EncFSはDropboxの暗号化に対して安全ですか？

これは基本的に、2020年2月の回答を完全に書き直したもので、大幅に詳細になっています。

EncFSは、特にDropboxのようなドキュメント同期サービスで、ほとんどのカジュアルユーザーが遭遇すると予想される種類の状況と脅威モデルの下で確実に安全です。より具体的には、あなたの期待が次のようなものであるときにうまく機能します："攻撃者は私のファイルを読み取ることができません。"

しかし、その上にさらに複雑な仮定を連鎖させ始めると、それほど熱くなりません。これは通常、保護しているディレクトリが、ブラウザのプロファイルディレクトリ、一部の自動化パイプラインのデータストレージ、または社内のすべてのユーザーのホームディレクトリなど、他の誰かが考えた方法で使用されている場合に発生します。 "ディレクトリが暗号化されているため、攻撃者はすべて阻止されます。"のように、より曖昧で包括的なものになると予想される場合は、これはあなたのためのツールではありません。

合理的な選択をするために、あなたがしているトレードオフを理解するのに役立ちます。攻撃者が実行できることと、攻撃者が実行できる条件とは次のとおりです。

メタデータ

EncFSは、暗号化されていないファイルごとに暗号化されたファイルを1つだけ保存し、同じ種類のディレクトリ構造、同じ変更時間、および類似のファイルサイズ（およびファイル名サイズ）を使用します。したがって、攻撃者は基本的にファイルについてすべてのメタデータを知っています。これは意図的なセキュリティのトレードオフであるため、危険に思える場合はEncFSは適していません。特に時間をかけて見ている場合は、日付、サイズ、ディレクトリ構造から多くを推測できます（以下を参照）。これは、攻撃者が特定の種類の動作を推測するために必要なすべての情報である可能性があります。これが重要な場合は、EncFSを使用してファイルの内容だけではなく保護する例であり、別のツールが必要であることを意味します。

特に、EncFSはsparseファイルをサポートしています。つまり、ゼロの長い（非常に長い）実行は暗号化されません。これらの空のチャンクは、暗号化されたストアで簡単に識別できます。これは、意図的なセキュリティのもう1つのトレードオフです。ストレージ容量を大幅に節約できますが、これらの特別な種類のファイルについては、使い勝手が悪いほど多くの情報を公開する必要があります。

メタデータ履歴

攻撃者が時間の経過に伴う変化を見ることができれば、攻撃者はさらに多くの情報を入手できます。どのファイルがどのくらいの頻度で変更されるか、変更がファイルサイズに影響するかどうかなどを確認できます。場合によっては、ファイルのどの部分が変更されたかを大まかに知ることさえできます。

Dropboxは一定量のファイル履歴（サブスクリプションと設定によっては30日以上）を保存します。これにより、永続的なプレゼンスがなくても、明らかに制限されたウィンドウでこれが可能になります。

履歴ベースの攻撃（パッシブ）

さらに、攻撃者が1つのファイルへの非常に膨大な量の変更（おそらく数百万）を見ることができる場合、メタデータだけでなく、その情報を活用して数学レベルでさらに詳細な情報を入手できる可能性があります。

しかし現実的にはそうではないでしょう。既知の攻撃は実際には存在せず、Dropboxで同期されたファイルは通常、提案された攻撃パターンが関連するのに十分な時間は変更されません。そして、Dropboxでは、たとえそうであっても、何百万もの古いリビジョンのセットを1つのファイルにダウンロードするだけではありません。

書き込みベースの攻撃

攻撃者が解読しようとするファイルを書き込むことができる場合、今いくつかの本当の問題を抱えています。少なくとも、攻撃者はファイルを選択的に削除または破棄できます。メタデータをガイドとして使用することで、どのファイルを壊すかを推測することもできます。さらに、ファイルの特定の部分のみを破壊できる可能性があります。

また、スパースファイルについて少し覚えておいてください。攻撃者は、対応する暗号文をゼロにすることにより、ファイルの巨大なチャンクをゼロにすることができます。

さらに、Dropboxへの書き込みアクセス権を持つ攻撃者は、ファイルを以前のバージョンに戻す可能性があります...これはDropboxの明示的な機能でもあります。プラットフォームの機能自体を深刻な脆弱性と見なす場合、Dropboxが本当に最初に探しているものかどうかを自問する必要があります。

そして、それがここでの要点です。クラウド同期サービスの上にクライアント側の暗号を重ねることは、2番目の防御層のようなものです。しかし、生成しようとしている保証が、基盤となるプラットフォームの機能に明示的に反する場合は、おそらく正方形のペグを丸い穴に打ち込むことを試みているでしょう。慎重に選択したツールを使用して機能的なソリューションを作成できる可能性がありますが、基礎となるサービスが不要なことを正確に実行するように最適化されているため、全体的なエクスペリエンスは悪化します。

インタラクティブな攻撃

攻撃者が暗号文を変更し、平文が何であったか（またはそれが完全に解読されたかどうか）を確認できる場合、おそらく数百万または数十億のファイル変更を解読鍵に加えることができます。実際にキーを取得するためのknown攻撃はありません。しかし、それらがcouldを実行する場合、それはボリューム全体のマスターキーになります。これが、その事実を取り上げる価値がある主な理由です。また、これに対する防御策の1つ（MAC設定）は、攻撃者が簡単に無効にすることができます。

また、攻撃者が被害者のマシンでコードを実行している場合、攻撃者はタイミング情報を利用してキーを知ることができる可能性があります。ここでも実際の既知の攻撃はなく、推測のみです。そして、これらの場合、攻撃者は通常、実際にはキーを必要としないほど十分な位置にいます。

結論

一般的な「個人用ファイル」の使用例では、一般的な攻撃モデルでは、EncFSは通常問題ありません。 Dropboxのファイル変更履歴を考慮しても、平均的なユーザーの期待を満たすレベルの保護を提供します。メタデータというのは、ストーリーの中で最も確実に悪用される部分であり、攻撃者がメタデータだけからどれだけのことを学べるかについてほとんど考えられないということです。

しかし、より深刻な保護のために、特にこれが何らかの自動化または共有セットアップで機能している場合は、この種のパススルーシステムではなく、ディスクイメージを暗号化することをお勧めします。そして、Dropboxも必要ないでしょう。