【51CTO.com快譯】從安全角度來看，云存儲本不該出現(xiàn)。問題是，它依賴用戶信任提供商的能力，但常常只有提供者的口頭保證。然而，云存儲對許多公司和個人來說太方便了，我們無法避免它。幸好，用戶只存儲加密的文件，可以重新獲得安全。

有眾多工具可用于云端加密，一些是專有的。但是這種解決方案還需要信任――它們只是將信任要求轉(zhuǎn)移給第三方，基本的安全要求用戶自行驗證安全。

更好的解決方案是使用開源工具在將文件放入在線存儲之前對其進行加密。Linux中，這方面最有用的三款工具是EncFS、Cryptomator和Tahoe-LAFS。顧名思義，這每一款工具都將在線存儲視為虛擬文件系統(tǒng)，不過它們的質(zhì)量差異很大。

1.EncFS

EncFS常用于創(chuàng)建加密的虛擬文件系統(tǒng)。如果你使用將遠程目錄與本地目錄同步的存儲站點，它可以像本地環(huán)境一樣輕松地創(chuàng)建遠程虛擬文件系統(tǒng)。比如使用Dropbox，設置一切的命令將是：

encfs ~/Dropbox/encrypted ~/Private 

該命令在主目錄中為加密文件創(chuàng)建一個目錄，為未加密文件創(chuàng)建另一個目錄。該命令通過詢問一系列問題來創(chuàng)建加密目錄。你可以按p鍵進入默認的偏執(zhí)模式，或按x鍵進入專家模式，手動選擇加密選項。專家問題解釋得很清楚，所以連新手也​應該​毫不費力地回答，只要接受默認值即可。另外，可以使用--standard選項(使用預定義設置)運行命令，跳過回答問題環(huán)節(jié)，該選項使用預定義設置。

用戶下次與Dropbox上的在線存儲同步時，加密目錄會添加到其中。添加到/ Private目錄的文件將自動添加到~-Dropbox/-encrypted。

但請注意，EncFS無法防止提供商移動或刪除文件。同樣，你在Debian“穩(wěn)定”版中安裝EncFS版本時，2014年的說明警告：它易受到對文件擁有讀寫訪問權限的用戶威脅，包括降低加密復雜性和使用時序分析。該問題在Testing存儲庫版本中的Testing存儲庫中似乎已得到解決，所以使用這一個。

圖1. EncFS的專家模式很清楚地解釋了大多數(shù)用戶應該能夠使用它

2.Cryptomator

Cryptomator的工作流程在結構上與EncFS非常相似。主要區(qū)別在于一些術語，比如在Cryptomator中，加密目錄叫“vault”。

Cryptomator的窗口打開后，顯示創(chuàng)建vault或打開vault的選項。當然，Cryptomator運行時，必須通過賦予路徑和密碼來創(chuàng)建vault。回到打開的窗口，用戶可以打開vault，使用系統(tǒng)的文件管理器將文件拷貝到vault。添加到vault的所有文件會自動加密。與EncFS一樣，用戶同步時，存放在Dropbox等存儲提供商的本地目錄中的vault將上傳到云端。

青睞EncFS還是Cryptomator取決于你的習慣。如果你想對加密過程擁有控制權，可能更喜歡EncFS。然而如果你更喜歡桌面應用，更可能偏愛Cryptomator。

圖2. Cryptomator有一個圖形界面，所有人都可以使用加密功能

3.Tahoe-LAFS

Tahoe-LAFS提供最全面的解決方案。LAFS的全稱是“Least Authority FileSystem”，是指經(jīng)典原則：權力最小的文件系統(tǒng)。Tahoe基本上旨在為云存儲提供商提供對用戶數(shù)據(jù)盡可能小的控制。

首先，Tahoe使用2000位RSA公鑰自動加密所有文件。它包括加密文件的選項以及使用Tor的選項。

然而，Tahoe的獨特之處在于分散文件的功能。用戶可以設置網(wǎng)格(服務器集合)用于存儲。該功能意味著文件實際上可以存儲在多臺服務器上。比如說，用戶可以將文件的一部分存儲在Dropbox上，將另一部分存儲在谷歌存儲服務上，那樣任何服務都無法完全控制該文件。想解密和打開文件，用戶必須訪問所有存儲帳戶。

另外，每個文件都可以防范服務器故障或任何其他數(shù)據(jù)丟失。默認情況下，每個文件有10個部分或共享區(qū)，需要其中任何三個部分才能使用該文件。大多數(shù)共享區(qū)實際上可能會丟失，而文件仍可以檢索。每個文件上傳后，用戶可以將共享區(qū)調(diào)整到最多256個。較少的共享區(qū)需要較少的計劃，更多的共享區(qū)提供更高的安全性。針對上傳共享區(qū)的每個位置，Tahoe添加了文件上限，這個文件用于檢查加密密鑰完整性，查找其他共享區(qū)以及檢索文件。代替用戶信息或權限，對文件的訪問受到加密密鑰信息的管控。為了進一步提高安全性，上傳的文件無法編輯，如果對其進行任何更改，必須再次上傳。在每一步，存儲提供商都擁有最小權限，只是完全被動的角色。

除了這種基本安排外，Tahoe還包括一個可選的Web界面和一個實用程序，后者告知用戶共享區(qū)的數(shù)量是否低于檢索所需的最小數(shù)量。還可以使用眾多的相關項目，包括備份工具、實用程序集以及與其他應用程序(包括Puppet)一起使用的插件。

Tahoe需要戰(zhàn)略規(guī)劃，在上傳任何文件之前可能需要一些時間進行設置。如果共享區(qū)數(shù)量或在線存儲位置方面沒有完善的策略，結果很容易變得混亂。然而一旦設置到位，Tahoe提供的安全性是非常高的。

圖3. TahoeLAFS有一個獨特的在線高級加密設置

原文標題：Three encryption tools for the cloud，作者：Bruce Byfield

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】