[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Verzeichnis verschlüsseln

Hallo Rolf.

Rolf Lucius - 29.11.24, 18:06:57 MEZ:
> Ich verwende u.a. encfs dafür. Das ist zwar nicht mehr ganz aktuell, so
> lange aber niemandem mehrere Versionen deiner verschlüsselten Daten in
> die Hände fallen können, sollte es sicher sein.

Bezüglich EncFS gibt es Sicherheitsbedenken. Es wird glaube ich auch nicht 
mehr aktiv gepflegt.

Die Plasma-Tresore aka Plasma Vault sind genau für diesen 
Anwendungsbereich gedacht und verwenden im Hintergrund CryFS¹, das den 
Vorteil hat, dass auch eine Verzeichnisstruktur nicht mehr herleitbar 
ist². Wahlweise gibt es auch EncFS und gocryptfs.

[1] https://www.cryfs.org/

[2] https://www.cryfs.org/howitworks

Beim Installieren von EncFS als Paket kommt folgende Warnung:

-----------------------------------------------------------------------

Encfs-Sicherheitsinformation

Gemäß des Sicherheits-Audits durch Taylor Hornby (Defuse Security) ist die 
derzeitige Implementierung von Encfs verwundbar oder potentiell für 
mehrere Angriffsarten anfällig. Ein Angreifer mit Schreib-/Lesezugriff auf 
verschlüsselte Daten könnte zum Beispiel die Komplexität der  
Verschlüsselung für nachfolgend verschlüsselte Daten heruntersetzen, ohne 
dass ein rechtmäßiger Benutzer dies bemerkt. Er könnte außerdem 
Zeitanalysen verwenden, um daraus Informationen abzuleiten.                                                                                    
                                                                                                                                               
Bis diese Probleme behoben sind, sollte Encfs nicht in Szenarien, in denen 
derartige Angriffe möglich sind, als sicherer Ort für sensible Daten 
angesehen werden. 

-----------------------------------------------------------------------

Plasma Vault warnt ähnlich, ist jedoch in Bezug auf Empfehlungen etwas 
konkreter und enthält einen Link auf den Audit:

-----------------------------------------------------------------------

Sicherheitshinweis: Gemäß eines Sicherheitsaudit von Taylor Hornby (Defuse 
Security), ist die aktuelle Implementierung von Encfs anfällig oder 
potentiell anfällig für verschiedene Arten von Angriffen. Zum Beispiel kann 
ein Angreifer mit Lese-/Schreibrechten zu den verschlüsselten Daten den 
Verschlüsselungsgrad herabsetzen ohne dass dies durch einen legitimierten 
Benutzer bemerkt werden würde. Informationen können mit Timing-Analysen 
ebenfalls abgeleitet werden. 

Dies bedeutet, Sie sollten Ihre verschlüsselten Daten nicht mit Cloud-
Diensten abgleichen, oder in anderen Szenarien einsetzen, wo ein Angreifer 
regelmäßigen Zugriff auf die verschlüsselten Daten hat. 

Siehe defuse.ca/audits/encfs.htm für weitere Informationen.

-----------------------------------------------------------------------

Der Link funktioniert. Ich hab mir aber nicht angeschaut, wie gut das in 
der Praxis tatsächlich angreifbar ist. An die Empfehlung die 
verschlüsselten Daten nicht auf Cloud-Diensten zu speichern würde ich mich 
jedoch aus Vorsicht heraus halten.

LUKS für Daten und Auslagerungsspeicher dürfte immer noch den besten 
Schutz bieten. CryFS mag aber für einzelne nur bei Bedarf zu 
entschlüsselnde Verzeichnisse eine gute Alternative sein. Angeblich würden 
eine Master-Arbeit und ein wissenschaftliches Papier die Sicherheit 
nachweisen². Ich bin da nicht tief genug drin in der Materie, um das zu 
beurteilen.

Ciao,
-- 
Martin
Reply to: