【51CTO.com快譯】從安全角度來看，云存儲(chǔ)本不該出現(xiàn)。問題是，它依賴用戶信任提供商的能力，但常常只有提供者的口頭保證。然而，云存儲(chǔ)對(duì)許多公司和個(gè)人來說太方便了，我們無法避免它。幸好，用戶只存儲(chǔ)加密的文件，可以重新獲得安全。

有眾多工具可用于云端加密，一些是專有的。但是這種解決方案還需要信任――它們只是將信任要求轉(zhuǎn)移給第三方，基本的安全要求用戶自行驗(yàn)證安全。

更好的解決方案是使用開源工具在將文件放入在線存儲(chǔ)之前對(duì)其進(jìn)行加密。Linux中，這方面最有用的三款工具是EncFS、Cryptomator和Tahoe-LAFS。顧名思義，這每一款工具都將在線存儲(chǔ)視為虛擬文件系統(tǒng)，不過它們的質(zhì)量差異很大。

1.EncFS

EncFS常用于創(chuàng)建加密的虛擬文件系統(tǒng)。如果你使用將遠(yuǎn)程目錄與本地目錄同步的存儲(chǔ)站點(diǎn)，它可以像本地環(huán)境一樣輕松地創(chuàng)建遠(yuǎn)程虛擬文件系統(tǒng)。比如使用Dropbox，設(shè)置一切的命令將是：

encfs ~/Dropbox/encrypted ~/Private 

該命令在主目錄中為加密文件創(chuàng)建一個(gè)目錄，為未加密文件創(chuàng)建另一個(gè)目錄。該命令通過詢問一系列問題來創(chuàng)建加密目錄。你可以按p鍵進(jìn)入默認(rèn)的偏執(zhí)模式，或按x鍵進(jìn)入專家模式，手動(dòng)選擇加密選項(xiàng)。專家問題解釋得很清楚，所以連新手也​應(yīng)該​毫不費(fèi)力地回答，只要接受默認(rèn)值即可。另外，可以使用--standard選項(xiàng)(使用預(yù)定義設(shè)置)運(yùn)行命令，跳過回答問題環(huán)節(jié)，該選項(xiàng)使用預(yù)定義設(shè)置。

用戶下次與Dropbox上的在線存儲(chǔ)同步時(shí)，加密目錄會(huì)添加到其中。添加到/ Private目錄的文件將自動(dòng)添加到~-Dropbox/-encrypted。

但請(qǐng)注意，EncFS無法防止提供商移動(dòng)或刪除文件。同樣，你在Debian“穩(wěn)定”版中安裝EncFS版本時(shí)，2014年的說明警告：它易受到對(duì)文件擁有讀寫訪問權(quán)限的用戶威脅，包括降低加密復(fù)雜性和使用時(shí)序分析。該問題在Testing存儲(chǔ)庫版本中的Testing存儲(chǔ)庫中似乎已得到解決，所以使用這一個(gè)。

圖1. EncFS的專家模式很清楚地解釋了大多數(shù)用戶應(yīng)該能夠使用它

2.Cryptomator

Cryptomator的工作流程在結(jié)構(gòu)上與EncFS非常相似。主要區(qū)別在于一些術(shù)語，比如在Cryptomator中，加密目錄叫“vault”。

Cryptomator的窗口打開后，顯示創(chuàng)建vault或打開vault的選項(xiàng)。當(dāng)然，Cryptomator運(yùn)行時(shí)，必須通過賦予路徑和密碼來創(chuàng)建vault?；氐酱蜷_的窗口，用戶可以打開vault，使用系統(tǒng)的文件管理器將文件拷貝到vault。添加到vault的所有文件會(huì)自動(dòng)加密。與EncFS一樣，用戶同步時(shí)，存放在Dropbox等存儲(chǔ)提供商的本地目錄中的vault將上傳到云端。

青睞EncFS還是Cryptomator取決于你的習(xí)慣。如果你想對(duì)加密過程擁有控制權(quán)，可能更喜歡EncFS。然而如果你更喜歡桌面應(yīng)用，更可能偏愛Cryptomator。

圖2. Cryptomator有一個(gè)圖形界面，所有人都可以使用加密功能

3.Tahoe-LAFS

Tahoe-LAFS提供最全面的解決方案。LAFS的全稱是“Least Authority FileSystem”，是指經(jīng)典原則：權(quán)力最小的文件系統(tǒng)。Tahoe基本上旨在為云存儲(chǔ)提供商提供對(duì)用戶數(shù)據(jù)盡可能小的控制。

首先，Tahoe使用2000位RSA公鑰自動(dòng)加密所有文件。它包括加密文件的選項(xiàng)以及使用Tor的選項(xiàng)。

然而，Tahoe的獨(dú)特之處在于分散文件的功能。用戶可以設(shè)置網(wǎng)格(服務(wù)器集合)用于存儲(chǔ)。該功能意味著文件實(shí)際上可以存儲(chǔ)在多臺(tái)服務(wù)器上。比如說，用戶可以將文件的一部分存儲(chǔ)在Dropbox上，將另一部分存儲(chǔ)在谷歌存儲(chǔ)服務(wù)上，那樣任何服務(wù)都無法完全控制該文件。想解密和打開文件，用戶必須訪問所有存儲(chǔ)帳戶。

另外，每個(gè)文件都可以防范服務(wù)器故障或任何其他數(shù)據(jù)丟失。默認(rèn)情況下，每個(gè)文件有10個(gè)部分或共享區(qū)，需要其中任何三個(gè)部分才能使用該文件。大多數(shù)共享區(qū)實(shí)際上可能會(huì)丟失，而文件仍可以檢索。每個(gè)文件上傳后，用戶可以將共享區(qū)調(diào)整到最多256個(gè)。較少的共享區(qū)需要較少的計(jì)劃，更多的共享區(qū)提供更高的安全性。針對(duì)上傳共享區(qū)的每個(gè)位置，Tahoe添加了文件上限，這個(gè)文件用于檢查加密密鑰完整性，查找其他共享區(qū)以及檢索文件。代替用戶信息或權(quán)限，對(duì)文件的訪問受到加密密鑰信息的管控。為了進(jìn)一步提高安全性，上傳的文件無法編輯，如果對(duì)其進(jìn)行任何更改，必須再次上傳。在每一步，存儲(chǔ)提供商都擁有最小權(quán)限，只是完全被動(dòng)的角色。

除了這種基本安排外，Tahoe還包括一個(gè)可選的Web界面和一個(gè)實(shí)用程序，后者告知用戶共享區(qū)的數(shù)量是否低于檢索所需的最小數(shù)量。還可以使用眾多的相關(guān)項(xiàng)目，包括備份工具、實(shí)用程序集以及與其他應(yīng)用程序(包括Puppet)一起使用的插件。

Tahoe需要戰(zhàn)略規(guī)劃，在上傳任何文件之前可能需要一些時(shí)間進(jìn)行設(shè)置。如果共享區(qū)數(shù)量或在線存儲(chǔ)位置方面沒有完善的策略，結(jié)果很容易變得混亂。然而一旦設(shè)置到位，Tahoe提供的安全性是非常高的。

圖3. TahoeLAFS有一個(gè)獨(dú)特的在線高級(jí)加密設(shè)置

原文標(biāo)題：Three encryption tools for the cloud，作者：Bruce Byfield

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請(qǐng)注明原文譯者和出處為51CTO.com】