vcm

Proteggere i propri dati personali da accessi indesiderati è una esigenza sempre più diffusa e quotidiana. Le soluzioni sono molteplici, anche solo esaminando la piattaforma GNU/Linux. Ne proponiamo una, che ci sembra la più semplice, basata su EncFS.

Questo strumento è un filesystem per kernel Linux basato sul progetto FuSE. Tecnicamente si dovrebbe definire un filesystem overlay, ma non ci perderemo in questi dettagli, perché rovinerebbero il piacere di utilizzae questo semplicissimo software.

Prima di tutto, installiamo EncFS sul nostro sistema. Per gli utenti Debian e derivate (Ubuntu e altre) è sufficiente usare il comando:

$ apt-get install encfs

Il sistema ci fornirà il comando encfs pronto per l'uso. Per altre distribuzioni, consultare la documentazione a riguardo. Per installare il software dai sorgenti, bisogna prima scaricarlo dal sito, quindi decomprimere l'archivio con il comando:

$ tar xzf encfs-1.5.2.tgz

Bisogna quindi entrare nella directory del software e lanciare la sequenza di comandi per configurare i sorgenti e quindi compilarli:

$ cd encfs-1.5 
$ ./configure
$ make
$ make install

Ora che encfs è disponibile sul sistema, proviamo a creare uno spazio dati cifrato, cioè protetto da crittografia.

$ encfs ~/.cifrato ~/privato

Il primo parametro è invece il path dove encfs dovrà immagazzinare i dati in versione cifrata. Il secondo parametro che abbiamo dato a encfs è il path della directory nella quale vorremo accedere ai nostri dati. EncFS ci porrà alcune domande. Se le directory indicate non esistono ci chiederà se vogliamo crearle oppure no. Ci proporrà poi un menù per scegliere il tipo di configurazione da utilizzare. Le possibili varianti sono x per eXpert mode, p per Paranoia mode, e infine qualsiasi altro tasto per un profilo d'uso normale.

Creating new encrypted volume.
Please choose from one of the following options:
 enter "x" for expert configuration mode,
 enter "p" for pre-configured paranoia mode,
 anything else, or an empty line will select standard mode.
?> 

Dato che è la prima volta che usiamo EncFS premiamo semplicemente invio. Il risultato sarà simile al seguente:

 Standard configuration selected.

Configuration finished.  The filesystem to be created has
the following properties:
Filesystem cipher: "ssl/blowfish", version 2:1:1
Filename encoding: "nameio/block", version 3:0:1
Key Size: 160 bits
Block Size: 512 bytes
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.

Now you will need to enter a password for your filesystem.
You will need to remember this password, as there is absolutely
no recovery mechanism.  However, the password can be changed
later using encfsctl.

New Encfs Password: 

EncFS ci informa che l'algoritmo di cifratura scelto è blowfish, uno degli standard internazionalmente riconosciuti, che la dimensione della chiave sarà di 160 bit e che ciascun file contiene 8 byte di IV, ossia di Initialization Vector, un elemento che funziona da seme negli algoritmi crittografici. Non è necessario capire tutti questi concetti al primo utilizzo, ma se si è appassionati dal mondo della crittografia, sarà bene approfondirli prima o poi.

Infine EncFS ci invita a scegliere una password. Dovremo digitarla due volte per essere certi che sia corretta. La scelta della password è come sempre cruciale. La password che inseriremo servirà a cifrare la chiave con la quale EncFS cifrerà a sua volta i nostri dati. Scegliere la password sbagliata per una chiave robusta è esattamente come comprare una cassaforte con una combinazione inviolabile e poi scrivere quella combinazione su un post-it appeso al frigorifero. Per tanto, come sempre: attenzione alla password che si sceglie! Che non sia né troppo difficile da ricordare, così da non costringerci a scriverla, né troppo semplice da indovinare, inducendo un falso senso di sicurezza.

Dopo aver inserito la password due volte il filesystem è pronto e attivo, cosa che possiamo verificare con il comando:

$ mount | grep encfs
encfs on /home/tx0/privato type fuse.encfs (rw,nosuid,nodev,default_permissions,user=tx0)

Come si può notare, ogni filesystem encfs è collegato all'utente che lo ha attivato (montato, in gergo UNIX-Linux) e solo quell'utente potrà accedere al filesystem. Proviamo quindi a copiare un file in quella directory:

$ cp /etc/issue ~/privato 

Come ci attendiamo, nella directory ~/privato troviamo il file issue, Cosa c'è invece nella directory ~/.cifrato?

$ ls ~/.cifrato
OWjcMnNYXkPSS,

La sequenza di caratteri che troviamo è la versione cifrata del nome del file "issue". Dentro quel file ci sono tutti i contenuti diel file originale anch'essi opportunamente cifrati.

Per disattivare EncFS è sufficiente utilizzare il comando:

$ fusermount -u ~/.cifrato 

Se il sistema si rifiuta di disattivare EncFS, controllate che nessun programma, soprattutto le shell e i terminali, non stia operando all'interno della directory montata, nel nostro caso ~/privato. Un filesystem non può mai essere disattivato se anche un singolo programma lo tiene occupato.

Il filesystem è ora disattivato e i contenuti in esso custoditi non sono accessibili in forma leggibile. Infatti, se proviamo a controllare cosa c'è in ~/privato, quello che troviamo è:

$ ls ~/.privato
$

Nulla!

Come vedete, utilizzare EncFS è semplicissimo. I dati sono al sicuro e sono facilmente gestibili. Per eseguire un backup, è sufficiente copiare il contenuto della directory cifrata, nel nostro caso ~/.cifrato. I dati cifrati non sono leggibili se non utilizzando l'apposita chiave di blocco. Infatti, quando vorremo tornare ad usare i dati, EncFS ci chiederà nuvamente la password (e solo quella, dal momento che il filesystem viene configurato e inizializzato solo al primo utilizzo):

$ encfs ~/.cifrato ~/privato
EncFS Password: 

Questo è tutto. Alla prossima...