Šifrovací programy a nástroje: Které jsou nejbezpečnější?

03.03.2018 napsal Hanz (update: 03.12.2018)
3

Šifrovací programy a nástroje: Které jsou nejbezpečnější?


Na tomto webu jsme již nakousli poměrně dost možností ochrany dat pomocí šifrování, nyní je čas na shrnutí nabytých informací v přehledu výhod a nevýhod daných šifrovacích nástrojů (programů).


CryFS (90%)


CryFS šifruje na úrovni souborů, data pak ukládá do malých bloků (kontejnerů), jedná se o ideální řešení když nechceme šifrovat celé diskové oddíly či používat dedikované bloky. (Jak používat cryFS šifrování).


VÝHODY:

  • + Šifruje obsah souborů

  • + Šifruje metadata souborů

  • + Šifruje velikost souborů

  • + Šifruje adresářovou strukturu

  • + Nejsou zatím známy slabiny CryFS

  • + Opensource

  • + Vhodné na cloudy třetích stran (Google Drive, One Drive, Dropbox)


NEVÝHODY:

  • - Zatím není pro Windows a Mac OS (3.2018)



LUKS (90%)


LUKS (Linux Unified Key Setup) šifruje na úrovni bloků (diskové oddíly). Jedná se o dvouúrovňové šifrování, kdy je celé blokové zařízení zašifrováno hlavním klíčem, který je pak zašifrován uživatelským heslem. Osobně toto řešení používám téměř všude. (Článek o použití LUKS).


VÝHODY:

  • + Opensource

  • + Data jsou úplně nečitelná - je šifrovaný celý oddíl

  • + Kompatibilita možná i s Windows (FreeOTFE) a Androidem (EDS)

  • + Vzdálené vyplnění klíče při bootu pomocí dropbear


NEVÝHODY:

  • - Šifrování pouze na úrovni bloků




Veracrypt / Truecrypt / zuluCrypt (75%)


Veracrypt šifruje na úrovni bloků (diskové oddíly) a pak také na vyhrazeném místě v tzv. kontejnerech. (Článek o použití Veracryptu).


VÝHODY:

  • + Kompatibilita mezi OS Windows, Linux, Android (EDS), iOS (Crypto Disks)

  • + Velké množství šifrovacích algorytmů (AES, Serpent, Twofish, Camellia, Kuznyechik + jejich kombinace)

  • + Možné použití i na systémové oddíly (Windows)


NEVÝHODY:

  • - Nutné předem určit velikost zabraného místa



GPG (65%)


Šifrování pomocí GPG klíčů (PGP), řešení je vhodné např. na šifrování emailů, příloh, jednotlivých souborů. (Článek o použití GPG).


VÝHODY:

  • + Kompatibilita možná i s Windows (GNU Privacy Assistant)

  • + Použitelné i na šifrování emailů (doplňky pro Thunderbird či Outlook)


NEVÝHODY:

  • - Krkolomné použití na větší počet souborů - nevím o utilitě pro použití na adresáře



EncFS v1 (40%)


EncFS šifruje na úrovni souborů. V současné době asi nejuniversálnější řešení se snadným použitím, navíc vhodným pro všechny platformy. (Článek o použití EncFS). Celkové hodnocení však sráží dolu fakt, že dle auditu z roku 2014 pro verzi EncFS 1.7.4, se už bohužel nejedná o úplně bezpečnou techniku (viz EncFS Security Audit).


VÝHODY:

  • + opensource (LGPL licence)

  • + vhodné na všemožné free cloudy

  • + podpora šifer AES a Blowfish (zastaralá)

  • + vhodné na přenosná média (USB disky, karty atd.)

  • + možnost FS kontroly přes klasické utility fsck či chkdsk

  • + není nutné dělat dedikované kontejnery či diskové oddíly

  • + kompatibilita mezi OS Linux, Windows (EncFS MP), iOS, Android (Encdroid)

  • + není nutné dešifrovat celé soubory (např. při přehrávání velkého video souboru)


NEVÝHODY:

  • - nic, snad jen omezení názvu souborů na 190 bajtů



Bitlocker (30%)


Bitlocker je vhodný k šifrování na úrovni bloků (diskové oddíly). Já mu nedůveřuji, dle mého názoru je vhodný tak akorát na nějaké to domácí šifrování... (Článek o použití Bitlockeru)


VÝHODY:

  • + Velmi snadné nastavení a použití

  • + Vhodný i na externí média


NEVÝHODY:

  • Proprietární (uzavření) nástroj (od Microsoftu)

  • Patrně obsahuje backdoory

  • Snadný bypass Bitlockeru (používaný např. během updatů windows) - stále mu věříte?





Další OpenSource, GNU, GPL, BSD šifrovací nástroje:

Aloaha Crypt Disk, CipherShed, CrossCrypt, CryptSync, DiskCryptor, Cryptsetup, dm-crypt, Dmsetup, Duplicity (GPG), FreeOTFE, LibreCrypt, Loop-AES, ProxyCrypt, Scramdisk, Softraid


Nejbezpečnější šifrovací algoritmy:

Rijndael: 86 positive, 10 negative
Serpent: 59 positive, 7 negative
Twofish: 31 positive, 21 negative


TIP1:

U hodně citlivých dat je možné použít více šifrovacích technik přes sebe. Např. na Windows můžete mít celý oddíl zašifrovaný BitLockerem a dále ještě extra citlivá data můžete projet přes EncFS či Veracrypt...


TIP2:

Dávejte si při šifrování pomocí GPG klíčů pozor, zda máte hodně dobře zabezpečený i stroj, kde jste klíče generovali... V nedávné době se stal případ, že uživatelé vesele šifrovali a měli pocit bezpečí, avšak všechny GPG klíče byly vygenerovány na serveru, který zašifrován nebyl a všechna jejich data pak byla zpětně bez problému dešifrována :-)


TIP3 (pro LUKS):



  • less /proc/crypto - informace o základních šifrovacích možnostech

  • cryptsetup luksDump /dev/sda2 - podrobné informace o aktuálním LUKS šifrování

  • cryptsetup luksHeaderBackup /dev/sda2 --header-backup-file /mnt/hdd/backup.img - záloha LUKS hlavičky

  • cryptsetup luksErase /dev/sda2 - nekompromisně zničí všechny LUKS hlavičky

  • cryptsetup benchmark - benchmark šifrovacích algoritmů

  • cryptsetup luksChangeKey /dev/sda2 - změna LUKS hesla (passphrase), alt. lze přes Gnome-disk-utility




Přílohy:




Vaše reakce na článek Šifrovací programy a nástroje: Které jsou nejbezpečnější?

Napsat komentář k článku

Tento web používá k poskytování služeb, personalizaci reklam a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tím souhlasíte. Další informace