Encfs

Un article de Wiki de la communauté Mandriva.

Encfs permet de créer, facilement, des systèmes de fichiers chiffrés en tant que simple utilisateur.

Sommaire 1 Installation 2 Utilisation 3 Un script pour KDE 4 D'autres outils

[modifier] Installation

Le paquetage encfs se trouve sur la source contrib.

Après l'installation, le système ne positionne pas correctement les permissions sur /dev/fuse. Il faut donc :

• soit redémarrer la machine
• soit les modifier en lançant en tant que root :

chmod +rw /dev/fuse

[modifier] Utilisation

A partir de maintenant, tout peut être fait par un utilisateur «simple» (non root) du système.

Pour commencer, il faut créer un répertoire dont les documents seront chiffrés. Le répertoire ~/.crypted contiendra les versions chiffrés des documents placés dans ~/decrypted. Il contiendra aussi un fichier ~/.crypted/.encfs5 qu'il ne faut surtout pas effacer : il permet à encfs de déchiffrer vos documents.

$ encfs ~/.crypted ~/decrypted
Le répertoire "/home/chat-loupe/.crypted/" n'existe pas. Faut-il le créer ? (y/n) y
Le répertoire "/home/chat-loupe/decrypted" n'existe pas. Faut-il le créer ? (y/n) y
Création du nouveau volume encrypté.
Veuillez choisir l'une des options suivantes :
 entrez "x" pour le mode de configuration expert,
 entrez "p" pour le mode paranoïaque préconfiguré,
 toute autre entrée ou une ligne vide sélectionnera le mode normal.
?>

Configuration normale sélectionnée.

Configuration terminée. Le système de fichier à créer a les propriétés suivantes :
Chiffrement de système de fichiers "ssl/blowfish", version 2:1:1
Encodage de fichier "nameio/block", version 3:0:1
Taille de clé : 160 bits
Taille de bloc : 512 octets
Chaque fichier contient un en-tête de 8 octets avec des données IV uniques.
Noms de fichier encodés à l'aide du mode de chaînage IV.

Vous devez entrer un mot de passe pour votre système de fichiers.
Vous devez vous en souvenir, car il n'existe aucun mécanisme de récupération.
Toutefois, le mot de passe peut être changé plus tard à l'aide d'encfsctl.

Nouveau mot de passe :
Vérifier le mot de passe :

Vous pouvez désormais placer vos précieux documents dans ~/decrypted :

$ echo "Je préfère X à Y" > decrypted/mon-secret.txt

$ ls decrypted/
mon-secret.txt

$ cat ~/decrypted/mon-secret.txt
Je préfère X à Y

Vos documents restent lisibles par toute personne accédant à votre machine, tant que le système de fichiers de type fuse est monté :

$ mount | grep fuse
none on /sys/fs/fuse/connections type fusectl (rw)
encfs on /home/chat-loupe/decrypted type fuse (rw,nosuid,nodev,default_permissions,user=chat-loupe)

Pour démonter le système de fichiers, il faut lancer la commande suivante :

$ fusermount -u ~/decrypted/

Les documents ont «disparus» de ~/decrypted mais restent chiffrés dans ~/.crypted :

$ ls ~/decrypted/

$ ls ~/.crypted
Qf79nNAOplBGEsd1tGhhoVg4

Pour les retrouver, il faut monter à nouveau le système de fichiers :

$ encfs ~/.crypted/ ~/decrypted/
Mot de passe :

$ cat decrypted/mon-secret.txt
Je préfère X à Y

[modifier] Un script pour KDE

Voici un script shell, prévu pour KDE, qui est à associer à une icône du bureau. Cette icône fonctionnera comme un interrupteur : si le répertoire chiffré est monté, celui-ci sera démonté, et vice-versa. L'icône prend un aspect approprié (configurable).

#!/bin/bash

############################################################

# répertoires
CRYPT="$HOME/.crypted"
DECRYPT="$HOME/decrypted"

# fichier desktop
DESKTOP_FILE="$HOME/Desktop/encfs.desktop"

# nom de l'icône "état chiffré"
ICON_CRYPT="folder_locked"
# nom de l'icône "état ouvert"
ICON_DECRYPT="folder_red"

#############################################################

if [ "$(mount | grep encfs)" ]; then
    # -> démontage
    fusermount -u "$DECRYPT"
    if [ -f "$DESKTOP_FILE" ]; then
        sed -i -e "s/^Icon=.*/Icon=$ICON_CRYPT/" "$DESKTOP_FILE"
    fi
    echo "répertoire chiffré démonté"
else
    # -> montage
    kdialog --title "Accès au répertoire chiffré" --password "Mot de passe ?" | encfs -S "$CRYPT" "$DECRYPT"
    if [ -f "$DESKTOP_FILE" ]; then
        sed -i -e "s/^Icon=.*/Icon=$ICON_DECRYPT/" "$DESKTOP_FILE"
    fi
    echo "répertoire chiffré monté"
fi

Pour mettre en place ce script shell :

• Enregistrez-le dans un fichier et ajustez les paramètres à votre propre cas; autrement dit, modifiez les lignes commençant par :

CRYPT=
DECRYPT=

en y plaçant le chemin de vos répertoires.

• Rendez le fichier exécutable (cf Permissions)
• Faites un clic droit sur le bureau et choisissez "Créer un nouveau -> Lien vers une application".
• Dans l'onglet "Général", mettez un nom parlant : c'est le texte qui apparaitra sous l'icône. C'est aussi le nom du fichier .desktop qui sera enregistré par KDE dans $HOME/Desktop. Si vous mettez autre chose que "encfs", il vous faudra éditer la ligne :

DESKTOP_FILE=

dans le script shell en y plaçant le chemin de votre fichier .desktop.

• Dans l'onglet "Application", sur la ligne "Commande", écrivez le chemin du script shell ou bien simplement le nom du fichier si vous l'avez mis dans votre PATH.
• Validez.

[modifier] D'autres outils

Ces outils n'ont pas encore été testés.

• un script shell, basé sur gksudo et zenity (Gnome) pour monter et démonter votre répertoire chiffré
• k-encfs : une applet dans la zone de notification de KDE pour monter et démonter un répertoire chiffré.