我想在本地创建一个加密文件系统(所以只有我知道密钥),然后将其 rsync 到不受信任的远程机器。
然后我想通过 sshfs 挂载远程加密文件系统。
我的目标:
远程计算机上的任何人都看不到我的文件内容、文件名或任何其他有用的信息
对于我的本地计算机和远程计算机之间的网络上的任何人来说都是一样的。
答案1
假设您的“加密文件系统”类似于文件托管的 TrueCrypt 卷,而您只是将该文件复制到另一个系统,那么通过 SSHFS 挂载应该相对安全,因为您从远程系统读取的数据将被加密,然后您将在本地解密。同样,您将在本地加密任何修改,然后以加密形式将其写入远程系统。因此总的来说,远程系统上不应该有任何解密数据。
不过,你还是应该记住以下几点:
- 您最好确保您的密码绝对无法破解,因为没有什么可以阻止远程系统上的攻击者尝试通过暴力破解来解密您的数据。
- 根据您使用的软件,您可能无法轻松检测到远程攻击者是否修改了您的数据。您的磁盘加密软件很可能假设您对包含加密卷的设备具有物理控制权,因此该卷不会在您不知情的情况下被修改。因此,它不会费心实施任何身份验证(例如,使用 MAC)——这会产生额外的开销,而这些开销通常是不必要的(但在您的用例下可能不是)。
- 这更具推测性,但可能存在通过观察您的活动和/或活动时间而进行的微妙攻击。磁盘加密软件通常假设您具有本地安全性,在这种情况下这通常不会成为问题,但同样,您的用例并不十分“正常”。话虽如此,但只有经验丰富的攻击者才能实际利用这一点。