Gnome Encfs Manager (GencfsM) is a tool to manage EncFS filesystems.

Gnome Encfs Manager (GencfsM) is a tool to manage EncFS filesystems. The tool is a great alternative to Cryptkeeper (but with some extra features), which can't be used in Ubuntu 17.3 unless you install a patched Unity to support the old systray whitelist.

Инструмент является прекрасной альтернативой Cryptkeeper (но с некоторыми дополнительными функциями), которые не могут быть использованы в Ubuntu 17.3, если вы установите исправленную Unity, чтобы поддерживать старый белый список в системном лотке.

EncFS provides an encrypted filesystem in user-space and the files are encrypted using a volume key stored encrypted in the source directory. This can be used, for instance, to encrypt a folder with confidential data in your Dropbox (because for instance, Dropbox doesn't encrypt the data on your computer) - more about this, HERE.

Gnome Encfs Manager can be used to create, mount and unmount EncFS folders and comes with GNOME Keyring and Ubuntu AppIndicator support. Also, the applications can mount EncFs folders at startup, useful if you use EncFS with cloud sync / storage services such as Dropbox or Ubuntu One.

Gnome Encfs Manager может быть использован для создания, монтирования и размонтирования EncFS папки и поставляется с GNOME Keyring и поддержка Ubuntu AppIndicator. Кроме того, приложения могут монтировать папки EncFS при запуске, полезно, если вы используете EncFS с помощью облачных служб синхронизации / хранения данных, таких как Dropbox или Ubuntu One.

Other Gnome Encfs Manager features include: allow other users to access the stash, unmount after a certain number of idle minutes, as well as some advanced options like post mount or pre mount commands, set the encfs config file and more.

Install GNOME Encfs Manager in Ubuntu

To add the official GNOME Encfs Manager PPA and install the application in Ubuntu, use the following commands:

sudo add-apt-repository ppa:gencfsm/ppa
sudo apt-get update
sudo apt-get install gnome-encfs-manager

To download the source code, report bugs and so on, see the Gnome Encfs ManagerLaunchpad page.

ШИФРОФОНЫ — В МАССЫ

Шифруем внутреннюю память смартфона, SD-карту и содержимое Dropbox

Любой мобильный гаджет может быть потерян, оставлен, забыт и просто похищен. Любую информацию, которая хранится на нем в незащищенном виде, можно прочитать и использовать против тебя. А самый эффективный способ защиты информации — шифрование. В этой статье мы поговорим об особенностях реализации системы шифрования данных в новых версиях Android, а также обсудим инструменты, позволяющие реализовать выборочное шифрование отдельно взятых каталогов.

Введение

Android основан на ядре Linux, которое, в свою очередь, включает в себя целый ряд механизмов, реализующих шифрование самых разных сущностей. Для криптозащиты дисков и разделов предусмотрена система под названием dm-crypt — своего рода криптофильтр, через который можно пропустить все запросы к диску или разделу и получить шифрование данных на лету.

Программисты Google научили Android использовать dm-crypt, начиная с версии 3.0 Honeycomb, где появилась опция, позволяющая быстро включить шифрование и задать PIN-код на доступ к данным. Со стороны пользователя все смотрится очень просто и беспроблемно: подключил телефон к заряднику, дождался полной зарядки и нажал на заветную кнопку. Система начала шифрование уже имеющихся данных. Гораздо интереснее все это выглядит изнутри.

Особый подход Android

В любом дистрибутиве Linux за управление dm-crypt отвечает утилита cryptsetup, создающая зашифрованный по стандарту LUKS том, к которому можно получить доступ и с помощью сторонних инструментов из Windows или OS X. Обычно cryptsetup запускается на этапе инициализации ОС из загрузочного initramfs-образа и подключает dm-crypt к дисковому накопителю, который затем монтируется.

В Android все происходит иначе. Из-за требований к лицензированию всех компонентов выше ядра с помощью Apache-совместимой лицензии, cryptsetup, распространяемая на условиях GPL2, не включена в состав Android. Вместо нее используется разработанный с нуля модуль cryptfs для местного менеджера томов vold (не путать с родными Linux-инструментами: vold и cryptfs, это совсем другие разработки).

По умолчанию Android использует cryptfs для шифрования пользовательских данных, настроек и приложений (каталог /data). Он должен быть запущен на раннем этапе загрузки ОС еще до запуска графической среды и базовых приложений, так, чтобы более высокоуровневые компоненты системы смогли привести систему к нужному состоянию, прочитав настройки, и вытащить нужные данные из кеша.

В автоматическом режиме сделать это невозможно, так как система должна запросить у пользователя пароль для расшифровки, для чего нужен запуск графической среды, а ее, в свою очередь, невозможно запустить без подключения каталога /data, который невозможно подключить без пароля. Чтобы выйти из этой ситуации, в Android применили необычный трюк, заставив ОС запускаться «дважды». Первый запуск минимальной системы происходит перед запуском cryptfs, чтобы запросить пароль для расшифровки с подключением к /data временной файловой системы, после чего система, по сути, завершается, подключается зашифрованный раздел /data, и запускается уже окончательный вариант ОС.

Включение шифрования

Шифрование данных в Android включается с помощью меню «Настройки -> Безопасность -> Зашифровать данные». При этом смартфон должен быть полностью заряжен и подключен к заряднику, а в качестве метода разблокировки использоваться PIN-код или пароль (Настройки -> Безопасность -> Блокировка экрана -> PIN-код), который следует ввести перед запуском операции шифрования. Смартфон предупредит о том, что операция займет около часа, в течение которого устройство будет несколько раз перезагружено.

Далее произойдет собственно то, что описано в предыдущем разделе. Смартфон загрузит минимальную версию системы с подключением временной файловой системы к точке /data и начнет шифровать данные, выводя прогресс операции на экран. Само шифрование происходит следующим образом:

1. Сначала vold/cryptfs генерирует 128-битный мастер-ключ на основе случайных данных из /dev/urandom и с помощью этого ключа отображает раздел, содержащий каталог /data, в новое виртуальное криптоустройство, запись в которое приведет к автоматическому шифрованию данных с помощью мастер-ключа, а чтение — к расшифровке.
2. Мастер-ключ шифруется с помощью PIN-кода пользователя и помещается в конец раздела. Отныне при загрузке система будет спрашивать пользователя PIN-код, читать из раздела зашифрованный мастер-ключ, расшифровывать его с помощью PIN-кода и подключать зашифрованный раздел /data.
3. Чтобы зашифровать уже имеющиеся на разделе данные, система последовательно читает блоки данных из раздела и пишет их в криптоустройство, так что, по сути, происходит последовательная операция «чтение блока -> шифрование -> запись обратно» до тех пор, пока не будет зашифрован весь раздел, кроме последних 16 Кб, в которых хранится мастер-ключ.
4. В конце операции смартфон перезагружается, и при следующей загрузке система спрашивает PIN-код для расшифровки данных.

В случае с 16-гигабайтным накопителем Galaxy Nexus все эти операции занимают примерно 30 минут, а самое главное — они полностью автоматизированы, поэтому с шифрованием справится даже ребенок.

Один пароль для разблокировки и расшифровки?

Чтобы упростить жизнь пользователям, в Google решили использовать один и тот же пароль для разблокировки и расшифровки данных, в результате чего мы получаем довольно противоречивую картину. С одной стороны, пароль для расшифровки должен быть длинным и сложным, потому что злоумышленник может заниматься его подбором и вне смартфона, просто сняв образ раздела. Пароль на разблокировку, с другой стороны, можно оставить и очень простым, так как после нескольких неудачных попыток Android заблокирует экран окончательно, заставив ввести пароль Google.

В результате приходится делать выбор между удобством разблокировки и безопасностью зашифрованных данных (фейсконтроль в качестве средства защиты не рассматриваем). К счастью, в случае если телефон рутован, пароль на расшифровку можно указать вручную c помощью консольного клиента vold. Сделать это можно так:

$ su -c vdc cryptfs changepw пароль

С этого момента пароли на разблокировку и расшифровку будут отличаться, но вновь станут одинаковыми, если ты сменишь пароль на разблокировку (PIN-код). Чтобы не лазить в консоль, можно воспользоваться одним из графических интерфейсов, например EncPassChanger.

Откат и совместимость с прошивками

К сожалению, по каким-то причинам Android не позволяет выполнять возврат к незашифрованному разделу. Поэтому, если уж данные были зашифрованы, они такими и останутся ровно до того момента, пока не будет выполнен сброс до заводских настроек (полный вайп) — операция, которая переформатирует раздел, содержащий каталог /data, автоматически превратит его в незашифрованный.

Но здесь может возникнуть вопрос: «А что будет, если я обновлю Android или установлю кастомную прошивку?» В этом случае все зависит от способа установки. В большинстве случаев при обновлении прошивки или установке альтернативной прошивки примерно той же версии (например, замена CyanogenMod 10.1 на Paranoid Android 3 или MIUI 5) вайп делать не требуется. Это значит, что установленная прошивка при попытке примонтировать раздел /data «сообразит», что имеет дело с зашифрованным разделом, запросит у тебя пароль и преспокойно расшифрует данные.

Если же для установки требуется полный вайп, что обычно бывает необходимо при переходе на новые версии Android, то здесь ситуация еще проще. Во время вайпа раздел /data будет переформатирован и автоматически превратится в незашифрованный. Главное, сделать перед обновлением бэкап с помощью Titanium Backup или Carbon.

SD-карта

Google уже давно озвучила свою позицию по отношению к карте памяти как к свалке барахла, на которой конфиденциальных данных не может быть по определению, а даже если и есть, шифровать их не имеет смысла, так как пользователь может решить вставить карту в другой телефон. Поэтому стандартных путей зашифровать карту памяти в Android нет, и, чтобы получить такую функциональность, придется использовать сторонний софт.

Среди шифрующего стороннего софта мы имеем выбор из трех разных классов приложений:

1. Вещь в себе. Приложение, способное создавать и открывать криптоконтейнеры, но не позволяющее подключать их к файловой системе. Своего рода файловый менеджер с поддержкой зашифрованных томов. Вещь малополезная, так как годится только для ведения дневника и заметок.
2. ПсевдоФС. В Linux-ядрах многих стоковых и альтернативных прошивок есть поддержка драйвера файловых систем пространства пользователя FUSE, на основе которой в свое время было разработано несколько шифрующих ФС. Одна из них — EncFS. В Android она есть в виде приложения Cryptonite, Encdroid и других. Такие софтины позволяют зашифровать любой каталог так, чтобы к нему имели доступ абсолютно все приложения.
3. Основанные на dm-crypt. Схожи по функциональности и реализации с предыдущими, но используют для шифрования родной dm-crypt. LUKS Manager — лучший представитель класса таких софтин. Позволяет создать на карте памяти файл-образ, который в любой момент можно подключить к любому каталогу для доступа к данным. То же самое можно сделать из Linux с помощью cryptsetup или из Windows, используя FreeOTFE.

Cryptonite

Cryptonite представляет собой обертку вокруг шифрующей файловой системы EncFS и позволяет создавать и просматривать зашифрованные тома на карте памяти и внутри Dropbox, а также подключать тома к каталогам карты памяти так, чтобы они были видны всем приложениям. Нас в первую очередь интересует последний вариант использования как единственный приемлемый для повседневного применения, но он требует прав root, а также наличия поддержки FUSE в ядре.

Использовать Cryptonite в этом качестве довольно просто, однако, чтобы не возникло путаницы, разберемся с принципами его работы. В основе приложения лежит хорошо известный линуксоидам инструмент под названием EncFS. По сути, это утилита, которая позволяет отобразить один каталог в другой так, чтобы записанное во второй каталог автоматически попадало в первый в зашифрованном виде, а при чтении, соответственно, расшифровывалось. Пока отображение включено — доступ к данным есть, но стоит его отключить, как содержимое второго каталога исчезнет и останется только первый, содержимое которого полностью зашифровано.

По этой причине для Cryptonite необходимо наличие двух каталогов: первый — для хранения зашифрованных данных и второй — пустой каталог, куда будет отображаться содержимое первого в расшифрованном виде. Для простоты назовем их crypt и decrypt. Создаем эти два каталога на карте памяти с помощью любого файлового менеджера. Запускаем Cryptonite, идем в «Настройки -> Mount point» и выбираем каталог decrypt. Теперь он всегда будет использоваться как точка доступа к зашифрованным данным. Возвращаемся обратно, переходим на вкладку LOCAL и нажимаем кнопку «Create local volume», чтобы инициализировать зашифрованный каталог. Выбираем каталог crypt и вводим пароль. Теперь осталось вернуться на главный экран и нажать кнопку «Mount EncFS» (и вновь ввести пароль). С этого момента все, что ты скопируешь в каталог decrypt, автоматически попадет в каталог crypt в зашифрованном виде, и после отключения decrypt никто не сможет прочитать его содержимое (можешь проверить, скопировав несколько файлов в decrypt, а затем просмотрев содержимое crypt).

Таким же образом, кстати, можно организовать шифрование данных в Dropbox. Cryptonite позволяет сделать это из коробки, но в этом случае доступ к данным можно будет получить только через само приложение, то есть для любых операций над зашифрованными данными придется запускать Cryptonite и через его встроенный менеджер файлов совершать все действия. Сам Dropbox для Android, конечно, ведет себя так же, но у него хотя бы открытый API, который могут использовать другие приложения, а здесь только доступ вручную.

Чтобы обойти эту проблему, можно установить сервис Dropsync, который висит в фоне и периодически синхронизирует содержимое выбранных каталогов с Dropbox. Достаточно настроить его на синхронизацию каталога crypt (но не decrypt), и данные в зашифрованном виде будут автоматически попадать в Dropbox. Чтобы получить доступ к данным с большого брата, можно воспользоваться версией EncFS для Linux или Windows. О том, как ими пользоваться, не писал только ленивый.

Cryptonite как он есть

LUKS Manager

Второе приложение из нашего списка — это LUKS Manager, по сути аналогичное по функциональности приложение, использующее в своей основе dm-crypt вместо EncFS и бинарные зашифрованные образы вместо каталогов. С практической точки зрения этот вариант лучше предыдущего тем, что зашифрованные с его помощью образы можно будет просматривать или изменять практически в любой ОС, включая Linux, Windows и OS X. Недостаток же в том, что его неудобно использовать для шифрования файлов в Dropbox, так как Dropbox-клиенту придется каждый раз синхронизировать целый образ, который может быть очень велик, в противовес отдельных файлов, как в случае с EncFS.

Главный экран LUKS Manager

Для корректной работы LUKS Manager необходимо ядро с поддержкой dm-crypt и loopback, но если первое есть даже в ядрах Android 2.3, то второе доступно далеко не во всех стоковых ядрах. Поэтому, скорее всего, понадобится прошивка с альтернативным ядром, такая как CyanogenMod, AOKP или MIUI.

В остальном все просто. Интерфейс программы состоит всего из шести кнопок: Status, Unmount All, Mount, Unmount, Create и Remove. Чтобы создать новый образ и получить к нему доступ, достаточно нажать «Create», выбрать каталог для подключения, размер и указать пароль и файловую систему (FAT32 для совместимости с Windows или ext2 для Linux). Одновременно на карте памяти могут существовать и быть подключенными сразу несколько образов, которые можно отключать кнопками «Unmount» или удалять с помощью «Remove».

Ничего сложного в управлении приложением нет, скажу лишь, что в пакет с LUKS Manager входит также собранная для Android версия утилиты cryptsetup, которую можно использовать для ручного управления и подключения образов.

LUKS Manager создал зашифрованный том

Другое применение

Dm-crypt и cryptfs используются в Android не только для защиты каталога /data от посторонних глаз. С их помощью здесь реализована, как это ни странно, система установки приложений на карту памяти. В ее основе лежит идея шифрованных образов, по одному на каждое установленное приложение. Сделано так для защиты конфиденциальных данных, возможно хранимых приложением, от других приложений, которые в Android имеют полный доступ к SD-карте на чтение, а также от тех, кто завладеет SD-картой.

Запустив терминал и выполнив команду df, ты сам сможешь убедиться, как это реализовано. На скриншоте «Galaxy Nexus и df» показан вывод этой команды на моем смартфоне. Хорошо видно, что кроме псевдокриптоустройства /dev/block/dm–0, которое подключено к каталогу /data и отвечает за шифрование данных на смартфоне, здесь есть еще 15 подобных устройств, подключенных к разным каталогам внутри /mnt/asec. Это и есть приложения, установленные на карту памяти. Сами приложения при этом хранятся в зашифрованных образах в каталоге .asec на карте памяти, а ключи шифрования хранятся в основной памяти смартфона.

Galaxy Nexus и df

Ты можешь также заметить, что здесь есть и псевдоустройство /dev/fuse, подключенное к /storage/emulated/legacy, а также некоторым другим каталогам. Это не что иное, как «эмулятор» карты памяти, реализованный с использованием описанного ранее драйвера FUSE (сам Galaxy Nexus карты памяти не поддерживает). По сути, это простое зеркалирование каталога /storage/emulated/legacy в /data/media/0. При этом каталог /sdcard — это ссылка на /storage/emulated/legacy. Запустив команду ps, можно заметить, что зеркалирование реализуется с помощью приложения /system/bin/sdcard, использующего FUSE в качестве базы. По сути, это альтернативная реализация знакомой всем линуксоидам unionfs.

WARNING

Модуль dm-crypt не может быть использован для шифрования разделов с файловой системой YAFFS, так как последняя использует низкоуровневые операции при обращении к NAND-памяти.

Выводы

Как видишь, получить качественное шифрование данных в Android очень просто, и в большинстве случаев для этого даже не потребуется устанавливать дополнительный софт. Единственное ограничение — это необходимость иметь смартфон на базе Android 4.0 и выше, но так как все, что было до 4.0, назвать ОС довольно трудно, то и проблемы здесь особой нет :).

INFO

Подробности реализации стандартной системы шифрования Android для параноиков: 128-битный AES в режиме CBC и ESSIV: SHA–256. Мастер-ключ шифруется другим 128-битным AES-ключом, полученным из пользовательского пароля при помощи 2000 итераций по стандарту PBKDF2 с 128 битами случайной соли.

Евгений Зобнин, androidstreet.net

Win

В windows зашифрованную папку можно подключить используя encfs4win

Дружище пожалуйста немного подробнее?
Мне не удалось запустить. Делал так.
Скачал
encfs4win
Отсюда
Dokan library
Dokan Ruby binding
Dokan.NET binding
Dokan SSHFS
Здесь прочитал что нужно поставить "install required Dokan library"
Сложил все скачаное в одну директорию, запустил DokanInstall_0.6.0-все вроде стало. В трее появился ключик.
Жму "Создать папку", ввожу пароль, папка создается м в ней лежит файл ".encfs6".
Далее жму "открыть" или смонтировать-предлагается ввести пароль-ввожу, получаю ответ-"Unknown error mounting drive H:"

Что делаю не так?

5d144

26.06.2012, 23:51

Как часто бывает отвечаю себе сам :D.
Сделал uninstal (запускать из папки "программ файл" Dokan).
Положил в папку encfs4win файлы
Dokan Ruby binding
Dokan.NET binding
запустил запустил DokanInstall_0.6.0 и все заработало! Диск монтируется и размонтируется.

Вопрос- как работать с Dokan SSHFS --для чего он нужен?

Compiling a list of Truecrypt alternatives

With the Truecrypt project abandoned, I see a lot of clamoring in comment sections about suitable alternatives... but confusion as to what is available. This forum post is an attempt to sift through the more popular options, and provide some basic info on their capabilities. I will post audit info as well if I come across any (or if you mention it in a post). Suggestions are welcome! I will add them to the list in the below format. You can use the template I have below, or just put in a blurb with what you know and I will add it in when I get the chance. ~~~CROSS-PLATFORM OPTIONS~~~ Trupax *Truecrypt compatible Description: Java-based app for creating/managing truecrypt containers; built from the ground up. License: Open-Source, LPGL3 Supported ciphers: AES-256, maybe more via command line Encryption layer: volumes/containers Platform Support: Windows: yes MacOS: yes iOS: no Android: no Linux/Unix: yes Cloud friendly?: yes Notes: TruPax allows you to create and extract truecrypt containers, similar to an archiving utility. It does not manage mounting of truecrypt volumes. It also only supports containers with certain formats and algorithms. EncFS Description:Encrypted filesystem that runs in user-space, using FUSE library and Linux kernel modules. Ports are available to other Operating Systems. License: Open-Source, GPL Supported ciphers: AES, Blowfish, others depending on OS Encryption layer: file-based Platform Support: Windows: yes, experimental (encfs4win) MacOS: yes, experimental (OSXFUSE + EncFS) iOS: yes (boxcryptor classic) Android: yes Linux: yes, native Cloud-friendly?: yes Audits: https://defuse.ca/audits/encfs.htm 10-hour audit that found some security issues of varying severity (thanks tuxaroni) Notes: EncFS works differently from Truecrypt in that it does not encrypt and mount volumes or "containers", but instead watches a designated folder, and encrypts/decrypts the individual files as-needed using your specified key. This makes encrypted content more resistant to bitrot (as one bad bit can destroy an entire truecrypt container). It also makes for a more "cloud-friendly" encryption option, as you will be syncing only modified files and not the entire container. The tradeoff is that others can see how many files are encrypted in your folder (though not their names or contents). Many cloud-based encryption services seem to borrow from encFS in their methodology. How to Encrypt Cloud Storage on Linux and Windows with EncFS Blog post: EncFS & Dropbox for Linux/Android/Windows/MacOSX dm-crypt + LUKS Description: Linux-native disk encryption, a standard option for many Linux distributions. License: Open-Source, GPL Supported ciphers: aes-256, others can be compiled in Encryption layer: block-level, can contain various filesystems Platform Support: Windows: yes, via FreeOTFE (provided filesystem is Windows-compatible) MacOS: no iOS: no Linux/Unix: yes, native Android: partial (used for OS encryption, but not available for other storage) Cloud-friendly?: no Notes: Currently, dm-crypt has limited cross-platform support, but the FreeOTFE program would allow a Windows user to mount a dm-crypt protected thumb drive, as long as the formatting inside was windows-compatible (like Fat32). You can create a truecrypt-style virtual container in Linux via the command line, but the process is not quite as user-friendly. Ubuntu: Encrypted Filesystems on Removable Storage Making a Truecrypt-style container with LUKS GnuPG (GPG) Description: GNU implementation of PGP encryption, and a popular option for encrypting emails. Can also be used to encrypt individual files. License: Open-Source, GPL Supported ciphers: IDEA, 3DES, CAST5, Blowfish, AES-128/192/256, Twofish, Camellia-128/192/256 Encryption layer: file-based, text Platform Support: Windows: yes (gpg4win) MacOS: yes (GPG Suite) iOS: yes, for email (oPenGP, iPGMail) Linux/Unix: yes (seahorse, gpg, kgpg, enigmail, various mail extensions) Android: yes, mostly for email (various) Cloud-friendly?: yes Notes: There are many options across platforms for encrypting emails with PGP as well as managing keys. There is somewhat less support for encrypting and decrypting individual files on mobile devices. AES Crypt Description: Basic file encryption/decryption tool available on a variety of platforms. License: none found (Free and Open Source) Supported ciphers: AES-256 Encryption layer: file-based Platform Support: (please indicate if support is limited or experimental) Windows: yes MacOS: yes iOS: yes Android: yes (Crypt4All) Linux/Unix: yes Cloud friendly?: yes Notes: Aes crypt is a basic file encryption/decryption tool. It is a command-line client, with GUI support provided via context menu integration (ie. right-click a file + "encrypt"). This suite would be more suitable for one-off secure file transfer, or deep storage of sensitive files. Files are not encrypted or decrypted in-place; you will be generating a new file that is encrypted/decrypted each time. Boxcryptor Description: A commercial offering with a focus on encrypting local files that are then synced to the cloud storage provider of your choice. Basic version is free; full versions require yearly subscription. License: Commercial Supported ciphers: AES-256 Encryption layer: file-based Platform Support: Windows: yes MacOS: yes Chrome: yes (beta) iOS: yes Windows Phone: yes Linux/Unix: limited (only if using boxcryptor classic) Android: yes Blackberry 10: yes Cloud friendly?: yes, all major providers + WebDAV storage Notes: There are actually two versions of boxcryptor- the older, "classic" version used encFS under the hood, and could even be used to decrypt existing encFS folders. The new 2.0 version uses something different that is not backwards-compatible. Version 2 also requires a user account, and keys are stored on a Boxcryptor server (enables user/group sharing of encrypted files). Bestcrypt Description: A commercial, cross-platform program that allows you to create and mount encrypted containers similar to Truecrypt. The software is trialware, and currently $60 to buy. License: Commercial, closed-source Supported ciphers: AES-256, Blowfish, CAST, GOST, 3DES, Serpent, Twofish Encryption layer: Volume/File (encrypted containers) Platform Support: Windows: yes MacOS: yes Linux/Unix: yes Android: no iOS: no Cloud friendly?: yes Notes: It works very similar to Truecrypt, allowing you to create virtual containers which you then mount like drives. According to its feature list, it supports "Enhanced Hidden Containers" which function similar to Truecrypt's "Hidden Volume" feature. Full disk encryption is provided by a separate product; this one focuses on containers. ~~~OS-SPECIFIC~~~ (under construction, suggestions welcome!) ~~Windows~~ Bitlocker: Included on Win7 Ent/Ult, Win8 Pro/Ent Provides full-disk encryption, using an implementation of AES EFS: Included on Professional versions of Windows XP, 7, 8, Server 20XX Provides filesystem-level encryption of designated directories using public/private keys, via context menu Private keys are encrypted and stored in a certificate manager Early versions for Windows 2000 had security flaws; remediated in Windows XP and later Howto: http://www.groovypost.com/howto/windows ... s-folders/ axcrypt: Not really a separate program- integrates with Windows Explorer to provide context menus for file encryption, decryption, etc. File-based encryption; encrypted files can be opened directly. You can also encrypt a file into a self-decrypting .exe container, so the receiving party doesn't need axcrypt (similar to a self-extracting zip archive.) ~~MacOS~~ FileVault The standard option for Mac OS X; Uses an implementation of AES for encryption. Allows full-disk encryption as well as protection of designated directories. Truecrypt-style encrypted "containers" can be achieved by creating disk images via Disk Utility. Typically makes the user's login password the encryption passphrase. Many third-party encryption utilities for Mac are really user-friendly wrappers around Filevault / Disk Utility. Espionage Commercial option for creating/managing encrypted folders. If I'm reading docs correctly, it uses Disk Utility to create its encrypted containers, but it provides an easy interface to manage them with, and tighter integration with OS features like TimeMachine. Knox User-friendly interface for managing encrypted containers Encrypted "vaults" are created with the FileVault back-end, and can be managed via regular OS X disk utilities. The application makes managing them simpler. ~~Linux~~ dm-crypt + LUKS: Standard for most modern linux distros; Typically uses AES for encryption. Block-based, offering full-disk encryption (doesn't care about what filesystem it contains). You can make a truecrypt-style container and mount it as an image, but it isn't easy or intuitive. The most common file managers have GUI support for mounting/unmounting LUKS-encrypted volumes (Dolphin, Nautilus, etc) There are also command-line utilities such as tomb, which act as wrappers around dm-crypt. They make creation and management of encrypted containers easier. luksus / tcplay *Truecrypt compatible luksus is a user-friendly wrapper around tcplay,cryptsetup, and some other encryption tools. It provides a menu-based GUI on the command line that automates all of the dirty work of for creating and managing truecrypt volumes, among other encryption formats. file/volume based, depending on the function you use realcrypt *Truecrypt-compatible: A linux rebuild of truecrypt; literally truecrypt source with a new paint job. Support everything truecrypt does. It is built as an rpm though; debian-based distributions will need to install it with alien. ecryptfs: A stacked filesystem that is kernel-supported, allowing you to designate folders to encrypt. This is the standard for Ubuntu's "encrypted home directory". encryption at the filesystem level, can be applied to files or directories Audit finding: https://defuse.ca/audits/ecryptfs.htm ecryptfs-utils package can help automate setup of encrypted directories. ~~Android~~ Encrypted Data Storage (EDS) *Truecrypt compatible: Utility that lets you create and open truecrypt containers (contents are expanded into storage). Truecrypt containers must be FAT-formatted and use supported algorithms. Cryptonite *Truecrypt compatible: utility that lets you manage encFS folders, as well as truecrypt containers. Certain functions in the app require a rooted phone. Has a cute message on the site saying "I haven't had any backdoor requests yet. Watch closely for the removal of the previous sentence." Clever :-)

Last edited by feistypenguin on Tue Jun 17, 2014 2:47 pm

tuxaroni Wise, Aged Ars Veteran Registered: Mar 17, 2013 Posts: 102	Posted: Sat May 31, 2014 12:41 am
	Worth a mention, eCryptfs. (Linux specific, as far as I know) https://help.ubuntu.com/12.04/serverguide/ecryptfs.html And especially, tcplay. (DragonFly BSD and Linux support) https://github.com/bwalex/tc-play Quote: tcplay is a free (BSD-licensed), pretty much fully featured (including multiple keyfiles, cipher cascades, etc) and stable TrueCrypt implementation.

zarere Smack-Fu Master, in training Registered: May 31, 2014 Posts: 1	Posted: Sat May 31, 2014 1:18 am
	http://www.hacker10.com/encryption-soft ... -software/

tuxaroni Wise, Aged Ars Veteran Registered: Mar 17, 2013 Posts: 102

Posted: Sun Jun 01, 2014 2:04 am

EncFS seem to have serious issues in its current form according to a security audit. I would not use it as TrueCrypt replacement. https://defuse.ca/audits/encfs.htm I've been playing with eCryptfs this weekend, and it's something I could use daily. But it need more security audit according to security audit. I wonder what other people's verdict are on eCryptfs. https://defuse.ca/audits/ecryptfs.htm

KD5MDK Ars Legatus Legionis Tribus: Longhorn Country Registered: Nov 4, 2000 Posts: 19391	Posted: Sun Jun 01, 2014 1:23 pm
	It's worth noting for FileVault 2 that it does full disk encryption as well, since you pointed it out for BitLocker.

feistypenguin Ars Praetorian Registered: Jan 10, 2014 Posts: 552	Posted: Sun Jun 01, 2014 6:01 pm
	Suggestions added, thanks!

xcrunner529 Ars Praefectus Registered: Nov 26, 2003 Posts: 4959	Posted: Mon Jun 02, 2014 9:49 am
	Tomb seems the closest to me. Linux-only again, unfortunately. C'mon, it can't be hard to at least get it working on my Mac!

adespoton Ars Centurion Tribus: Igloo Registered: Jun 19, 2013 Posts: 211

Posted: Fri Jun 13, 2014 1:21 pm

Does anyone have an alternative that can do TC's slackspace encryption, where an alternate password will "decrypt" the image with contents that had been stored in the slack space? I've been looking for something that can do this and is cross-platform. Haven't found a thing. I figure full-volume encryption is already on by default on iOS, is easily doable on Windows, Linux and OS X, so the three categories are: file at rest encryption, file in transit encryption, and plausible deniability encryption/steganography. What I'd really like is a cross-platform solution that can create sliced images, to improve backups/cloud hosting while protecting the files.

feistypenguin Ars Praetorian Registered: Jan 10, 2014 Posts: 552

Posted: Fri Jun 13, 2014 2:46 pm

adespoton wrote: Does anyone have an alternative that can do TC's slackspace encryption, where an alternate password will "decrypt" the image with contents that had been stored in the slack space?. If you are referring to the "hidden volume" feature of Truecrypt, I'm not aware of any. There may be some on the market, but they are likely proprietary solutions that cost your left kidney and your firstborn. Truecrypt really spoiled a lot of people, because it filled its niche well enough that nobody bothered making anything with comparable features... especially something that was cross-platform.

chalex Ars Tribunus Angusticlavius et Subscriptor Tribus: Stanford, CA Registered: Aug 30, 2002 Posts: 8206	Posted: Fri Jun 13, 2014 3:19 pm
	I think our work policy is to use the built-in Bitlocker or FileVault, with the employer getting the backup decryption key. Mine might even be in iCloud. Any enterprise-type or business solution needs to worry a lot more about key management than about the actual encryption. I've lost data before due to lost keys for encrypted backups. Never due to "the bad guys" stealing the data.

KD5MDK Ars Legatus Legionis Tribus: Longhorn Country Registered: Nov 4, 2000 Posts: 19391	Posted: Sat Jun 14, 2014 3:09 pm
	http://support.apple.com/kb/ht5077 http://training.apple.com/pdf/WP_FileVault2.pdf FileVault 2 key management resources

sporkme Ars Tribunus Militum Tribus: Dirty Jersey Registered: Jan 6, 2008 Posts: 2519	Posted: Sun Jun 15, 2014 12:51 pm
	FreeBSD (only noting the native tools): http://www.freebsd.org/doc/handbook/dis ... pting.html Of note, zfs can be stacked on top of geli. Geli also supports encrypting the root partition. While I assume the desktop userbase is small, this is handy if you need to encrypt whatever lives on your file server.

xcrunner529 Ars Praefectus Registered: Nov 26, 2003 Posts: 4959	Posted: Mon Jun 16, 2014 1:48 pm
	adespoton wrote: Does anyone have an alternative that can do TC's slackspace encryption, where an alternate password will "decrypt" the image with contents that had been stored in the slack space? Tomb. It's Linux-only.

exadeath Seniorius Lurkius Registered: Sep 16, 2005 Posts: 47

Posted: Mon Jun 16, 2014 2:04 pm

adespoton wrote: Does anyone have an alternative that can do TC's slackspace encryption, where an alternate password will "decrypt" the image with contents that had been stored in the slack space? Bestcrypt(Mac/Windows/Linux) has "enhanced hidden containers" that allows alternate password access into a container. I think if you use the 'main' password and edit something in the normal container then hidden part has the potential to be corrupted (but that happens in truecrypt too). https://www.jetico.com/products/personal-privacy/bestcrypt-container-encryption

monoelectron Smack-Fu Master, in training Registered: Jul 24, 2014 Posts: 3	Posted: Thu Jul 24, 2014 9:38 am
	im new to all this encryption jazz. how does rohos compare to all these listed programs?

taoeffect Smack-Fu Master, in training Registered: Jul 24, 2014 Posts: 1

Posted: Thu Jul 24, 2014 7:36 pm

Hi, one of the devs of Espionage here, just wanted to mention a few things not listed here about it: Out of the apps listed, I feel confident saying that Espionage 3.6 (just released) provides the best plausible deniability. Although it is shareware, the source code to Espionage available to security professionals (as a way to keep the project sustainable while remaining transparent). Uses scrypt to encrypt long random passwords to AES-256 sparsebundles. Each master password protects a list of encrypted folders (and their passwords). Enter a different password and you'll see a different list of folders (one of several layers of plausible deniability).

hawkbox "My mom says I'm Awesome." Ars Legatus Legionis Tribus: Northwest Soviet Canuckistan Registered: Nov 29, 2005 Posts: 10960	Posted: Thu Aug 27, 2015 10:45 am
	Since this was necro'd by what I assume is the vendor I might as well ask, has anyone found anything truly good in the last year? Can we vouch for any of the options presented previously?

useruseruser Smack-Fu Master, in training Registered: Jan 23, 2015 Posts: 5	Posted: Thu Aug 27, 2015 1:57 pm
	Veracrypt.

A. Reed Ars Centurion Registered: Jul 29, 2000 Posts: 341	Posted: Fri Aug 28, 2015 1:07 am
	useruseruser wrote: Veracrypt. Ditto

ncrand Ars Centurion Tribus: Nouvelle Écosse, Kanada Registered: Apr 22, 2012 Posts: 283	Posted: Fri Aug 28, 2015 7:08 am
	SecureDoc (Cross Platform on Windows, Mac, iOS and Linux) Allows for either a Standalone solution or a Managed Solution using a backend server.

schizrade Ars Scholae Palatinae Registered: Jul 1, 2002 Posts: 1299	Posted: Fri Aug 28, 2015 11:33 am
	ncrand wrote: SecureDoc (Cross Platform on Windows, Mac, iOS and Linux) Allows for either a Standalone solution or a Managed Solution using a backend server. My wifes company uses this.

freddy mercury Smack-Fu Master, in training Registered: Oct 2, 2015 Posts: 1	Posted: Fri Oct 02, 2015 3:00 pm
	Thank for this recopilation. I was tired of using online crypters. ------------------------------------------------------------- anadirrecordatorio.com/
	Last edited by freddy mercury on Mon Oct 12, 2015 6:32 pm

Anonymouspock Wise, Aged Ars Veteran Registered: Mar 8, 2014 Posts: 107	Posted: Fri Oct 02, 2015 10:36 pm
	freddy mercury wrote: Thank for this recopilation. I was tired of using online crypters That's basically equivalent to walking up to the NSA office and giving them a hard drive with all your data (unencrypted) and your passphrase, then dropping the above in a parking lot in a sketchy part of town. This is all assuming that the "online crypters" are server side (even so, it's a bad idea).

hawkbox "My mom says I'm Awesome." Ars Legatus Legionis Tribus: Northwest Soviet Canuckistan Registered: Nov 29, 2005 Posts: 10960

Posted: Sat Oct 03, 2015 11:04 am

Anonymouspock wrote: freddy mercury wrote: Thank for this recopilation. I was tired of using online crypters That's basically equivalent to walking up to the NSA office and giving them a hard drive with all your data (unencrypted) and your passphrase, then dropping the above in a parking lot in a sketchy part of town. This is all assuming that the "online crypters" are server side (even so, it's a bad idea). What?

feistypenguin Ars Praetorian Registered: Jan 10, 2014 Posts: 552

Posted: Sat Oct 17, 2015 9:09 pm

Adding the entry here since my original post is past-due for edits... Veracrypt *Truecrypt compatible Description: A fork of Truecrypt 7.1a widely viewed as the successor to Truecrypt, under active development as of 2015. Author has worked on modernizing the app with security fixes and code rewrites, while expanding functionality in other ways. License: Apache 2.0 as of 2015 Supported ciphers: AES, Serpent, Twofish, Cascades Encryption layer: volumes/containers Platform Support: Windows: yes MacOS: yes Linux/Unix: yes iOS: ??? Android: partial (EDS, requires root) Cloud friendly?: yes (with containers) Audits: None directly, though the project is based on Truecrypt 7.1a, which was the subject of the Open Crypto Audit. The first security fixes were based on the findings of this audit. Notes: Initial versions were not Truecrypt-compatible, but newer versions have re-implemented Truecrypt container support, as well as the ability to convert Truecrypt volumes to Veracrypt format. In its current state, it can function as a drop-in replacement for Truecrypt.