Auch unter Linux bzw. Ubuntu steht mit eCryptfs eine wirksame Methode zur Verschlüsselung privater Ordner zur Verfügung.
Vorbereitungen
Die Software eCryptFS verwendet intern eine AES Verschlüsselung. Durch die damit verbundenen Rechenoperationen wird das System natürlich bei Schreib- und Lesezugriffen entsprechend ausgebremst. Die meisten Prozessoren ab ca. Ende 2010 unterstützen die Hardwarebeschleunigung AES-NI.
Vor der Verwendung müssen wir zunächst das notwendig Paket mittels Apt installieren:
sudo apt-get install ecryptfs-utilsKonfiguration - Automatisch
eCryptfs liefert unter Ubuntu fertige Skripte zur Einrichtung eines verschlüsselten Verzeichnisses mit. Diese sparen einem im Vergleich zur manuellen Methode (siehe unten) doch einiges an manueller Tipparbeit.
ecryptfs-setup-private- login passphrase: Passwort zur Anmeldung des aktuellen Benutzers
- mount passphrase: Passwort, welches zur Entschlüsselung des Ordners dient
Das Setup Tool erzeugt nun automatisch zwei neue Ordner .Private/ (beinhaltet verschlüsselte Dateien) und Private/ (beinhaltet entschlüsselte Dateien).
Um den Ordner jetzt einzubinden genügt ein neuer Login am System. Alternativ kann dies auch manuell angetriggert werden.
ecryptfs-mount-privateDas Ausbinden des Verzeichnisses ist über den Befehl ecryptfs-umount-private möglich.
Konfiguration - Manuell
Im ersten Schritt legen wir zwei neue private Ordner an. Im versteckten Ordner .crypt (mit Punkt am Anfang) befinden sich die unleserlichen verschlüsselten Dateien.
Der zweite Ordner (crypt) ist unser späterer Mountpunkt für den eigentlichen Zugriff auf die Dateien.
mkdir ~/.crypt ~/cryptAnschließend konfigurieren wir die Verschlüsselung über eCryptfs.
sudo mount.ecryptfs /home/$USER/.crypt /home/$USER/crypt- Passphrase: Passwort, welches zur Entschlüsselung des Ordners dient
- Select cipher: Cipher Suite - Für AES mit Enter bestätigen
- Select key bytes: Schlüsselgröße - Für 16 mit Enter bestätigen
- Enable plaintext passthrough: Plaintext Passthrough - mit Enter verneinen
- Enable filename encryption: Dateinamen Verschlüsselung - mit y + Enter bestätigen
- Filename Encryption Key: Mit Enter bestätigen
Abschließend die restlichen Nachfragen mittels yes bestätigen.
Fstab
Um das Verzeichnis zukünftig auch ohne Root Rechte einbinden zu können, muss dieses in die Datei /etc/fstab eingefügt werden. Hierzu suchen wir uns den von eCryptfs erstellen Mountpunkt heraus.
grep /home/$USER/crypt /etc/mtabDieser Befehl sollte entsprechend der eigenen Einstellungen nachfolgende Zeile zurückliefern.
/home/user/.crypt /home/user/crypt ecryptfs rw,ecryptfs_sig=1d5e4d11e4c92f6e,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_fnek_sig=1d5e4d11e4c92f6e,ecryptfs_unlink_sigs 0 0Die Stelle "rw,ecryptfs_sig" ersetzen wir durch "noauto,user,rw,ecryptfs_sig" um das Verzeichnis später als normaler Benutzer mit Lese- und Schreibrechten einbinden zu können.
Abschließend die Zeile an die Datei /etc/fstab anhängen:
sudo nano /etc/fstab...
/home/user/.crypt /home/user/crypt ecryptfs noauto,user,rw,ecryptfs_sig=1d5e4d11e4c92f6e,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_fnek_sig=1d5e4d11e4c92f6e,ecryptfs_unlink_sigs 0 0Keyring
Nun müssen wir noch den Passphrase zur Entsperrung im Keyring unseres Benutzers hinterlegt.
ecryptfs-add-passphraseIm Anschluss können wir unser Verzeichnis jederzeit über nachfolgenden Befehl einbinden / entschlüsseln:
mount -i ~/geheim/Fazit
Eine Verschlüsselung wichtiger Daten ist mittel eCryptfs recht einfach möglich. Allerdings ist das verschlüsselte Verzeichnis auf einer einzelnen Festplatte noch nicht vor Datenverlust geschützt und zudem nicht von überall aus zugänglich.
Sichere Alternative hierzu ist unser Dienst StoreShelter bei dem die Daten physisch getrennt und in einem hochsicheren Rechenzentrum verschlüsselt gespeichert werden. Auf diese kann mittels 2-Wege Authentifizierung rund um die Uhr mittels nativer Fileshares (SMB, NFS, AFP, etc.) zugegriffen werden.
Quellen: eCrytfs Logo
Ähnliche Artikel
Suchen
Hinterlasse einen Kommentar