[[Inhaltsverzeichnis(1)]] [[Bild(ecryptfs.png, 64, align=left)]] Das Paket '''ecryptfs-utils''' bot eine sehr einfache Möglichkeit, entweder einen einzelnen Ordner (in der Regel '''~/Private''') innerhalb eines ''"unverschlüsselten"'' [:Homeverzeichnis:Homeverzeichnisses] oder das gesamte Homeverzeichnis ('''/home/BENUTZERNAME/''') eines Benutzers zu verschlüsseln. Die Ent- bzw. Verschlüsselung geschah dabei automatisch beim An-/Abmelden des Benutzers. {{{#!vorlage Hinweis Angesichts jahrelang unbehandeltem Bug, dem Entfernen der Anleitung bei ubuntu.com mit dem Hinweis das Verfahren sei [https://discourse.ubuntu.com/t/security-ecryptfs/11886 überholt] {en} kann man jedem, der mit Verschlüsselung __beginnen__ möchte, nur ans Herz legen sich die [:Daten_verschlüsseln: Alternativen] anzuschauen. }}} = Arbeitsweise = Die bei `ecryptfs-utils` verwendete Verschlüsselung belässt die verschlüsselten Daten auf dem jeweiligen Datenträger und ent- bzw. verschlüsselt jede Datei zeitnah, sobald man auf diese zugreift: Es wird nur das, was im [:Dateimanager:] angezeigt wird, auch entschlüsselt. In gleicher Weise wird jede Veränderung zeitnah auf den Datenträger in verschlüsselter Form zurück übertragen. Das bedeutet, dass bei einem "Crash" auch nur maximal die gerade in Bearbeitung befindliche Datei beschädigt wird (oder auch nur Teile davon – je nachdem, wie die automatische Sicherung eingestellt ist). Die (als Standard) eingesetzte Passphrase ist ein 128-bit-AES-Schlüssel, der in der Datei '''~/.ecryptfs/wrapped-passphrase''' abgelegt wird. Diese Passphrase wiederum wird mit dem Anmelde-Passwort verschlüsselt ("salted") und ist somit vor einem einfachen Zugriff geschützt. Für den Datenzugriff durch die Kernel-Routinen wird die entschlüsselte Passphrase im RAM-Bereich an geeigneter Stelle und Form nach dem Einloggen abgelegt und beim Ausloggen unbrauchbar unkenntlich überschrieben. Detaillierte Informationen zu `ecryptfs-utils` befinden sich in drei Unterartikeln. Die in diesen Artikeln verwendeten Begriffe sind wie folgt definiert: * ''"Benutzername"'' - Es ist die jeweils verwendete Bezeichnung des Benutzers einzusetzen, wie dieser zur Anmeldung verwendet wird. * ''"Login-Passwort"'' - Es ist die Zeichenfolge zu verwenden, mit der sich der Benutzer autorisiert/anmeldet. * ''"Passphrase"'' - Eine Zeichenfolge, die benutzt wird, die Daten auf dem Datenträger zu verschlüsseln. {{{#!vorlage Warnung Daten im "verschlüsselten" Bereich sind, sobald der jeweilige Benutzer sich angemeldet hat, auch prinzipiell von anderen Nutzern oder Anwendungen lesbar. Falls dies nicht gewünscht ist, sind die [:Rechte:] entsprechend zu setzen. Soll das bestehende Login-Passwort eines Benutzers gewechselt werden, so ist es zwingend erforderlich, zeitnah auch die Datei '''~/.ecryptfs/wrapped-passphrase''' anzupassen. Siehe dazu [:ecryptfs/Nutzung#Wechsel-Login-Passwort:Passwort ändern]. }}} {{{#!vorlage Warnung Der Wechsel zu systemd führte zu einer Regression in ecrypts, die für das Einbinden/Auswerfen verschlüsselter Home-Verzeichnisse beim An- und Abmelden verantwortlich ist. Zu beachten ist, dass aufgrund dieses Problems in [:Xenial_Xerus: Ubuntu 16.04] und neueren Versionen das Home-Verzeichnis beim Abmelden nicht mehr in einen verschlüsselten Zustand zurückgeführt wird: [bug:1734541:] siehe [:ecryptfs/Einrichten/#Problembehebung:]\\ sowie [:ecryptfs/Einrichten/#bekanntes-Problem-mit-dem-Workaround:] }}} = Einrichten = Im separaten Artikel [:ecryptfs/Einrichten:Einrichten] werden die Installation und das Entfernen der Verschlüsselung beschrieben: * [:ecryptfs/Einrichten#Einrichtung-Verzeichnis-Private:Einzelnes Verzeichnis einrichten] * [:ecryptfs/Einrichten#Homeverzeichnis-umstellen: Homeverzeichnis nach einer Installation umstellen] * [:ecryptfs/Einrichten#Altes-Homeverzeichnis-verschluesseln:Bestehendes Homeverzeichnis umstellen] * [:ecryptfs/Einrichten#Verzeichnis-Private-entfernen:Verzeichnis Private entfernen] * [:ecryptfs/Einrichten#Verschluesselung-des-Homeverzeichnisses-entfernen:Verschlüsselung des Homeverzeichnisses entfernen] * [:ecryptfs/Beliebigen_Ordner_verschlüsseln:Beliebigen_Ordner_verschlüsseln] = Nutzung = In dem separaten Artikel [:ecryptfs/Nutzung:Nutzung] werden Hinweise gegeben, wie man die verschlüsselten Daten benutzen kann. * [:ecryptfs/Nutzung#Automatisches-Login:Automatisches Login] * [:ecryptfs/Nutzung#Manuelles-Sperren-Entsperren:Sperren bzw. Entsperren der Daten] * [:ecryptfs/Nutzung#Wechsel-Login-Passwort:Passwort ändern] * [:ecryptfs/Nutzung#Anwendung-Server:Server mit verschlüsseltem Verzeichnis] * [:ecryptfs/Nutzung#Trash-bereinigen:Papierkorb leeren] * [:ecryptfs/Nutzung#Daten-sichern:Hinweise zu einem Backup] * [:ecryptfs/Nutzung#Separate-Partition-einbinden:Eine separate Partition einbinden] * [:ecryptfs/Nutzung#Dateinamen-mit-locate-anzeigen:Dateinamen mit locate anzeigen] * [:ecryptfs/verschlüsseltes_Benutzerverzeichnis_umbenennen: verschlüsseltes Benutzerverzeichnis umbenennen] = Datenstruktur = Falls es mal Probleme gibt, dann werden in dem separaten Artikel die [:ecryptfs/Datenrettung:Datenrettung] beschrieben sowie weitere Hinweise zur Datenstruktur aufgezeigt. * [:ecryptfs/Datenrettung#Systempfade-der-Schluesseldateien:Verzeichnisse für die Schlüsseldateien] * [:ecryptfs/Datenrettung#Daten-einbinden:Daten zum Auslesen einbinden] * [:ecryptfs/Datenrettung#Schluesseldaten-reparieren:Schlüsseldaten reparieren] = Links = == Intern == * [:ecryptfs/Einrichten:] - wie man eine Verschlüsselung installiert/entfernt * [:ecryptfs/Nutzung:] - wie man seine Daten bearbeiten und nutzen kann * [:ecryptfs/Datenrettung:] - Struktur der Schlüsseldaten und Datenrettung * [:Daten_verschlüsseln:] {Übersicht} Übersichtsartikel == Extern == * [https://ecryptfs.org eCryptfs-Projektseite] {en} * [ubuntu_doc:community/EncryptedPrivateDirectory:HowTo in der Community Help Wiki] {en} (September 2012) * [https://defuse.ca/audits/ecryptfs.htm eCryptfs Security Audit] {en} (Januar 2014) #tag:Sicherheit, Verschlüsselung, Übersicht