Pascal 的博客条目显示了一些弱点，其中一些在ownCloud 的咨询中被召回，但他们没有回忆起最坏的情况。

将加密密钥作为文件存储/tmp已经很糟糕了，特别是因为/tmp在许多 Linux 和 *BSD 操作系统中它是一个真正的基于磁盘的目录（我通常将 my 配置/tmp为基于内存的文件系统，但这不是默认设置） . 因此，一些加密密钥将使其进入物理存储。众所周知，删除文件并不会清除数据；它只是将相应的块标记为可重用。在创建一些新文件之前不会覆盖数据。因此，可以假设如果未通电的服务器被盗，一些密钥会泄漏。

最严重的弱点是密钥生成。帕斯卡将其描述为：

总熵的计算，以及猜测密钥的努力，都留给了读者……更不用说最大可实现量 4*log ₂ (99999-10000+1) = 65.8 位熵，这远远从推荐的最小值 80 位。

关于“65.8 位”的位具有误导性：这意味着 ownCloud 生成密钥的方式意味着该数量的最大熵......假设所涉及的 PRNG 是完美的。但他们不是。65.8 来自 10000..99999 范围内的四个整数的密钥产生。但它们来自 Mersenne twister PRNG，它本身播种了另一个 PRNG，而后者又从当前时间和线程标识符播种。时间以微秒计；让我们假设攻击者以一秒的精度知道那个时间。我们还假设一个 16 位线程标识符。那充其量是36 位的熵。仅仅一台 PC 将在最坏的情况下花费几个小时（加密使用 Blowfish，它的密钥时间表相当昂贵， 昂贵的）。

当然，由于涉及密码，因此攻击密码可能更容易，但是这种低熵密钥生成可以防止对大的随机密码进行强化。这是比较无望的。如果 Mersenne twister 被一个体面的、加密的强 PRNG 和适当的播种（例如简单地从 读取/dev/urandom）替换，那么其他弱点将是严重关注的来源，但弱播种胜过一切。

我对此的解决方案是使用 Linux 的文件系统加密 (LUKS)。如果您愿意，您可以加密该服务器上除 /boot 之外的所有内容，它自然也包括 ownCloud 存储的所有内容。借助 AES-256 之类的东西和良好的密码，物理妥协仍然可以使您的数据保密。这是我越来越多地在我所有的盒子上做的事情。鉴于现代微处理器的强大功能，即使您没有加密加速器，也不会出现太多减速。

CentOS 网站的以下链接显示了如何执行此操作。这些说明基本上适用于任何其他 GNU/Linux 发行版（我在第一个发行版中使用了 Slackware）。

http://wiki.centos.org/HowTos/EncryptedFilesystem

如果您在 BSD 上运行，那么它们还支持文件系统加密。我只是还没有在那里尝试过，但是来自 OpenBSD 的这个应该让你开始。OpenBSD 使用其 softraid 实用程序不仅用于软件 RAID，还用于整个分区加密。

http://www.openbsd.org/cgi-bin/man.cgi?query=softraid&sektion=4

希望这可以帮助，

--SYG