Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Chiffrer des documents simplement avec Encfs

cep

Exemple d'utilisation d'encfs pour chiffrer des documents simplement sur tous les systèmes de fichiers.
En fin de poste, voir l'utilisation sur un système de fichiers ntfs monté en écriture avec fuse ( http://forum.ubuntu-fr.org/viewtopic.php?id=37789 )

Il existe plusieurs solutions pour chiffrer une partition.
Voir pour cela :
http://forum.ubuntu-fr.org/viewtopic.php?id=20840

Mais nous allons voir une solution simple à mettre en oeuvre pour cryper des documents de manière tout à fait fiable, en déposant les documents dans l'espace de l'utilisateur, ou à tout autre endroit, sans avoir à déterminer à l'avance la taille à réserver à ces documents confidentiels.

On installe fuse-utils :

:~$ sudo apt-get install fuse-utils

On installe encfs ( ceci installera aussi librlog1c2a )

:~$ sudo apt-get install encfs

On ajoute le module fuse dans /etc/modules afin qu'il soit actif au démarrage :

:~$ sudo sh -c "echo fuse >> /etc/modules"

(ou autre méthode echo fuse | sudo tee -a /etc/modules)

Pour ne pas avoir à rebooter, on fait prendre en charge le module :

:~$ sudo modprobe fuse

On ajoute son user au groupe fuse (user cep dans mon exemple)

:~$ sudo adduser cep fuse

On vérife ensuite que son user fait bien partie du groupe fuse

:~$ grep "fuse" "/etc/group"
fuse:x:118:cep

En une seule commande on va créer le répertoire avec "système de fichier crypté" ~/.coffre et le répertoire de travail ~/coffre_open :

:~$ encfs /home/cep/.coffre/ /home/cep/coffre_open
Le répertoire "/home/cep/.coffre/" n'existe pas. Faut-il le créer ? (y/n) y
Le répertoire "/home/cep/coffre_open" n'existe pas. Faut-il le créer ? (y/n) y
Création du nouveau volume encoffreé.
Veuillez choisir l'une des options suivantes :
entrez "x" pour le mode de configuration expert,
entrez "p" pour le mode paranoïaque préconfiguré,
toute autre entrée ou une ligne vide sélectionnera le mode normal.
?> p

Configuration paranoïaque sélectionnée.

Configuration terminée. Le système de fichier à créer a les propriétés suivantes :
Chiffrement de système de fichiers "ssl/aes", version 2:1:1
Encodage de fichier "nameio/block", version 3:0:1
Taille de clé : 256 bits
Taille de bloc : 512 octets, y compris 8 octets d'en-tête MAC.
Chaque fichier contient un en-tête de 8 octets avec des données IV uniques.
Noms de fichier encodés à l'aide du mode de chaînage IV.
Les données IV du fichier sont chaînées à celles du nom de fichier

-------------------------- AVERTISSEMENT --------------------------
The external initialization-vector chaining option has been
enabled. This option disables the use of hard links on the
filesystem. Without hard links, some programs may not work.
The programs 'mutt' and 'procmail' are known to fail. For
more information, please see the encfs mailing list.
If you would like to choose another configuration setting,
please press CTRL-C now to abort and start over.

Vous devez entrer un mot de passe pour votre système de fichiers.
Vous devez vous en souvenir, car il n'existe aucun mécanisme de récupération.
Toutefois, le mot de passe peut être changé plus tard à l'aide d'encfsctl.

Nouveau mot de passe : votre_passe
Vérifier le mot de passe : votre_passe

Il suffit de répondre aux questions et de choisir un mot de passe.
Ensuite on peut travailler sans problème dans le répertoire ~/coffre_open, les documents sont visibles dans ce répertoire.
Lorsqu'on a fini de travailler, il suffit de "démonter" ce répertoire par la commande :

fusermount -u /home/cep/coffre_open

Exemple d'utilisation en créant le fichier test.txt dans le répertoire coffre_open :

:

~$ echo "utilisation encfs ubuntu" > ~/coffre_open/test.txt
:~$ vdir ~/.coffre/ ~/coffre_open/
/home/cep/.coffre/:
total 4
-rw-r--r-- 1 cep cep 41 2006-07-19 18:25 dsA3EkGKsv,OE,9MvpWogqF7

/home/cep/coffre_open/:
total 4
-rw-r--r-- 1 cep cep 25 2006-07-19 18:25 test.txt

On démonte coffre_open
:~$ fusermount -u /home/cep/coffre_open

On vérifie que le fichier n'est plus visible :
:~$ vdir ~/.coffre/ ~/coffre_open/
/home/cep/.coffre/:
total 4
-rw-r--r-- 1 cep cep 41 2006-07-19 18:25 dsA3EkGKsv,OE,9MvpWogqF7

/home/cep/coffre_open/:
total 0

Après avoir démonté /home/coffre_open le document test.txt n'est plus affiché.
Pour pouvoir travailler à nouveau sur ce document ou en créer d'autres, il suffit de remonter ~/coffre_open

:~$ encfs /home/cep/.coffre/ /home/cep/coffre_open
Mot de passe :
:~$ ls ~/.coffre/ ~/coffre_open/
/home/cep/.coffre/:
dsA3EkGKsv,OE,9MvpWogqF7

/home/cep/coffre_open/:
test.txt
:~$ mount |grep encfs
encfs on /home/cep/coffre_open type fuse (rw,nosuid,nodev,default_permissions,user=cep)

L'utilisation est vraiment très simple et fiable :
Chiffrement de système de fichiers "ssl/aes", version 2:1:1
Encodage de fichier "nameio/block", version 3:0:1
Taille de clé : 256 bits

*** Ne pas supprimer le (les) fichier .encfs5

*** si vous devez faire une sauvegarde des répertoires de travail encfs (répertoire chiffré et répertoire ouvert), il faut penser à sauvegarder aussi le fichier .encfs5 correspondant.

Pour plus de détails lire le man encfs et less /usr/share/doc/encfs/README.gz
http://arg0.net/wiki/encfs
http://sourceforge.net/mailarchive/forum.php?forum=encfs-users

Solution Windows :
http://www.crc32.net/encfs/

- - - - - - - -
Exemple d'utilisation sur NTFS

:~$ encfs /mnt/ntfs/coffre/ /mnt/ntfs/coffre_open
Le répertoire "/mnt/ntfs/coffre/" n'existe pas. Faut-il le créer ? (y/n) y
Le répertoire "/mnt/ntfs/coffre_open" n'existe pas. Faut-il le créer ? (y/n) y
. . . etc. etc.

Test en créant le fichier test.txt
:~$ echo "utilisation encfs ntfs" > /mnt/ntfs/coffre_open/test.txt
:~$ vdir /mnt/ntfs/coffre_open/ /mnt/ntfs/coffre/
/mnt/ntfs/coffre/:
total 0
-rw-rw-rw- 1 cep cep 39 2006-07-20 09:40 2BMnDbR0F0bjfEI0,yp-9cIp

/mnt/ntfs/coffre_open/:
total 0
-rw-rw-rw- 1 cep cep 23 2006-07-20 09:40 test.txt
:~$ mount |grep encfs
encfs on /home/cep/coffre_open type fuse (rw,nosuid,nodev,default_permissions,user=cep)
encfs on /mnt/ntfs/coffre_open type fuse (rw,nosuid,nodev,default_permissions,user=cep)
:~$ fusermount -u /mnt/ntfs/coffre_open
:~$ ls /mnt/ntfs/coffre*
/mnt/ntfs/coffre:
2BMnDbR0F0bjfEI0,yp-9cIp

/mnt/ntfs/coffre_open:

Voir les adresses données plus haut pour utiliser encfs sous Windows.

ÉDIT 14/01/07 :
pour ceux qui veulent automatiser certaines étapes, voir le script de ratur sur sa page web :
http://ratur.ovh.org/index.php?post/2006/08/22/Cryptez-vos-donnees-avec-Encfs-et-Fuse

ÉDIT 15/01/07 :
en cas de problème de permission sur /dev/fuse vérifier les droits du dossier :
ls -l /dev/fuse qui doit appartenir à root son_user
Si ce n'est pas le cas :
sudo chown root:son_user /dev/fuse
pour modifier les droits et on doit avoir par exemple :
:~$ ls -l /dev/fuse
crw-rw---- 1 root cep 10, 229 2007-01-15 13:18 /dev/fuse

Ratur

C'est fou tout ce qu'on peut faire avec fuse 😃

Merci pour ce how-to 😉

toularchoat

tous les dvd-r graves mis dans D n apparaient nul part donc ne sont pas lisibles que puis je faire pour resoudre ce probleme et surtout comprendre ce qui se passe vraiment

cep

Une remarque :
- si vous devez faire une sauvegarde des répertoires de travail encfs (répertoire chiffré et répertoire ouvert), il faut penser à sauvegarder aussi le fichier .encfs5 correspondant.

(je l'ajoute au tuto).

Yumo

Salut cep, merci pour ce petit tuto même si il y a maintenant la documentation a ce sujet.
Voilà je vien poster ici un problème (est ce la?)
Donc je fait tout ce que tu as fait jusqu'à écrire un mot de passe, voila mon problème:

Nouveau mot de passe : 
Vérifier le mot de passe : 
fuse: failed to exec fusermount: Permission non accordée
Erreur de fuse. Problèmes courants :
 - module noyau fuse non installé (faites "modprobe fuse")
 - options invalides -- voir le message d'utilisation

Je tien à préciser que "modprobe fuse", c'est fait,
je lis bien options (oO).... et message d'utilisation, il s'agit de l'avertissement?

Encore merci )=

Polo

j'avais le même problème. J'ai viré les repertoires créés (.coffre et coffre_open dans le tuto), j'ai redémarré, et puis j'ai refait la manip 'encfs /home/<user>/.coffre .... ', et la ca a marché.

très bon ce tuto !! merci cep

roger64

@cep
merci pour ce tuto simple.

Une question: je ne suis pas très au courant de ces questions de module. Que se passe t-il lors d'une mise à jour du kernel? Y a t-il des mesures à prendre?

cep

Bonjour,

Vérifier que le module fuse est bien la ( lsmod |grep fuse) et que l'user a les droits requis (grep "fuse" "/etc/group")

Voir aussi si .encfs5 est bien présent dans le répertoire de l'user, mais c'est plutôt un problème de droits sur fuse (fusermount . . . )

Enfin voir si le problème persisite après redémarrage. Au besoin je ferai des tests sur une festy.

@ roger64 : aucun problème lors des mises à jour, c'est transparent, tout comme pour cryptsetup.

Bonne continuation.
cep

Yumo

Merci bien cep! Sa marche, c'était bien a cause des droit de fuse : j'étais en fuse:x:116:niki
Encore bravo pour e tuto, qui est, je trouve, plus facile que celui de la doc.

roger64

@cep

Bon, à part la même remarque que Yumo et la même solution que Polo, ça fonctionne très bien et c'est très simple. L'essayer, c'est l'adopter. 🙂

J'avais une solution avec Truecrypt qui fonctionne aussi très bien mais qui exige soit une recompilation, soit l'installation d'une version adaptée à chaque changement de version d'Ubuntu (Dapper > Edgy > Feisty) ce qui est fastidieux, car cela se passe justement au moment où l'on a plein d'autres choses à faire.

Je me permets de résumer pour le débutant qui peut être dérouté par la démonstration en console et par certaines commandes et qui va sûrement préférer travailler en graphique:

Une fois l'installation faite comme dans le tuto (rien à enlever, rien à rajouter)
(vous avez donc créé coffre et coffre_open ) et redémarré l'ordinateur :

UTILISATION

Ouvrez Nautilus, mettez dans le dossier coffre_open un très_gros_fichier

> pour DEMONTER (Chiffrement): tapez dans votre terminal:

fusermount -u /home/cep/coffre_open

et votre très_gros_fichier disparaît.

> pour MONTER (Déchiffrement): tapez dans votre terminal:

encfs /home/cep/.coffre/ /home/cep/coffre_open

puis tapez le mot de passe et votre très_gros_fichier réapparait dans le dossier coffre_open.

NB: si un débutant me le demande, je précise qu'il est possible de créer un alias, par exemple simplement coffre pour démonter et decoffre pour monter.

NB2: cep va avoir des pbes avec le fisc, c'est pas normal qu'il ait créé tant de coffres...

La France avance...

EDIT: bon, j'ai regardé la page encfs du wiki. Il y a aussi tout ce qu'il faut...

cep

roger64 a écrit. . .
Je me permets de résumer pour le débutant qui peut être dérouté par la démonstration en console .
[couic . . . ]
> pour DEMONTER (Chiffrement): tapez dans votre terminal:

fusermount -u /home/cep/coffre_open

> pour MONTER (Déchiffrement): tapez dans votre terminal:

encfs /home/cep/.coffre/ /home/cep/coffre_open

Si tu résumes ainsi, va y avoir du passage chez moi 🙂

Donc plutôt :
fusermount -u /home/ton_user/coffre_open

encfs /home/ton_user/.coffre/ /home/ton_user/coffre_open

Et bien vérifier que l'user ait les droits requis dans le groupe fuse comme le précise Yumo.

Bonne continuation.

cep

Yumo

roger64 a écritNB2: cep va avoir des pbes avec le fisc, c'est pas normal qu'il ait créé tant de coffres...

La France avance...

:lol:
Daccord mais où? .......:mad:

Désolé pour cette simple parenthèse qui, elle, ne fait pas avancer la france :x !

Je profite de ce message pour montrer comment Monter/Démonter facilement rien qu'avec le lanceur d'app.(Alt+F2)

Ici avec ~/.coffre et ~/coffre_open

Pour DEMONTER (Chiffrement):
Alt+F2; entrer "fusermount -u /home/Votre_home/coffre_open"

Puis pour MONTER (Déchiffrement):
Alt+F2; entrer "encfs /home/votre_home/.coffre/ /home/votre_home/coffre_open"; Et cochez "lancer dans un terminal"

J'ai fait deux scripts (lanceurs):

Pour DEMONTER (chiffrement):
On va le faire avec le terminal:
Ouvrez le terminal.

cd ~/.gnome2/nautilus-scripts

On est dans le répertoire où on va mettre le script.
On va appeler coffre le script pour démonter votre ~/coffre_open (il faut impérativement avoir fait ce que cep a montrer dans son tuto.)

gedit coffre

Je copie:

fusermount -u /home/*votre_home*/coffre_open

(ce qui est entre * * est a modifier par votre home)

Maintenant on enregistre coffre.

Clique droit sur coffre, propriété, Permission(onglet), cochez "Autorisez l'éxecution du fichier"
Voila.

Pour MONTER (déchiffrement):
On reste dans ~/nautilus-scripts
On va appeler ce script décoffre
comme tout à l'heure:

gedit décoffre

Je copie:

gksudo -p -m "Entrez le mot de passe" | encfs -S /home/votre_home/.coffre/ /home/votre_home/coffre_open

On l'enregistre et Clique droit sur coffre, propriété, Permission(onglet), cochez "Autorisez l'éxecution du fichier"
On le lance et on marque le mot de passe de encfs.

Pourquoi les avoir mis dans ~/.gnome2/nautilus-scripts?
Comme ça lorsque vous cliquez droit sur le bureau vous allez sur script et cliquez sur coffre. Celà démonte le ~/coffre_open beaucoup plus rapidement. Ou décoffre. Celà permet de monter ~/coffre_open plus rapidement. (plus qu'a marquer le mot de passe encfs)

cep

Regarde du coté de zenity

Ratur

La solution est

gksudo -p -m "Entrez le mot de passe" | encfs -S /home/cep/.coffre/ /home/cep/coffre_open

😉

mézgue

option de gksudo

--print-pass, -p
Demande à gksu d'afficher le mot de passe sur stdout,
de la même façon que ssh-askpass. Utile dans les scripts
avec des programmes acceptant de recevoir le mot de passe
par stdin.
indissociable du paramètre -m

c'est donc ça que ça signifiait
merci Ratur

confidentiel @Yumo : putain fait gaffe à ton français :rolleyes:

Yumo

Merci ça Marche!
Je vais modifier mon message =)

roger64

@Yumo

Quand tout le monde s'y met, ça avance bien :cool:
As-tu l'intention de compléter le wiki avec la partie lanceur/script que tu viens de rédiger?

Avantages et inconvénients

> Les avantages de Encfs sont évidents.

Son atout majeur est selon moi la SIMPLICITE

Une installation "simple" (selon les standards linuxiens), d'un volume réduit, et durable (pas de recompilation ou de réinstallation en cas de mise à jour du kernel).
Un fonctionnement basique avec deux commandes de type ON/OFF (lanceur ou script inclus)

Ajoutons également la possibilité très intéressante de crypter des données sur une partition NTFS

> Parlons un peu de ses inconvénients et merci de me corriger si je dis une c... 🙂
(ce n'est pour décourager personne, juste pour savoir où l'on met les pieds)

- on double la taille des fichiers cryptés.
Si l'on compare avec truecrypt, ce dernier est donc plus économe dès que le volume crypté est rempli à plus de 50%. et moins économe en dessous de ce pourcentage. euh...bon, je passe
- le mode parano de encfs induit certaines contraintes ("hard links") là j'ai pas tout compris...
- encfs est multiplateformes mais pour faire tourner les binaires sous w32, il faut en plus installer d'autres programmes et , en pratique, ce n'est pas vraiment à la portée du premier venu.

- l'algorithme de chiffrement est connu et largement suffisant pour les utilisateurs normaux mais n'offre ni la variété ni la force des possibilités de truecrypt dans ce domaine. (mode parano "on")
- on peut voir dans coffre le nombre et le volume des fichiers cryptés.
- pas de mode caché ni de déni plausible

Ma conclusion

Pour un débutant honnête et soucieux de sa sécurité 😉, encfs représente une solution à recommander vivement. Il devrait également convenir à la grande majorité des utilisateurs à l'exclusion des authentiques paranos.

roger64

Trois petites remarques et après, j'arrête de vous embêter, c'est promis 🙂

1. Pour les scripts nautilus,

Le texte du script de montage donne ça:

#!/bin/sh
gksudo -p -m "donnez-moi d'abord le mot de passe de la boîte s'il vous plait" | encfs -S /home/roger/.box/ /home/roger/box_open
#Licence GNU-GPL

😛

Je n'ai réussi à rendre les scripts exécutables qu'en tapant en terminal la commande

chmod a+x nom_du_script

2. Un petit inconvénient que j'ai oublié de citer: encfs n'est pas fait pour les étourdis. Il est fort possible que j'oublie de démonter le répertoire monté parce que je n'ai plus toute ma tête.

Question: y a t-il moyen avec le script de montage de faire apparaître un voyant, un signal, quelque chose dans le systray ou ailleurs qui indique à l'utilisateur que le dossier crypté est monté?

3. Pour info et parce que ce sujet m'intéresse, j'utilise désormais quatre possibilités de chiffrement sur Ubuntu
- truecrypt et un volume chiffré qui monte sur le bureau quand je tape coffre dans un terminal
- gjots2 qui est un "outliner" intégrant ccrypt (le mot de passe m'est demandé à l'ouverture du fichier)
- ccrypt avec deux scripts nautilus pour chiffrer/dechiffrer un fichier à la volée
et enfin encfs pour chiffrer un répertoire avec les scripts nautilus pour monter/démonter

Bien sûr, je n'ai pas encore fait le tour du problème. Enfin, si j'avais des secrets, ils seraient bien gardés....:cool

cep

roger64 a écritTrois petites remarques et après, j'arrête de vous embêter, c'est promis 🙂

Impossible, il y a des "bavards compulsifs"

roger64

@cep
je compatis, un contrôle fiscal, ça ne fait jamais plaisir..😉

Au bout de quelques mois, on finit par bien se connaître quand même ...😃

Ah si, il y a aussi le fugace sentiment de malaise que j'ai ressenti (je l'ai surmonté maintenant) à confier les clés de mes dossiers à un programme malencontreusement baptisé enc...qqch. Mais ceci n'est guère seyant. Passons outre...😉

Page suivante »