GoCryptFS volwaardig alternatief voor VeraCrypt? - Linux en overige clients

dinsdag 23 augustus 2022 20:54

Acties:

0 Henk 'm!

Wat ook leuk is:

Topicstarter

Sommige bestanden op mijn NAS wil ik net iets beter beschermen tegen De Russische Hacker dan 99% van de bestanden; simpel gezegd zijn dat de bestanden waarmee men identiteitsdiefstal zou kunnen plegen.

Nu doe ik dat met VeraCrypt. De VeraCrypt container staat op de NAS en het bijbehorende keyfile staat op de computer. Het grootste nadeel van VeraCrypt is voor mij dat je vooraf moet vastleggen hoe groot de container is; dat is de grootte die hij heeft en vol=vol.

Ik ben nu aan het kijken naar een alternatief dat niet werkt met containers, maar op bestandsniveau. Zodoende kwam ik op GoCryptFS en dat lijkt me wel wat. Maar op Tweakers zie ik het (nog) maar 2 keer genoemd. ZIjn er meer mensen die dit de afgelopen jaren zijn gaan gebruiken als alternatief voor VeraCrypt?

Dit alles uiteraard in Linux.

Je installeert het vanuit de repository;
Met GoCryptFS mount je een folder, die gebaseerd is op een bestaande folder (-tree);
De ene folder is versleuteld, de andere is leesbaar, GoCryptFS zorgt voor on-the-fly versleutelen en ontsleutelen, bij lezen en schrijven in beide folders;
Normaal zijn de bestanden zoals ze op je schijf staan versleuteld;
„Reverse” staan de bestanden leesbaar op schijf en zijn ze via de GoCryptFS mount versleuteld.

[ Voor 27% gewijzigd door aawe mwan op 28-08-2022 08:44 ]

„Ik kan ook ICT, want heel moeilijk is dit niet”

zaterdag 27 augustus 2022 10:54

Acties:

0 Henk 'm!

swhnld

Hoeveel bestanden kun je hebben rond identiteit diefstal? Reserveer 1gb voor Veracrypt en je bent klaar?

Dat gezegd, leuk hobbyproject met GoCryptFS, maar iets wat zo obscuur is?

Heeft je NAS niet zelf de mogelijkheid tot een encrypted file systeem of container?

zaterdag 27 augustus 2022 11:06

Acties:

+1 Henk 'm!

PageFault

Dynamisch kan wel met veracrypt. Kijk onder het kopje dynamic:

https://documentation.hel...ting%20New%20Volumes.html

zaterdag 27 augustus 2022 11:33

Acties:

0 Henk 'm!

aawe mwan

Wat ook leuk is:

Topicstarter

swhnld schreef op zaterdag 27 augustus 2022 @ 10:54:
Dat gezegd, leuk hobbyproject met GoCryptFS, maar iets wat zo obscuur is?

GoCryptFS zit al jaren in de repositories van Debian, Ubuntu, Fedora en Arch.
Waarom noem jij het een obscuur hobbyproject ?

„Ik kan ook ICT, want heel moeilijk is dit niet”

zaterdag 27 augustus 2022 11:33

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

PageFault schreef op zaterdag 27 augustus 2022 @ 11:06:
Dynamisch kan wel met veracrypt. Kijk onder het kopje dynamic:

https://documentation.hel...ting%20New%20Volumes.html

Met wel een grote beperking daarbij:

The physical size of the container can only increase up to the maximum value that is specified by the user during the volume creation process. After the maximum specified size is reached, the physical size of the container will remain constant.

Dat is juist wat de TS niet wil, het wil geen max grootte vanaf het begin moeten opgeven. Als je dus het volume 100 MB dynamisch maakt, leuk, is het eerst een paar KB, dan een paar MB en uiteindelijk gegroeid tot de max 100 MB. Maar als dat dan te klein blijkt, kan je het niet zomaar vergroten tot 500 MB, 1 GB, etc. Je moet dan een nieuwe container maken.

Terwijl juist GoCryptFS dit zegt:

Also, the size of the encrypted filesystem is dynamic and only limited by the available disk space.

Er is geen standaard opgegeven maximum grootte wat je bij het opzetten instelt. Is je schijf 2 TB, dan kan je tot 2 TB gebruiken voor encrypted data. Maar heb je maar 500 GB vrij, dan is dat in zekere zin je beperking, totdat je wat ruimte vrij maakt of een andere schijf gaat gebruiken waar meer ruimte beschikbaar is.

Iets wat ik niet snel kon vinden, is of GoCryptFS ook weer verkleint als je data eruit haalt.

Commandline FTW | Tweakt met mate

zaterdag 27 augustus 2022 11:35

Acties:

0 Henk 'm!

PageFault

Je kunt toch het max bijv 4 TB maken? Dan begin je klein en groeit het naarmate het nodig is.

zaterdag 27 augustus 2022 11:43

Acties:

0 Henk 'm!

Hero of Time

Moderator LNX

There is only one Legend

PageFault schreef op zaterdag 27 augustus 2022 @ 11:35:
Je kunt toch het max bijv 4 TB maken? Dan begin je klein en groeit het naarmate het nodig is.

Kan, maar je wilt niet dat het zoals een dynamische schijf voor een VM alleen maar groeit, terwijl de werkelijke data erin niet veel verandert. Stel dat je 't max 4 TB maakt en je slaat er effectief 1 GB aan data in op. Je gooit een bestand weg en plaatst er een andere bij van ongeveer net zo groot, of je overschrijft een bestaande. De container kan dan groeien met meer dan wat er werkelijk in geschreven wordt.

Zo heb ik unencrypted disks gezien die waren gegroeid tot de maximale grootte van 20 GB, terwijl er nog geen 6 GB in stond. En in de loop der tijd ook nooit 20 GB heeft bevat, misschien hooguit 10 GB.

Ik heb geen ervaring met Veracrypt en hoe het met verwijderde bestanden om gaat intern, maar als het eenzelfde 'bug' heeft, is het juist gevaarlijk om een container te maken die zo groot is. Want dan zou je telkens die grootte aan het syncen zijn en dat wordt dan erg traag. Nog enigszins te doen als het op je NAS staat op je interne netwerk, maar zodra die weer met iets als Dropbox zou syncen voor off-site backup of wat dan ook, blijf je bezig. De bedoeling van een encrypted disk of bestand is dat het lastig is om gewijzigde data bij te houden, dus sparse updates zouden niet moeten kunnen.

Commandline FTW | Tweakt met mate

zaterdag 27 augustus 2022 12:01

Acties:

0 Henk 'm!

swhnld

aawe mwan schreef op zaterdag 27 augustus 2022 @ 11:33:
[...]
GoCryptFS zit al jaren in de repositories van Debian, Ubuntu, Fedora en Arch.
Waarom noem jij het een obscuur hobbyproject ?

Als het breed gebruikt wordt is er veel documentatie, how to's, noem maar op.
Als het maar 2 keer voorbij komt ergens, is het obscuur.

zaterdag 27 augustus 2022 12:03

Acties:

0 Henk 'm!

aawe mwan

Wat ook leuk is:

Topicstarter

Ik heb intussen enkele jaren praktijkervaring met VeraCrypt.

Bij VeraCrypt ben ik begonnen met containers van 700MB (destijds willekeurig gekozen) omdat ik dacht dat dit voor altijd groot genoeg zou zijn. Als je structureel elk jaar een paar .TXT bestanden toevoegt aan je container (bijvoorbeeld je belastingaangifte en je pensioenopbouw), dan is het een prima oplossing.

Eén praktijkprobleem met VeraCrypt is dat als je een container opent, ook al is het om alleen even in een documentje te kijken, dat er dan daardoor bytes in de container veranderen. Dan zullen dus de komende nacht ook de backups (3-2-1 principe) van die volledige container een update gaan krijgen. Je wilt zeker meerdere backups van de container bewaren en voor lange tijd, want het zijn per definitie belangrijke bestanden en omdat je niet zo vaak in de container komt, merk je het mogelijk pas na jaren als je last hebt van datacorruptie (in de praktijk helaas al meegemaakt) of als je zelf te veel hebt weggegooid.

In de praktijk vind ik containers van 700MB gewoon te groot om praktisch te zijn.

Ik ben overgegaan naar containers van 200MB, maar die zijn weer zo vol. Dus mijn laatste VeraCrypt idee dat ik had is een nieuwe container per kalenderjaar (elk jaar genoeg ruimte er bij en oude containers veranderen niet meer).

[ Voor 11% gewijzigd door aawe mwan op 27-08-2022 12:37 ]

„Ik kan ook ICT, want heel moeilijk is dit niet”

zaterdag 27 augustus 2022 23:12

Acties:

0 Henk 'm!

Frij5fd

Ik gebruik sinds een jaar GoCryptfs, voor de sync van bestanden met Onedrive. De developer is goed bereikbaar als je vragen hebt. Op basis van enkele reviews durfde ik het wel aan. Maar als het niet 100% bescherming biedt tegen sterke hackers, dan is er nog geen man overboord.
Het encrypten op bestandsniveau was voor mij ook de reden om het te gebruiken, omdat dan niet steeds een hele container geupload hoeft te worden. Maar het wordt wel als een zwakte gezien, omdat het attackers wel inzicht biedt in wat de interessante bestanden zouden kunnen zijn (ik wilde bestandsnamen intact houden zodat ik ook één bestand of map kan restoren buiten het device van waar ik de sync naar Onedrive doe

woensdag 7 september 2022 20:17

Acties:

0 Henk 'm!

i-chat

nadeel van gocryptFS is (niet als bij veel anderen) volgens mij wel een beetje dat het linux-only is, heb je een iphone of android en wil je een foto maken van je kind (voor de huisarts bijvoorbeeld) dan werkt je oplossing ineens niet meer. bovendien zou ik zeggen dat de beste oplossingen vaak zo simpel mogelijk zijn. dat wil zeggen cryptFS (of een van die soorten) op OS niveau in geval van linux, bij windows heb je weer andere oplossingen en voor cloud-based zaken zou ik dan ook iets kiezen dat overal op werkt. dan is cyberduck.io een hele handige oplossing omdat het 1 app is die voor bijna alle (behalve apple) cloud-opslag-aanbieders werkt, en intern gebruik maakt van cryptomator om (aan de kant van je cloudprovider alles encrypted op te slaan - maar lokaal dus niet (met als voordeel dat je dan dus ook lokaal geen system resources gebruikt voor decryptie terwijl je als het goed is je eigen systeem alleen afdoende beveiligd hebt tegen (data)diefstal.

PS. er zullen trouwens vast wel andere apps zijn, sommige beter of slechter, maar de reden om juist deze te noemen is: multi-os support en FOSS.

[ Voor 7% gewijzigd door i-chat op 07-09-2022 20:19 . Reden: ps ]

dinsdag 5 december 2023 17:15

Acties:

0 Henk 'm!

idef1x

i-chat schreef op woensdag 7 september 2022 @ 20:17:
nadeel van gocryptFS is (niet als bij veel anderen) volgens mij wel een beetje dat het linux-only is, heb je een iphone of android en ....

Kennelijk zijn er inmiddels wel 3rd party apps die gocryptfs implementeren:

Linux is fully supported. Beta-quality MacOS support is available, which means things usually work fine, but you may hit the odd issue (please file a ticket if you do!).

Third-party implementations exist for for

Windows: cppcryptfs
Android: DroidFS
Python: gocryptfs-inspect

zie: https://nuetzlich.net/gocryptfs/

Denk toch dat dit de grootste kanshebber is voor encryptie in containers (lxc in mijn geval)..