Dieser Artikel ist größtenteils für alle Ubuntu-Versionen gültig.
Dieser Artikel erfordert mehr Erfahrung im Umgang mit Linux und ist daher nur für fortgeschrittene Benutzer gedacht.
Aus Gründen der Geheimhaltung sensibler Daten, aber auch zur Wahrung der Privatsphäre, bietet es sich an, Daten zu verschlüsseln. Dazu gibt es – je nach Verwendungszweck – mehrere Möglichkeiten:
Verschlüsselung einzelner Dateien mit
Verschlüsselung einzelner Verzeichnisse mit
Homeverzeichnis verschlüsseln mit
Verschlüsselung des gesamten Systems während der Installation (bis auf /boot):
Verschlüsselung von Daten mit Hilfe von Containern
In diesem Artikel werden die Möglichkeiten 1a, 1b, 1c und 3a behandelt. Die Beschreibung der anderen Programme bzw. Verfahren sind den jeweiligen Artikeln zu entnehmen.
Das Verschlüsseln von Daten kann der Sicherheit bei der Wahrung der Privatsphäre oder sensibler Daten dienen, beinhaltet aber in der Konsequenz, dass eine eventuell zukünftig notwendige Datenrettung durch eine manuelle Entschlüsselung erschwert werden kann. Eine Entscheidung für oder gegen eine Datenverschlüsselung sollte daher nicht leichtfertig erfolgen. Empfohlen wird eine individuelle Nutzen-Risiko-Abwägung, bezogen auf Anwendungsbereich, Computerkenntnisse des Nutzers oder ähnliche Faktoren, um die Gefahr eines späteren Datenverlusts zu minimieren.
Ohne ein sicheres Kennwort nutzt die stärkste Verschlüsselung nichts! Wie man Passwörter am besten wählt, findet man im Sicherheits 1x1.
Wirkliche Sicherheit bietet Verschlüsselung nur, wenn alle Bereiche, in denen temporäre Dateien (z.B. in /tmp) gespeichert werden, ebenfalls verschlüsselt sind. Ansonsten besteht das Risiko, dass (beispielsweise durch das Bearbeiten von Textdokumenten) Sicherungskopien dieser Dateien auf unverschlüsselte Bereiche der Festplatte kopiert werden. Daher sollte man, wenn möglich, das gesamte System verschlüsseln oder zumindest die Vorbereitung zur Teilverschlüsselung durchgearbeitet haben.
Die Verschlüsselungsalgorithmen der in diesem Artikel vorgestellten Verschlüsselungsverfahren gelten als sicher und ungebrochen. Das heißt, es gibt bis heute keine Methode, eine der hier vorgestellten Verschlüsselungsverfahren zu knacken, außer durch zeitaufwendiges Brute Force bzw. das "einfache" Durchprobieren sämtlicher möglichen Schlüssel.
Der große Nachteil dieser Methode ist, dass man eine Datei jedes Mal manuell ver- und entschlüsseln muss. Außerdem muss man die Originaldatei jedes Mal löschen. Dies ist auf Dauer nicht nur etwas mühselig, auch sind die gelöschten Original-Dateien unter Umständen wiederherstellbar, wenn diese nicht mit wipe oder shred entsorgt werden.
Möchte man einzelne Dateien verschlüsseln, so kann man dies mit GnuPG realisieren oder mittels gpg4usb. Das Verschlüsseln von Dateien findet im Terminal [3] statt. Durch Eingabe von
gpg -c DATEINAME
wird die Datei DATEINAME nach doppelter Eingabe eines Passwortes verschlüsselt.
Durch das Argument --cipher-algo
kann der Verschlüsselungsalgorithmus manuell bestimmt werden, standardmäßig wird hier CAST5 verwendet. Um eine Liste der unterstützten Algorithmen einzusehen, genügt die Eingabe von gpg --version
im Terminal. Auch die Verschlüsselung von Dateien mit einem öffentlichen Schlüssel durch die Option -e
ist möglich.
Durch Ausführen von
gpg -d DATEINAME.gpg > DATEINAME
wird eine verschlüsselte Datei DATEINAME.gpg nach Eingabe des Passwortes wieder entschlüsselt und als DATEINAME gespeichert.
Das Programm ccrypt kann direkt aus den Paketquellen installiert werden.
Verschlüsseln:
ccencrypt foobar
Entschlüsseln:
ccdecrypt foobar
Entschlüsseln – nur auf die Standardausgabe:
ccat foobar
Weitere Informationen bietet die Manpage zur Anwendung.
Hier helfen zwei kleine Skripte. Diese können z.B. als ssl-encode.sh und ssl-decode.sh gespeichert werden. Dazu bieten sich die Ordner ~/bin (für einen einzelnen Benutzer) oder /usr/local/bin (bei systemweiter Nutzung) an.
Verschlüsseln:
1 2 3 4 5 6 7 | #!/bin/bash # make sure we get a file name if [ $# -lt 1 ]; then echo "Usage: $0 filename" exit 1 fi openssl enc -e -aes256 -in "$1" -out "$1".enc |
Entschlüsseln:
1 2 3 4 5 6 7 | #!/bin/bash # make sure we get 2 files if [ $# -lt 2 ]; then echo "Usage: $0 encrypted_file decrypted_file" exit 1 fi openssl enc -d -aes256 -in "$1" -out "$2" |
Nachdem, wie im Artikel LUKS beschrieben, eine verschlüsselte Partition angelegt worden ist, kann diese als /home genutzt werden. Damit diese Partition automatisch mit pam-mount
beim Anmelden eingebunden werden kann, müssen das jeweilige Nutzer-Passwort und ein Passwort der Partition identisch sein. Das Verfahren hat den Vorteil, dass es sich nahtlos in den normalen Anmeldevorgang einbindet und nur eine Passworteingabe nötig ist - allerdings ist es dann umso wichtiger, dass das gewählte Passwort von guter Qualität ist.
Sollte nicht das gesamte System verschlüsselt werden, besteht die Gefahr, dass persönliche Daten in unverschlüsselten Bereichen gespeichert werden. Um dieses Risiko zu minimieren, sollte der Artikel Vorbereitung zur Teilverschlüsselung durchgearbeitet werden. Ohne diese Maßnahmen ist die Verschlüsselung möglicherweise wirkungslos.
Zuerst muss das folgende Paket installiert [1] werden:
libpam-mount (universe)
mit apturl
Paketliste zum Kopieren:
sudo apt-get install libpam-mount
sudo aptitude install libpam-mount
Zuerst wird die verschlüsselte Partition geöffnet[7], welche als /home verwendet werden soll. Dann wird sie kurzfristig unter /mnt eingehängt:
cryptsetup luksOpen /dev/sdPARTITIONS_NUMMER NAME mount /dev/mapper/NAME /mnt
Anschließend werden alle Dateien von der ursprünglichen Home-Partition auf die neue, verschlüsselte kopiert[8]:
rsync -avx /home/ /mnt
Nachdem überprüft worden ist, ob alle Daten kopiert wurden, sollte man dort noch eine Test-Datei (z.B. Test.txt) erstellen, um nachher zu sehen, ob wirklich alles funktioniert hat. Abschließend hängt man dann die Partition wieder aus:
umount /mnt cryptsetup luksClose NAME
Damit pam-mount weiß, welche Partitionen es bei Anmeldung wohin einhängen soll, werden mit den folgenden Befehlen die entsprechende Zeilen in die allgemeinen Konfigurationsdateien eingetragen, die man dazu mit Root-Rechten öffnet [2]:
Nach demselben Schema kann man auch weitere Partitionen einbinden lassen, insbesondere in Pfade unterhalb von /home. Falls man bestimmte Partitionen nur für bestimmte Nutzer einbinden will, erweitert man entsprechend die Konfiguration:
In /etc/security/pam_mount.conf.xml wird unter der auskommentierten Dokumentation folgende Zeile eingetragen und UUID
durch die tatsächliche UUID der Partition ersetzt:
1 | <volume user="BENUTZERNAME" fstype="crypt" path="/dev/disk/by-uuid/UUID" mountpoint="/ABSOLUTER/PFAD/ZU/EINHÄNGEPUNKT" options="fsck,relatime" /> |
In aktuellen Ubuntu-Versionen werden die PAM-Module automatisch verwaltet.
Falls es bei der Benutzung von sudo und cron zu segfaults kommt, sind diese als Bug zu melden. Man kann das Problem beheben, indem man fest vorgibt, welcher Benutzer die verschlüsselte Partition verwenden soll.
Nachdem die Konfiguration nochmals geprüft worden ist kann man das System neu starten. Wenn man nach erfolgreicher Anmeldung in /home die entsprechende Test-Datei gefunden hat, arbeitet man mit dem verschlüsselten /home.
Möchte man abschätzen, welche Übertragungsgeschwindigkeiten zu erwarten sind, muss man v.a. CPU und Festplatte untersuchen. In erster Linie ist die CPU der Flaschenhals bei der Verschlüsselung, da die Festplatte erst nach der Verschlüsselung beschrieben wird, d.h. maximal soviele Daten schreiben kann, wie die CPU liefern kann.
Wie schnell die einzelnen CPUs von einer verschlüsselten RAM-Disk mit LUKS lesen können, kann man folgender Vergleichstabelle entnehmen. Zu beachten ist, dass bei einigen CPUs die Festplatte den Flaschenhals darstellt, da Übertragungsraten von bis zu 984 MB/s für herkömmliche Festplatten utopisch sind.
LUKS/Containerdatei - LUKS mit Containerdatei verwenden
gpg4usb - mobile Ver- und Entschlüsselung
Steghide - Informationen in Dateien verstecken
Datenschutz und Privatsphäre Artikelübersicht
cryptsetup und LUKS - Wikipedia
Technischer Datenschutz und Verschlüsselung - Anleitungen zum Verschlüsseln von Daten und Kommunikation
UsbCryptFormat - GUI für Linux zum Verschlüsseln externer Datenträger
Diese Revision wurde am 14. August 2016 13:55 von aasche erstellt.