2116961

Linux-Verschlüsselung: So sichern Sie Ihre Daten ab

05.05.2016 | 15:34 Uhr |

Umsatzzahlen, Strategiepapiere, Gehaltslisten gehören ebenso wenig in fremde Hände wie private Aufzeichnungen, Bilder, Kontendaten und Passwörter. Wo Verschlüsselung notwendig ist und wie sie am besten realisiert wird, zeigt dieser Artikel.

Verschlüsselung ist technisch überhaupt kein Problem. Es gibt unter Linux eine ganze Anzahl zuverlässiger Methoden , einzelne Dateien, dynamisch wachsende Ordner oder auch ganze Partitionen zu schützen. Verschlüsselung bedeutet aber immer erhöhte Komplexität und kostet ein Stück Disziplin und Komfortverlust. Daher ist es wichtig, angemessen zu verschlüsseln, also dort, wo es wirklich notwendig ist, und mit der Methode, die den geringsten Aufwand verursacht.

Enc FS: Verschlüsselte Ordner lokal und mobil

Daten auf einem mobilen Datenträger wie einem USB-Stick oder einer Notebook-Festplatte schützen Sie am bequemsten mit EncFS (Encrypted File System). Enc FS ist bei größeren Datenmengen komfortabler als die Einzelverschlüsselung von Dateien, und es ist dynamischer als die Volume-Methode von Truecrypt/Veracrypt, wo Sie beim Anlegen des verschlüsselten Volumes eine feste Größe vorgeben müssen. Truecrypt/Veracrypt dürfte weiterhin dort eine größere Rolle spielen, wo der Austausch verschlüsselter Daten zwischen Linux- und Windows-Rechner im Vordergrund steht.

Bei ausschließlichen Linux- und Android-Nutzern ist Enc FS die bessere Wahl (Android-App Cryptonite ). Enc FS ist auch mit Mac-OS X kompatibel, lediglich auf Windows-Systemen läuft Enc FS nur mangelhaft . Enc FS können Sie auf jedem externen Datenträger verwenden, ohne Sorge um das dortige Dateisystem: Ext2, Ext3, Ext4, FAT, FAT32, NTFS – alles ist möglich.

Die kostenloses Android-App ist voll kompatibel mit Enc-FS-Ordnern, die unter Linux verschlüsselt wurden.
Vergrößern Die kostenloses Android-App ist voll kompatibel mit Enc-FS-Ordnern, die unter Linux verschlüsselt wurden.

Installation und Einrichtung: Enc FS ist meist nicht vorinstalliert, doch in den Repositories aller wichtigen Linux-Distributionen zu finden. Unter Ubuntu oder Linux Mint installieren Sie es mit

sudo apt-get install encfs  

oder über das Software-Center. Danach können Sie sofort loslegen.

Im Prinzip lässt sich Enc FS vollständig über die Kommandozeile steuern und nutzen. Das hat einige Vorteile (siehe unten), jedoch beschreiben wir zunächst das von vielen Nutzen bevorzugte grafische Werkzeug Cryptkeeper. Auch dieses kleine Tool gehört nicht zum Standard und muss unter Debian / Ubuntu / Mint erst mit

sudo apt-get install cryptkeeper  

nachinstalliert werden.

Wo ist Verschlüsselung notwendig?

Es gibt zwei wesentliche Kriterien für den Einsatz von Verschlüsselung:

1. Auf welchem Gerät befindet sich eine Datei, und wie bedroht ist dieses Gerät, in fremde Hände zu geraten?

Hier folgen die wichtigsten Speicherorte mit absteigender Reihenfolge des Datenschutzrisikos:

  • Dateien in der Cloud befinden sich in fremden Händen: Der Cloud-Anbieter hat Zugriff und – je nach gesetzlicher Situation – gewährt er auch anderen Zugriff, in USA mehr als in Europa. Auch Dateien auf dem eigenen Webspace (Homepage), die dort nur zentral gelagert und nicht öffentlich sein sollen, sind in fremden Händen.

  • Alle mobilen Geräte wie Tablets, Notebooks, USB-Sticks oder mobile Festplatten sind gefährdet. Wenn sie verloren gehen oder gestohlen werden, sind alle unverschlüsselten Daten für den Dieb oder Finder zugänglich.

  • Arbeitsrechner und Netzwerkressourcen im Betrieb sind nicht sicher vor Einbrüchen. Hier genügt ein subversiver Kollege oder Administrator, der bei Abwesenheit den Rechner fremd-bootet oder das Wissen um Netzwerkkennwörter missbraucht.

  • Ob PCs in den eigenen vier Wänden Datendiebe oder Schnüffler zu befürchten haben, hängt wesentlich von den Mitbewohnern und von der Absicherung des Funknetzes ab.

2. Welchen Inhalt hat eine Datei, und benötigt diese Information tatsächlich Schutz?

Diese Frage wird jeder je nach Stellung und Einstellung etwas anders beantworten. Trotzdem gibt es eine Abstufung: Technisch reproduzierbare Dateien wie Software, Betriebssystem, Musik- oder Filmdaten verdienen sicher keine Verschlüsselung.

Nur selbst oder von Mitarbeitern erstellte Dokumente sind Kandidaten für eine Verschlüsselung, und auch nur dann, wenn sie personen- oder betriebsbezogene Informationen enthalten. So ist ein Foto vom Eiffelturm ohne identifizierbare Personen allenfalls dann ein Kandidat zur Verschlüsselung, wenn Sie allein die Tatsache (und den vermutlich ersichtlichen Zeitpunkt) einer Paris-Reise als absolute Privatsache einstufen.

Enc FS mit Cryptkeeper: Nach dem Aufruf cryptkeeper präsentiert sich dieser als Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der oberen Zeile den Ordnernamen vergeben und unten zum gewünschten Ort navigieren, etwa zu einem USB-Stick unter „/media“ im Dateisystem. Mit der Schaltfläche „Vor“ geht es weiter zur Passwortvergabe. Der neue und noch leere Mount-Ordner wird zum Abschluss automatisch im jeweiligen Dateimanager geöffnet und kann dann befüllt werden. Sie arbeiten in diesem Ordner wie mit unverschlüsselten Dateien. Die eigentlichen Dateien liegen auf gleicher Ebene in einem versteckten Ordner „.[name]_enfcs“. Um einen Enc-FSOrdner auszuhängen und damit zu schützen, klicken Sie auf das Cryptkee-per-Symbol und dann auf den betreffenden Ordnereintrag.

Über die „Einstellungen“ legen Sie fest, ob Mount-Ordner nach dem Entladen („Aushängen“) gelöscht werden sollen und ob ein nicht genutzter Enc- FS-Ordner nach einer bestimmten Frist automatisch entladen werden soll. Beide Maßnahmen, vor allem letztere, erhöhen die Sicherheit. Der Menüpunkt „Importiere EncFS Ordner“ ermöglicht es, den Cryptkeeper mit bestehenden Enc-FS-Ordnern bekannt zu machen, die manuell per Kommandozeile erstellt wurden.

Enc FS auf Kommandozeile: Wie beim Cryptkeeper beschrieben, braucht Enc FS für jedes zu verschlüsselnde Verzeichnis einen Mount-Ordner und ein Kennwort. Bei Enc FS im Terminal steht in der Parameterliste zunächst das tatsächliche Verzeichnis, an zweiter Stelle der Mount-Ordner. So lädt etwa

encfs /media/ha/usb1/Personal ~/ Personal  

das Verzeichnis „Personal“ auf dem unter „/media/ha/usb1“ eingehängten Datenträger in den gleichnamigen Mount-Ordner im Home-Verzeichnis. Die beiden Ordner müssen dabei schon existieren. Danach ist bei der Ersteinrichtung die Vergabe eines Kennworts und dessen Bestätigung notwendig. Anders als beim Cryptkeeper kann der Mount-Ordner an beliebiger Stelle liegen. Wenn Sie einen verschlüsselten Ordner nicht mehr benötigen, entladen Sie seinen Mount-Ordner mit folgendem Befehl:

fusermount -u ~/Personal  

Neuerliches Laden geschieht mit demselben Enc-FS-Befehl wie bei der Ersteinrichtung. Die Kommandozeile hat den weiteren Vorteil, dass Sie das Kennwort in einem Alias oder einem Bash-Script automatisch übergeben können, sofern Sie Enc FS die Option „-stdinpass“ oder kurz „-S“ mitgeben:

echo pAssw0rT | encfs -S /media/ha/usb1/Personal ~/Personal  

Es versteht sich, dass ein solches Script oder Alias nichts auf dem mobilen Gerät verloren hat, dessen Daten Sie schützen wollen. Aber es ist sicher auf dem heimischen stationären PC vertretbar, um bequem Enc-FS-Ordner von USB-Datenträgern zu laden.

Verschlüsseltes Home

Die Ubuntu- oder Mint-Installation bietet die Option „Meine persönlichen Daten verschlüsseln“. Diese Option fußt auf dem Modul dm-crypt des Linux-Kernels, das logische Laufwerke, Partitionen und Container-Dateien unterstützt.

Im angesprochenen Fall wird das komplette Home-Verzeichnis verschlüsselt. Die verschlüsselten Daten liegen unter „/home/.ecryptfs/[User]“ und werden entschlüsselt nach „/home/[User]“ geladen. Für den Zugang sorgt die normale Benutzeranmeldung beim System. Ohne korrekte Anmeldung, also auch beim Zugriff über ein Zweitsystem bleiben die Daten unlesbar. Auf Notebooks ist diese Option bei einer Neuinstallation immer gut zu überlegen, zumal sie nachträglich nicht vorgesehen und nur mit Klimmzügen zu erreichen ist ( siehe PC-WELT-Artikel zum Thema ).

Nach dem Entsperren erscheint parallel zur Luks-Partition eine virtuelle unverschlüsselte Partition, die alle Daten anbietet.
Vergrößern Nach dem Entsperren erscheint parallel zur Luks-Partition eine virtuelle unverschlüsselte Partition, die alle Daten anbietet.

Verschlüsselung ganzer Datenträger

Für komplette Datenträger wie USB-Sticks oder USB-Festplatten ist Enc FS nicht optimal, weil für sehr große Datenmengen zu langsam. Hier nutzen Sie am besten das Kernel-Modul dm-crypt und seine Erweiterung Linux Unified Key Setup (Luks), wie es auch bei der Verschlüsselung des Home-Verzeichnisses zum Einsatz kommt (siehe Kasten „Verschlüsseltes Home“). Für die nachfolgende Anleitung benötigen Sie einen USB-Datenträger, der leer ist oder nur noch Dateien enthält, die Sie nicht mehr benötigen. Zunächst ermitteln Sie im Terminal mit

sudo blkid  

die Gerätekennung des USB-Datenträgers (nachfolgend jeweils mit dem Stellvertreter „?“ wiedergegeben). Danach schreiben Sie dessen Partitionstabelle mit fdisk neu:

sudo fdisk /dev/sd?  

Geben Sie am fdisk-Prompt „o“ ein und dann den Schreibbefehl „w“, um die Aktion auszuführen. Da fdisk dadurch beendet wird, starten Sie es erneut:

sudo fdisk /dev/sd?  

Mit „n“ legen Sie eine neue Partition an, verwenden dabei „p“ für „primary“, „1“ für Partition 1, und die Abfragen zu Start- und Endsektoren quittieren Sie mit der Eingabetaste. Auch hier muss schließlich ein „w“ folgen, um die Aktion auf den Datenträger zu schreiben. Nun formatieren Sie das Gerät mit dem verschlüsselten Luks:

sudo cryptsetup luksFormat /dev/sd?1  

Der Parameter „luksFormat“ muss exakt so eingegeben werden. Danach werden Sie zwei Mal nach dem „Passsatz“ gefragt, also dem Zugangskennwort. Nun können Sie das Laufwerk mit dem Befehl

sudo cryptsetup luksOpen /dev/sd?1  

Name in das System laden. Der „Name“ ist frei wählbar. Das Laufwerk wird nun unter „/dev/mapper/Name“ gemountet. Das Laufwerk braucht nun neben Luks noch ein normales Dateiformat, was Sie mit

sudo mkfs.vfat /dev/mapper/Name -n Name  

erledigen. Entfernen Sie nun den Datenträger vom Rechner. Auf jedem jüngeren Linux, wo Sie ihn künftig anschließen, erscheint ein Dialog zum „Entsperren des Datenträgers“. Die richtige „Passphrase“ vorausgesetzt, wird das Laufwerk automatisch nach „/media/[user]/“ gemountet und ist dort unverschlüsselt zugänglich

Tipp: Nun wissen Sie, wie man Daten sicher verschlüsselt, beispielsweise, um öffentliche Cloud-Dienste mit ruhigem Gewissen zu nutzen. Alternativ können Sie aber auch zu privaten Cloud-Diensten greifen , und so, je nach eigenem Gutdünken, auf eine Verschlüsselung verzichten.

0 Kommentare zu diesem Artikel
2116961