
-nosyslog Leiten Sie Protokollnachrichten nicht an syslog um
-passfile Passwort aus Datei lesen
-passwd Kennwort ändern
-plaintextnames Dateinamen nicht verschlüsseln (mit -init)
-q, -quiet Informationsnachrichten stummschalten
-reverse Rückwärtsmodus aktivieren
-ro Schreibgeschützt einbinden
-speed Führen Sie einen Krypto-Geschwindigkeitstest durch
-version Print version information
-- Optionsparsing stoppen

Links

Interne Links

  1. Linux:Sicherheit:eCryptfs

Weblinks

  1. Projektseite: https://nuetzlich.net/gocryptfs/
  2. Quellcode und Dokumentation: https://github.com/rfjakob/gocryptfs
  3. AES-GCM: https://eprint.iacr.org/2004/193.pdf
  4. AES-SIV-512: https://tools.ietf.org/html/rfc5297
  5. Scrypt Schlüsselableitung: https://tools.ietf.org/html/rfc7914
  6. Encrypt-Mix-Encrypt : https://github.com/rfjakob/eme
  7. Sicherheitsgutachten: https://defuse.ca/audits/gocryptfs.htm
  8. Version für Windows: https://github.com/bailey27/cppcryptfs