ubuntuusers.de

ubuntuusers.deWikiecryptfs

ecryptfs

Dieser Artikel wurde für die folgenden Ubuntu-Versionen getestet:

ecryptfs.png

Das Paket ecryptfs-utils bietet eine sehr einfache Möglichkeit

  • einen einzelnen Ordner (in der Regel ~/Private)

innerhalb eines "unverschlüsselten" Homeverzeichnisses, bzw.

  • das gesamte Homeverzeichnis (/home/<Benutzername>)

eines Benutzers zu verschlüsseln. Die Ent- bzw. Verschlüsselung geschieht dabei automatisch beim Ein-/Ausloggen des Benutzers.

Beschreibungen

Detaillierte Informationen zu ecryptfs-utils befinden sich in den Unterkapiteln:

Datenstruktur

ecryptfs/Einrichten/help-browser.png Falls es mal Probleme gibt, dann werden in dem separaten Artikel die Datenrettung beschrieben sowie weitere Hinweise zur Datenstruktur aufgezeigt.

Hinweise

Achtung!

Daten im "verschlüsselten" Bereich sind, sobald der jeweilige Benutzer sich angemeldet hat, auch prinzipiell von anderen Nutzern oder Anwendungen lesbar. Falls dies nicht gewünscht ist, sind die Rechte entsprechend zu setzen.

Soll das bestehende Login-Passwort eines Benutzers gewechselt werden, so ist es zwingend erforderlich, zeitnah auch die Datei .ecryptfs/wrapped-passphrase anzupassen. Siehe dazu Passwort ändern

Hinweis:

Die in diesen Artikeln verwendeten Begriffe sind wie folgt definiert:

  • Benutzername

Es ist die jeweils verwendete Bezeichnung des Benutzers einzusetzen, wie dieser zur Anmeldung verwendet wird.

  • Login-Passwort

Es ist die Zeichenfolge zu verwenden, mit der sich der Benutzer autorisiert / anmeldet.

  • Passphrase

Eine Zeichenfolge, die benutzt wird, die Daten auf dem Datenträger zu verschlüsseln.

Arbeitsweise

Die bei ecryptfs-utils verwendete Verschlüsselung belässt die verschlüsselten Daten auf dem jeweiligen Datenträger und ent- bzw. verschlüsselt jede Datei zeitnah, sobald man auf diese zugreift:

Es wird nur das, was im Dateimanager angezeigt wird, auch entschlüsselt. In gleicher Weise wird jede Veränderung zeitnah auf den Datenträger in verschlüsselter Form zurück übertragen. Das bedeutet, dass bei einem "Crash" auch nur maximal die gerade in Bearbeitung befindliche Datei zerstört sein wird (oder auch nur Teile davon, je nachdem wie die automatische Sicherung eingestellt ist).

Die (als Standard) eingesetzte Passphrase ist ein 128 bit AES Schlüssel, die in der Datei

  • .../.ecryptfs/wrapped-passphrase

abgelegt wird. Diese Passphrase wiederum wird mit dem Login-Passwort verschlüsselt ("salted") und ist somit vor einem einfachen Zugriff geschützt. Für den Datenzugriff durch die Kernel-Routinen wird die entschlüsselte Passphrase im RAM-Bereich an geeigneter Stelle und Form nach dem Einloggen abgelegt und beim Ausloggen unbrauchbar unkenntlich überschrieben.

Diese Revision wurde am 20. September 2014 11:33 von V for Vortex erstellt.
Die folgenden Schlagworte wurden dem Artikel zugewiesen: Sicherheit, Verschlüsselung