Šifrovací programy a nástroje: Které jsou nejbezpečnější?
Na tomto webu jsme již nakousli poměrně dost možností ochrany dat pomocí šifrování, nyní je čas na shrnutí nabytých informací v přehledu výhod a nevýhod daných šifrovacích nástrojů (programů).
CryFS šifruje na úrovni souborů, data pak ukládá do malých bloků (kontejnerů), jedná se o ideální řešení když nechceme šifrovat celé diskové oddíly či používat dedikované bloky. (Jak používat cryFS šifrování).
VÝHODY:
NEVÝHODY:
LUKS (Linux Unified Key Setup) šifruje na úrovni bloků (diskové oddíly). Jedná se o dvouúrovňové šifrování, kdy je celé blokové zařízení zašifrováno hlavním klíčem, který je pak zašifrován uživatelským heslem. Osobně toto řešení používám téměř všude. (Článek o použití LUKS).
VÝHODY:
NEVÝHODY:
Veracrypt šifruje na úrovni bloků (diskové oddíly) a pak také na vyhrazeném místě v tzv. kontejnerech. (Článek o použití Veracryptu).
VÝHODY:
NEVÝHODY:
Šifrování pomocí GPG klíčů (PGP), řešení je vhodné např. na šifrování emailů, příloh, jednotlivých souborů. (Článek o použití GPG).
VÝHODY:
NEVÝHODY:
EncFS šifruje na úrovni souborů. V současné době asi nejuniversálnější řešení se snadným použitím, navíc vhodným pro všechny platformy. (Článek o použití EncFS). Celkové hodnocení však sráží dolu fakt, že dle auditu z roku 2014 pro verzi EncFS 1.7.4, se už bohužel nejedná o úplně bezpečnou techniku (viz EncFS Security Audit).
VÝHODY:
NEVÝHODY:
Bitlocker je vhodný k šifrování na úrovni bloků (diskové oddíly). Já mu nedůveřuji, dle mého názoru je vhodný tak akorát na nějaké to domácí šifrování... (Článek o použití Bitlockeru)
VÝHODY:
NEVÝHODY:
Další OpenSource, GNU, GPL, BSD šifrovací nástroje:
Nejbezpečnější šifrovací algoritmy:
TIP1:
TIP2:
TIP3 (pro LUKS):
Přílohy:
CryFS (90%)
CryFS šifruje na úrovni souborů, data pak ukládá do malých bloků (kontejnerů), jedná se o ideální řešení když nechceme šifrovat celé diskové oddíly či používat dedikované bloky. (Jak používat cryFS šifrování).
VÝHODY:
- + Šifruje obsah souborů
- + Šifruje metadata souborů
- + Šifruje velikost souborů
- + Šifruje adresářovou strukturu
- + Nejsou zatím známy slabiny CryFS
- + Opensource
- + Vhodné na cloudy třetích stran (Google Drive, One Drive, Dropbox)
NEVÝHODY:
- - Zatím není pro Windows a Mac OS (3.2018)
LUKS (90%)
LUKS (Linux Unified Key Setup) šifruje na úrovni bloků (diskové oddíly). Jedná se o dvouúrovňové šifrování, kdy je celé blokové zařízení zašifrováno hlavním klíčem, který je pak zašifrován uživatelským heslem. Osobně toto řešení používám téměř všude. (Článek o použití LUKS).
VÝHODY:
- + Opensource
- + Data jsou úplně nečitelná - je šifrovaný celý oddíl
- + Kompatibilita možná i s Windows (FreeOTFE) a Androidem (EDS)
- + Vzdálené vyplnění klíče při bootu pomocí dropbear
NEVÝHODY:
- - Šifrování pouze na úrovni bloků
Veracrypt / Truecrypt / zuluCrypt (75%)
Veracrypt šifruje na úrovni bloků (diskové oddíly) a pak také na vyhrazeném místě v tzv. kontejnerech. (Článek o použití Veracryptu).
VÝHODY:
- + Kompatibilita mezi OS Windows, Linux, Android (EDS), iOS (Crypto Disks)
- + Velké množství šifrovacích algorytmů (AES, Serpent, Twofish, Camellia, Kuznyechik + jejich kombinace)
- + Možné použití i na systémové oddíly (Windows)
NEVÝHODY:
- - Nutné předem určit velikost zabraného místa
GPG (65%)
Šifrování pomocí GPG klíčů (PGP), řešení je vhodné např. na šifrování emailů, příloh, jednotlivých souborů. (Článek o použití GPG).
VÝHODY:
- + Kompatibilita možná i s Windows (GNU Privacy Assistant)
- + Použitelné i na šifrování emailů (doplňky pro Thunderbird či Outlook)
NEVÝHODY:
- - Krkolomné použití na větší počet souborů - nevím o utilitě pro použití na adresáře
EncFS v1 (40%)
EncFS šifruje na úrovni souborů. V současné době asi nejuniversálnější řešení se snadným použitím, navíc vhodným pro všechny platformy. (Článek o použití EncFS). Celkové hodnocení však sráží dolu fakt, že dle auditu z roku 2014 pro verzi EncFS 1.7.4, se už bohužel nejedná o úplně bezpečnou techniku (viz EncFS Security Audit).
VÝHODY:
- + opensource (LGPL licence)
- + vhodné na všemožné free cloudy
- + podpora šifer AES a Blowfish (zastaralá)
- + vhodné na přenosná média (USB disky, karty atd.)
- + možnost FS kontroly přes klasické utility fsck či chkdsk
- + není nutné dělat dedikované kontejnery či diskové oddíly
- + kompatibilita mezi OS Linux, Windows (EncFS MP), iOS, Android (Encdroid)
- + není nutné dešifrovat celé soubory (např. při přehrávání velkého video souboru)
NEVÝHODY:
- - nic, snad jen omezení názvu souborů na 190 bajtů
Bitlocker (30%)
Bitlocker je vhodný k šifrování na úrovni bloků (diskové oddíly). Já mu nedůveřuji, dle mého názoru je vhodný tak akorát na nějaké to domácí šifrování... (Článek o použití Bitlockeru)
VÝHODY:
- + Velmi snadné nastavení a použití
- + Vhodný i na externí média
NEVÝHODY:
- Proprietární (uzavření) nástroj (od Microsoftu)
- Patrně obsahuje backdoory
- Snadný bypass Bitlockeru (používaný např. během updatů windows) - stále mu věříte?
Další OpenSource, GNU, GPL, BSD šifrovací nástroje:
Aloaha Crypt Disk, CipherShed, CrossCrypt, CryptSync, DiskCryptor, Cryptsetup, dm-crypt, Dmsetup, Duplicity (GPG), FreeOTFE, LibreCrypt, Loop-AES, ProxyCrypt, Scramdisk, Softraid
Nejbezpečnější šifrovací algoritmy:
Rijndael: 86 positive, 10 negative
Serpent: 59 positive, 7 negative
Twofish: 31 positive, 21 negative
TIP1:
U hodně citlivých dat je možné použít více šifrovacích technik přes sebe. Např. na Windows můžete mít celý oddíl zašifrovaný BitLockerem a dále ještě extra citlivá data můžete projet přes EncFS či Veracrypt...
TIP2:
Dávejte si při šifrování pomocí GPG klíčů pozor, zda máte hodně dobře zabezpečený i stroj, kde jste klíče generovali... V nedávné době se stal případ, že uživatelé vesele šifrovali a měli pocit bezpečí, avšak všechny GPG klíče byly vygenerovány na serveru, který zašifrován nebyl a všechna jejich data pak byla zpětně bez problému dešifrována :-)
TIP3 (pro LUKS):
less /proc/crypto- informace o základních šifrovacích možnostechcryptsetup luksDump /dev/sda2- podrobné informace o aktuálním LUKS šifrovánícryptsetup luksHeaderBackup /dev/sda2- záloha LUKS hlavičky--header-backup-file /mnt/hdd/backup.img cryptsetup luksErase /dev/sda2- nekompromisně zničí všechny LUKS hlavičkycryptsetup benchmark- benchmark šifrovacích algoritmůcryptsetup luksChangeKey /dev/sda2- změna LUKS hesla (passphrase), alt. lze přes Gnome-disk-utility
Přílohy:
