Avec encfs, les données sont chiffrées fichier par fichier. Il ne s'agit pas d'un système de chiffrement par bloc, qui crée une partition virtuelle chiffrée dans laquelle on peut stocker des documents.

Dans le système de fichiers courant, encfs crée un dossier caché qui contient les données chiffrées, et le monte au point indiqué de l'arborescence. Quand on place des fichiers et des dossiers dans ce dernier, ils sont chiffrés à la volée. Quand on démonte le dossier caché, les données ne sont plus accessibles en clair.

Les dossiers chiffrés peuvent être montés et démontés par l'utilisateur standard, sans privilèges root.

Installation

encfs utilise la bibliothèque FUSE (Filesystem in Userspace), qui doit être présente dans le noyau du système. Le module correspondant doit donc être chargé.

$ lsmod | grep fuse
fuse                   42395  3

1. Installer les paquets :

# aptitude install encfs cryptkeeper

2. Vérifier que le groupe fuse existe et que votre nom d'utilisateur y figure. L'ajouter si nécessaire.

$ cat /etc/group | grep fuse
fuse:x:117:

# adduser alex fuse

Pour que l'ajout de l'utilisateur au groupe fuse soit pris en compte, il est nécessaire de rouvrir une session dans Gnome.

Chiffrement en ligne de commande

Pour créer un dossier chiffré, ou monter un dossier préexistant :

(version utilisée : 1.7.2)

$ encfs ~/trv/.test/ ~/trv/test

Le premier argument est le nom du dossier chiffré, et le deuxième le point de montage.

Lors de la création d'un dossier chiffré, les messages suivants apparaissent :

Création d'un nouveau volume chiffré.
Veuillez choisir au moins une des options suivantes :
 entrez "x" pour le mode de configuration expert,
 entrez "p" pour un mode pré-configuré paranoïaque,
 n'importe quoi d'autre ou une ligne vide sélectionnera le mode standard.
?> 

Configuration standard sélectionnée.

Configuration terminée. Le système de fichiers sur le
point d'être créé a les caractéristiques suivantes :
Chiffrement de système de fichiers "ssl/aes", version 3:0:2
Encodage du nom de fichier : "nameio/block", version 3:0:1
Taille de clé : 192 bits
Taille de bloc : 1024 octets
Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques.
Nom de fichiers chiffrés en utilisant le mode de chaînage IV.
File holes passed through to ciphertext.

Vous allez maintenant devoir entrer un mot de passe
pour votre système de fichiers.
Vous allez devoir absolument vous souvenir de ce mot de passe, car il n'y a aucun mécanisme de secours.
Cependant, le mot de passe pourra être changé plus tard en utilisant encfsctl.

Nouveau mot de passe EncFS : 
Vérifiez le mot de passe EncFS : 

Le dossier chiffré créé est monté à l'adresse indiquée, en l'occurrence ~/trv/test.

Les fichiers et dossiers qui y sont placés sont chiffrés de manière transparente.

Pour en savoir plus sur les autres options de encfs :

$ encfs --help
$ man encfs

Tant que les dossiers chiffrés ne sont pas tous démontés, encfs reste chargé sous forme de démon :

$ ps aux | grep encfs
alex      4083  0.0  0.3   8008  1968 ?        Ss   14:58   0:00 encfs /home/alex/trv/.test/ /home/alex/trv/test

Pour démonter un dossier :

$ fusermount -u ~/trv/test/

Pour afficher des informations sur un dossier :

$ encfsctl ~/trv/.test/

Configuration de la version 6; créée par EncFS 1.7.2 (révision 20100713)
Chiffrement de système de fichiers "ssl/aes", version 3:0:0 (utilisation de 3:0:2)
Encodage du nom de fichier : "nameio/block", version 3:0:0 (utilisation de 3:0:1)
Taille de clé : 192 bits
Using PBKDF2, with 73944 iterations
Salt Size: 160 bits
Taille de bloc : 1024 octets
Chaque fichier comprend un en-tête de 8 octets avec des données IV uniques.
Nom de fichiers chiffrés en utilisant le mode de chaînage IV.
File holes passed through to ciphertext.

Pour modifier le mot de passe d'un dossier :

$ encfsctl passwd ~/trv/.test/

Entrez le mot de passe actuel d'Encfs
Mot de passe EncFS : 
Entrez le nouveau mot de passe d'Encfs
Nouveau mot de passe EncFS : 
Vérifiez le mot de passe EncFS : 
La clé de volume a bien été mise à jour.

Cette commande permet également de déchiffrer et d'afficher des fichiers, voir :

$ encfsctl

Utilisation de CryptKeeper

Lancer CryptKeeper en choisissant Application > Outils système > CryptKeeper.

Une icône de trousseau de clefs apparaît en haut à droite du bureau Gnome.

Pour créer un dossier chiffré, choisir Nouveau dossier chiffré. Indiquer le nom du dossier chiffré (qui sera un dossier caché), puis son point de montage.

Voir aussi les préférences (menu contextuel > Préférences) :

  • Démontage automatique en cas d'inactivité.
  • Suppression automatique du point de montage quand le dossier chiffré est démonté (activé par défaut).

Par défaut dans CryptKeeper (version testée : 0.9.4), les données sont chiffrées avec AES 256.

Pour gérer avec CryptKeeper un dossier chiffré préexistant (créé en ligne de commande, par exemple), choisir Importer un dossier EncFS). Pour déplacer un dossier chiffré, on peut utiliser la même méthode.

Pour démonter un dossier, désélectionner la case à cocher dans la liste des dossiers.

Pour afficher des informations sur un dossier, modifier son mot de passe ou le supprimer, le sélectionner dans la liste des dossiers, puis choisir une option dans le menu contextuel.

Documentation