Je documente/partage ici un petit comparatif de softs de chiffrement unitaire de fichiers sous Windows.
Mon but est d'avoir un truc relativement simple et maîtrisé pour chiffrer des répertoires et des fichiers avant de les stocker dans le nuage (hubiC ou autre). Truecrypt n'est pas adapté pour cela.
Comme je souhaite aussi que le mécanisme de chiffrement soit multi-plateforme (ie je veux pouvoir déchiffrer depuis un Linux ou un BSD) je cherchais au départ un client encFS pour Windows.
PC de test : core i7-4790S 4C/8T avec instruction AES-NI + 16Go de RAM // Win7 ultimate x64
Toutes les opérations disques (lecture des fichiers sources et écriture du résultat chiffré) se font sur un SSD PCI-Ex Revodrive X2.
Bien sûr j'ai utilisé le même jeu de données pour faire un comparatif valable. On trouve dedans un album en FLAC, un des MP3, des photos en JPG, des vidéos MKV/MP4/AVI/WMV, des archives ZIP, des exécutables, une sauvegarde MailStore (fichiers DAT), des PDF et des TXT.
Total = 2,72 Go
Passphrase identique pour chaque soft.
*******************************************************************************
[*] EncFS MP x64 0.9.6 // http://encfsmp.sourceforge.net/ // profil Paranoïa AES avec clé 256 bits pour le chiffrement
Je copie mon dataset dans le lecteur virtuel présenté par le soft, le chiffrement se fait à la volée pendant la copie.
Durée de la copie :
Espionnage du process pendant qu'il bosse :
Ce que j'en pense :
[*]Le contenu est bien chiffré, y compris le nom de chaque répertoire et chaque fichier. Les fichiers n'ont pas d'extension. Pas testé la faisabilité du déchiffrement depuis un Linux mais je vois pas ce qui poserai problème.
[*]L'interface est simple et claire, on s'y retrouve très vite. C'est en anglais par contre.
[*]On peut choisir de garder la passphrase en RAM pour monter/démonter un volume chiffré à la volée tant que le soft reste ouvert.
[*]Bref du bon boulot.
*******************************************************************************
[*] Safe v1.4 // http://www.getsafe.org // encFS AES 256 bits
Ce soft fait tourner un serveur WebDAV local pour présenter le volume chiffré au système comme si c'était un lecteur réseau.
Déjà je constate que le montage du volume est sensiblement plus long.
Ensuite je lance la copie de mes fichiers... et là c'est le drame! La copie met beaucoup de temps à démarrer, et reste très lente par la suite... Copie annulée après 6min30 et seulement 6% d'avancement.
Mais que fait le process... :
Ce que j'en pense :
[*]... bah c'est de la m*rde :/
[*] euh et c'est quoi cette activité réseau alors que je suis sur un disque local ?! un rapport avec le fait que le développeur soit employé par Dropbox ..??
*******************************************************************************
[*] Cloudfogger 1.4.2160 // https://www.cloudfogger.com/en/ // AES 256 bits mais le site ne dit pas clairement si c'est du encFS à l'intérieur
Soft similaire à BoxCryptor (payant) signalé par micha.
Bon pas chaud au début avec l'histoire du compte à créer chez eux, sur un mode webservice. Après j'ai vu l'existence du mode "local" à choisir lors de l'installation. Mais c'est pas clair quand même... cf plus bas.
Copie de mon dataset dans le répertoire chiffré par Cloudfogger.
Durée de la copie :
Espionnage du process pendant qu'il bosse :
Ce que j'en pense :
[*]Le mode local va quand même créer une sorte de compte avec un identifiant (6 chiffres) et notre password/passphrase. Il faut s'identifier dans l'appli avec cet id pour lire le volume chiffré. Et l'appli propose d'upgrader son compte vers un compte web qui semble permettre la "sauvegarde" de sa passphrase chez eux... J'ai p'tet mal compris mais pour du chiffrement symétrique leur modèle me pose un problème. :/
[*]Perfs un peu moins bonne que EncFS MP mais ça marche quand même bien.
[*]Le nom des fichiers et des répertoires restent en clair !! Pas terrible
[*]Les fichiers chiffrés récupèrent une extension .cfog
[*]je doute de la possibilité de déchiffrer sous Linux avec commandes encfs // des utilisateurs réclament un client Linux, ça semble indiquer que ce n'est pas le cas ...
[*]Comme Safe, la trace du process indique une petite activité réseau qui n'a pas lieu d'être
*******************************************************************************
[*] CryptSync x64 1.2.1 // http://stefanstools.sourceforge.net/CryptSync.html // AES 256 bits via les options de chiffrement de 7-zip
Un dernier soft avec une approche sympa qui n'est pas du encFS >> les fichiers sont chiffrés et compressés individuellement par 7-zip.
Le résultat est donc un paquet de petites archives 7z qui seront tout à fait manipulables sous un autre OS. Bon ça peut vite devenir galère si tu dois déchiffrer 100 fichiers sous Linux en ligne de commande....
Un peu plus galère de mesurer les perfs ici. J'ai copié le dataset dans le dossier source à l'avance puis j'ai activé le chiffrement en background et j'ai regardé dans les logs du soft l'horodatage des opérations
>> 6min 24sec
Pas tellement possible de tracer un process non plus pcq c'est une flopée de process 7z qui font le taff. L'avantage c'est qu'il est massivement parallélisé. Les 8 threads sont utilisés alors que les autres softs utilisaient seulement les 4 cores physiques. C'est pas plus perf pour autant ....
Ce que j'en pense :
[*]bah déjà que j'ai eu 21 fichiers en erreur et donc non présent dans le répertoire chiffré, à priori à cause d'un nom de fichier ou chemin trop long
[*]les logs contiennent toutes les opérations, avec les noms et chemins des fichiers :/
[*]choix de chiffrer ou non les noms des fichiers et des répertoires
[*]possibilité d'exclure automatiquement certains fichiers (par défaut le masque fourni : *.tmp*|~*.*|thumbs.db|desktop.ini )
[*]possibilité de filtrer certains fichiers pour qu'ils soient copiés mais pas chiffrés
*******************************************************************************
