(In)Transparenz von Open Source Entwicklung – Das Beispiel EncFS

Symbolbild "Computer Sicherheit"

EncFS ist im übertragenen Sinne die Mutter der Cloudverschlüsselung. Obwohl nicht unbedingt dafür gemacht, bot sich die dateibasierte Verschlüsselung für die Cloud geradezu an. Die erste Version des überaus populären Boxcryptor (siehe: Boxcryptor – Proprietäre Cloudspeicher-Verschlüsselung) setzte somit auch auf eine modifizierte EncFS Implementierung. Ein Audit 2014 setzte dem aber ein jähes Ende. Ob die gravierenden Schwachstellen heute behoben sind ist trotzdem unklar.

Der Audit-Bericht kam 2014 zu dem Ergebnis, dass die Verschlüsselung nicht sicher ist, wenn mehr als eine Version der Datei vorliegt. Dies ist beim Cloudeinsatz die Regel, weshalb EncFS für selbigen ungeeignet ist. Die Homepage zeigt keinen Verweis auf den Audit, ebenso die Github-Seite.

Die überprüfte Versionsnummer war damals 1.7.4, inzwischen ist man bei 1.9.4 angelangt. Das Changelog schweigt sich aber darüber aus, ob die Schwachstellen von damals behoben wurden. Zumindest eine Schwachstelle scheint offen zu sein und ist erst für Version 2 zur Behebung vorgesehen. Auch weitere minder schwere Schwachstellen scheinen nicht behoben zu sein.

Man ist hier immerhin so transparent, dass die Bugreports und ihr Status einsehbar sind. Wenn man als unbedarfter Anwender aber nicht in den tiefen des Projekts wühlt, könnte man auf die Idee kommen EncFS wäre sicher. Im Internet wird es schließlich auch allenthalben empfohlen und die regelmäßigen Veröffentlichungen verweisen auf ein aktives Entwicklungsgeschehen.

Transparenz und Verantwortung gegenüber dem Anwender sieht anders aus!


Bilder:
Einleitungsbild und Beitragsbild von von mohamed Hassan via pixabay

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...