¿Es ENCFS seguro para encriptar Dropbox?

17

He cifrado mi carpeta de Dropbox con encfs de acuerdo con algunos tutoriales que encontré en la web, defendiendo este enfoque.

Pero he encontrado la siguiente declaración crítica sobre la seguridad de encfs en esta auditoría de seguridad de encfs:

  

Es probable que EncFS sea seguro siempre y cuando el adversario solo obtenga una copia de     El texto cifrado y nada más. EncFS no es seguro si el adversario     tiene la oportunidad de ver dos o más instantáneas del texto cifrado en     tiempos diferentes. EncFS intenta proteger archivos de maliciosos     modificación, pero hay graves problemas con esta función.

Por lo tanto, siempre y cuando solo obtengan una copia de los archivos cifrados, está bien, pero si obtienen más, podría ser peligroso.

Bueno, al usar Dropbox, obtendrían una gran cantidad de instantáneas diferentes de los archivos cifrados (ya que se sincronizarán después de cada cambio).

Por lo tanto, encfs no sería una solución segura en combinación con un servicio en la nube como Dropbox, ¿verdad?

    
pregunta onoSendai 08.03.2015 - 01:04
fuente

3 respuestas

8

A EncFS le falta un cierto conjunto de medidas de seguridad, pero es perfectamente seguro si no lo usas de tal manera que requiera protecciones que no ofrece.

En particular, EncFS pierde todo tipo de metadatos: tiempos, tamaños, longitudes de nombres, estructura del sistema de archivos, patrones de actualización y más. Tampoco ofrece toneladas de protección si el atacante puede controlar qué datos se cifran.

Pero suponiendo que todo lo que necesita hacer es mantener el contenido de su archivo a salvo de un observador pasivo con acceso de solo lectura (especialmente como una instantánea de un punto en el tiempo) a los datos de la unidad subyacente, EncFS puede proporcionar esta protección muy bien . Dado que este es realmente el caso de uso típico, EncFS es una garantía bastante razonable.

Si lo que necesita es una protección más seria que esa, entonces probablemente quiera usar un archivo de imagen de disco montado en bucle invertido que puede cifrar con herramientas como LUKS o su utilidad FDE favorita.

    
respondido por el tylerl 08.03.2015 - 02:39
fuente
8

Como ya dijeron tylerl y user80945, el uso de EncFS en Dropbox no es seguro. Puede encontrar más información en este artículo .

Una alternativa sería CryFS . Es un nuevo proyecto de código abierto que no tiene las vulnerabilidades de seguridad de EncFS y también encripta los metadatos (por ejemplo, tamaños de archivos y estructura de directorios).

Descargo de responsabilidad: soy uno de los desarrolladores de CryFS. Nosotros usábamos EncFS en Dropbox y desarrollamos una alternativa debido a las deficiencias mencionadas.

    
respondido por el Heinzi 08.02.2016 - 14:25
fuente
4

Si entiendo el informe de auditoría de seguridad correctamente, uno no debe usar encfs para cifrar Dropbox: Dropbox guarda varias versiones de todos los archivos y esto puede ser explotado para un ataque.

Cualquier persona que tenga acceso a su cuenta de Dropbox tiene acceso a estas diferentes versiones. No sé cuántas versiones necesitaría un atacante y de ninguna manera soy un experto en este tema, por lo que no puedo juzgar el impacto de esto.

    
respondido por el user80945 14.07.2015 - 10:33
fuente

Lea otras preguntas en las etiquetas