it-swarm.com.de

Ist EncFS sicher für die Verschlüsselung von Dropbox?

Ich habe meinen Dropbox-Ordner mit EncFS gemäß einigen im Web gefundenen Tutorials verschlüsselt, die diesen Ansatz befürworten.

Aber ich habe die folgende kritische Aussage bezüglich der Sicherheit von EncFS in diese Sicherheitsüberprüfung gefunden:

EncFS ist wahrscheinlich sicher, solange der Gegner nur eine Kopie des Chiffretextes erhält und nicht mehr. EncFS ist nicht sicher, wenn der Gegner die Möglichkeit hat, zwei oder mehr Schnappschüsse des Chiffretextes zu unterschiedlichen Zeiten anzuzeigen. EncFS versucht, Dateien vor böswilligen Änderungen zu schützen, es gibt jedoch schwerwiegende Probleme mit dieser Funktion.

Solange sie nur eine Kopie der verschlüsselten Dateien erhalten, ist dies in Ordnung, aber wenn sie mehr erhalten, kann dies gefährlich sein.

Nun, wenn sie Dropbox verwenden, erhalten sie eine Menge verschiedener Snapshots der verschlüsselten Dateien (da sie nach jeder Änderung synchronisiert werden).

EncFS wäre also keine sichere Lösung in Kombination mit einem Cloud-Service à la Dropbox, oder?

24
onoSendai

Dies ist im Grunde eine vollständige Überarbeitung der Antwort ab Februar 2020 mit deutlich mehr Details.

EncFS ist unter den Umständen und Bedrohungsmodellen, die die meisten Gelegenheitsbenutzer erwarten würden, zuverlässig sicher, insbesondere bei Dokumentensynchronisierungsdiensten wie Dropbox. Insbesondere funktioniert es hervorragend, wenn Ihre Erwartungen in etwa so lauten: "Ein Angreifer kann meine Dateien nicht lesen."

Aber es ist nicht so heiß, wenn Sie anfangen, komplexere Annahmen darüber zu verketten. Dies geschieht normalerweise, wenn das Verzeichnis, das Sie schützen, auf eine Weise verwendet wird, die von einer anderen Person erfunden wurde, z. B. das Profilverzeichnis eines Browsers, die Datenspeicherung einer Automatisierungspipeline oder die Basisverzeichnisse für alle Benutzer in einem Unternehmen. Wenn Ihre Erwartungen vager und umfassender sind, wie: "Angreifer werden alle vereitelt, weil das Verzeichnis verschlüsselt ist" dann ist dies nicht das richtige Tool für Sie.

Um eine gut begründete Entscheidung zu treffen, ist es hilfreich zu verstehen, welche Kompromisse Sie eingehen. Hier ist also, was ein Angreifer tun kann und unter welchen Bedingungen er es tun kann.

Metadaten

EncFS speichert genau eine verschlüsselte Datei pro unverschlüsselter Datei und mit derselben Verzeichnisstruktur, denselben Änderungszeiten und ähnlichen Dateigrößen (und Dateinamengrößen). Der Angreifer weiß also im Grunde alle Metadaten über Ihre Dateien. Dies ist ein absichtlicher Kompromiss zwischen Sicherheit und Sicherheit. Wenn dies gefährlich klingt, ist EncFS nichts für Sie. Sie können viel nur aus Datumsangaben, Größen und Verzeichnisstrukturen ableiten, insbesondere wenn Sie im Laufe der Zeit zuschauen (siehe unten). Dies können alle Informationen sein, die der Angreifer benötigt, um bestimmte Verhaltensweisen abzuleiten. Wenn Ihnen das wichtig ist, können Sie sich auf EncFS verlassen, um mehr als nur den Inhalt der Dateien zu schützen, und Sie benötigen ein anderes Tool.

Insbesondere unterstützt EncFS sparse Dateien, was bedeutet, dass lange (sehr lange) Nullenläufe nicht verschlüsselt werden. Jeder dieser leeren Blöcke ist im verschlüsselten Speicher leicht zu identifizieren. Dies ist ein weiterer absichtlicher Kompromiss zwischen Sicherheit und Sicherheit. Es kann Ihnen viel Speicherplatz sparen, aber auf Kosten der Offenlegung von etwas mehr über diese speziellen Arten von Dateien, als Sie vielleicht möchten.

Metadatenverlauf

Wenn der Angreifer die Änderungen im Laufe der Zeit sehen kann, erhält er noch mehr Informationen. Sie können sehen, welche Dateien sich wie oft ändern, ob die Änderungen die Dateigröße beeinflussen und so weiter. In einigen Fällen können sie sogar grob erkennen, welcher Teil der Datei geändert wurde.

Dropbox speichert eine gewisse Menge an Dateiverlauf (30 Tage oder mehr, abhängig von Ihrem Abonnement und Ihren Einstellungen), was dies auch ohne dauerhafte Präsenz ermöglicht, wenn auch offensichtlich mit einem begrenzten Fenster.

Geschichtsbasierte Angriffe (passiv)

Wenn der Angreifer eine absolut große Anzahl von Änderungen an einer einzelnen Datei (möglicherweise Millionen) sieht, kann er diese Informationen möglicherweise nutzen, um noch mehr Einblicke auf mathematischer Ebene zu erhalten, nicht nur in Metadaten.

Realistisch wahrscheinlich aber nicht. Es sind tatsächlich keine Angriffe bekannt, und mit Dropbox synchronisierte Dateien ändern sich im Allgemeinen nicht genügend oft, damit die vorgeschlagenen Angriffsmuster relevant sind. Und selbst wenn dies der Fall ist, können Sie mit Dropbox nicht nur eine Reihe von Millionen alter Revisionen in eine einzelne Datei herunterladen.

Schreibbasierte Angriffe

Wenn der Angreifer Dateien schreiben kann, die Sie entschlüsseln möchten, haben Sie jetzt einige echte Probleme. Zumindest kann der Angreifer Dateien selektiv löschen oder zerstören. Sie können sogar anhand der Metadaten als Leitfaden erraten, welche Dateien beschädigt werden sollen. Außerdem können sie möglicherweise nur bestimmte Teile einer Datei beschädigen.

Und denken Sie an das bisschen über die spärlichen Dateien; Ein Angreifer kann große Teile einer Datei auf Null setzen, indem er den entsprechenden Chiffretext auf Null setzt.

Zusätzlich könnte ein Angreifer mit Schreibzugriff auf Ihre Dropbox die Datei auf eine frühere Version zurücksetzen ... obwohl dies auch eine explizite Funktion von Dropbox ist. Wenn Sie die Plattformfunktionen selbst als schwerwiegende Sicherheitslücke betrachten, müssen Sie sich fragen, ob Dropbox wirklich das ist, wonach Sie suchen.

Und das ist der springende Punkt hier. Es ist von großem Vorteil, clientseitige Krypto auf einen Cloud-Synchronisierungsdienst zu legen, ähnlich einer zweiten Verteidigungsschicht. Wenn jedoch die Garantien, die Sie erstellen möchten, explizit den Merkmalen der zugrunde liegenden Plattform zuwiderlaufen, versuchen Sie wahrscheinlich, einen quadratischen Stift in ein rundes Loch zu hämmern. Möglicherweise können Sie mit sorgfältig ausgewählten Tools eine funktionale Lösung erstellen, aber Ihre allgemeine Erfahrung wird schlechter, da der zugrunde liegende Service so optimiert ist, dass genau das getan wird, was Sie nicht möchten.

Interaktive Angriffe

Wenn der Angreifer den Chiffretext ändern und dann sehen kann, was der Klartext war (oder ob er überhaupt erfolgreich entschlüsselt wird), könnte er vermutlich Millionen oder Milliarden von Dateiänderungen auf Null im Entschlüsselungsschlüssel vornehmen. Es gibt keinen bekannten Angriff, um den Schlüssel tatsächlich abzuleiten. Aber wenn sie könnten es tun, dann wäre es der Hauptschlüssel für das gesamte Volumen, was der Hauptgrund ist, warum diese Tatsache es wert ist, angesprochen zu werden. Und einer der Schutzmaßnahmen dagegen (die MAC-Einstellungen) kann für den Angreifer leicht deaktiviert werden.

Wenn auf dem Computer des Opfers Code ausgeführt wird, kann der Angreifer möglicherweise Zeitinformationen nutzen, um einen Einblick in den Schlüssel zu erhalten. Wieder keine wirklich bekannten Angriffe, nur Spekulationen. In diesen Fällen ist der Angreifer normalerweise so gut positioniert, dass er den Schlüssel nicht benötigt.

Fazit

Für den typischen Anwendungsfall "Persönliche Dateien" und mit dem typischen Angriffsmodell ist EncFS im Allgemeinen in Ordnung. If bietet ein Schutzniveau, das die Erwartungen des durchschnittlichen Benutzers erfüllt, selbst unter Berücksichtigung des Dateiversionsverlaufs von Dropbox. Die wichtigste Einschränkung ist das Metadaten-Ding, da es der am zuverlässigsten ausnutzbare Teil der Geschichte ist und die Leute selten darüber nachdenken, wie viel ein Angreifer nur aus Metadaten lernen kann.

Für einen ernsthafteren Schutz, insbesondere wenn dies in einer Art automatisiertem oder gemeinsam genutztem Setup ausgeführt wird, möchten Sie wahrscheinlich eher ein Disk-Image als ein solches Pass-Through-System verschlüsseln. Und Sie wollen wahrscheinlich auch keine Dropbox.

15
tylerl

Wie tylerl und user80945 bereits sagten, ist die Verwendung von EncFS in einer Dropbox nicht sicher. Weitere Informationen finden Sie in diesem Artikel .

Eine Alternative wäre CryFS . Es ist ein neues Open Source-Projekt, das nicht die Sicherheitslücken von EncFS aufweist und auch die Metadaten (z. B. Dateigrößen und Verzeichnisstruktur) verschlüsselt.

Haftungsausschluss: Ich bin einer der Entwickler von CryFS. Wir haben EncFS selbst in einer Dropbox verwendet und aufgrund der genannten Mängel eine Alternative entwickelt.

10
Heinzi

Wenn ich den Sicherheitsüberprüfungsbericht richtig verstehe, sollte man keine encfs zum Verschlüsseln von Dropbox verwenden: Dropbox speichert mehrere Versionen aller Dateien und dies kann für einen Angriff ausgenutzt werden.

Jeder, der Zugriff auf Ihr Dropbox-Konto hat, hat Zugriff auf diese verschiedenen Versionen. Ich weiß nicht, wie viele Versionen ein Angreifer benötigen würde, und ich bin kein Experte auf diesem Gebiet, daher kann ich die Auswirkungen nicht beurteilen.

8
user80945