Channel Header
2408323

Ext4-Verschlüsselung: So sichern Sie Ihre Daten unter Linux ab

21.02.2019 | 10:55 Uhr | David Wolski

Das verbreitete Dateisystem auf Linux-Distributionen ist Ext4, das auf Festplatten wie SSDs eine gute Figur macht. Ext4 ist seit Jahren ausgereift, gewinnt aber weiterhin Extras hinzu, wie die Verschlüsselung auf Dateisystemebene.

Vertrauliche Daten auf Notebooks und externen Medien brauchen immer besonderen Schutz. Dazu bietet Linux von Haus aus eine enorme Auswahl an sicheren Verschlüsselungsmethoden für einzelne Dateien oder zur Erstellung von Partitionen und Containern, die wiederum ein verschlüsseltes Dateisystem enthalten. Es geht aber auch anders – mit Dateisystemen, die von sich aus eine sichere Verschlüsselung anbieten. Diese Fähigkeit hat auch das bewährte Ext4 vor vier Jahren hinzugewonnen. Dazu hatten sich die Entwickler des Ext-Dateisystems und des nicht mehr gepflegten Kernel-Moduls Ecrypt FS zusammengetan, um die bisherige Lösung vor allem in Hinblick auf Sicherheit und Leistung zu verbessern. Die ersten Patches für verschlüsseltes Ext4 sind schon mit dem Linux-Kernel 4.1 gekommen, aber erst jetzt ist der Einsatz sinnvoll, da genügend Linux-Distributionen diese optionale Eigenschaft in Ext4 unterstützen. Bislang fehlten in Linux-Distributionen lange die passenden Ext4- Programme, die mit der neuen Verschlüsselung umgehen konnten. Inzwischen sind diese Tools in den tonangebenden Linux-Distributionen von Debian (ab Version 9), Ubuntu (ab 18.04), Fedora bis hin zu Exoten wie Arch Linux angekommen, so dass man diese nicht mehr selbst kompilieren muss.

Siehe auch: Linux-Dateisysteme für Fortgeschrittene

Ganz nah am Dateisystem

Der Vorteil der Verschlüsselung von Ext4: Wenn sich das Dateisystem selbst um Chiffrierung und Dechiffrierung kümmert, steigert dies die Geschwindigkeit beim Lesen und Schreiben von Dateien, denn der Überbau mittels Cryptsetup/Luks, Ecrypt FS oder Enc FS wird dann überflüssig. Der verwendete Verschlüsselungsalgorithmus ist AES- 256, der als ausreichend sicher gelten kann und von modernen x86-Prozessoren und auch von ARM-Chips direkt unterstützt wird. Die Verschlüsselung für Ext4 wurde hauptsächlich im Hinblick auf Mobilgeräte entwickelt, nämlich für Smartphones, Tablets und ARM-basierende Notebooks. Denn Google hatte den Wunsch, gerade Smartphones mit einer schnelleren Verschlüsselung auszustatten. Die Ext4-Verschlüsselung wurde in Android N aufgenommen und kümmert sich beispielsweise auf dem Google-Smartphone „Pixel“ um die interne Verschlüsselung.

Die Ext4-Verschlüsselung ist nicht an ein Linux-System gebunden, sondern an Ext4- Verzeichnisse. Auf einem anderen Linux-System wird zum Einlesen des geheimen Schlüssels nur das anfangs festgelegte Passwort verlangt. Somit eignet sich diese Art der Verschlüsselung auch für Wechselmedien, die auf verschiedenen Linux-Rechnern lesbar sein sollen.

Vorbereitung: Verschlüsselung aktivieren

Schlüsselbund des Kernels: Sobald der passwortgeschützte Schlüssel des chiffrierten Ordners auf dem Ext4- Dateisystem geladen ist, kann das System den Inhalt lesen und schreiben.
Vergrößern Schlüsselbund des Kernels: Sobald der passwortgeschützte Schlüssel des chiffrierten Ordners auf dem Ext4- Dateisystem geladen ist, kann das System den Inhalt lesen und schreiben.

Es empfiehlt sich, die Ex4-Verschlüsselung zunächst auf einem externen Datenträger und mit Testdateien auszuprobieren. Der erste Schritt ist ein Blick auf die Versionsnummer der E2fsprogs in der verwendeten Linux-Distribution, denn die Versionsnummer dieser Tools muss größer als 1.43 sein. Der Befehl

tune2fs -V  

zeigt im Terminal die Versionsnummer an, in Ubuntu 18.10 beispielsweise „1.44.1“. Als nachträgliche Ergänzung für Ext4-Dateisysteme ist die Verschlüsselung ein optionale Fähigkeit, die erst noch auf ihre Aktivierung auf einer Ext4-Partition wartet. Möchte man die Verschlüsselung auf einem externen Laufwerk zulassen, so findet zunächst der Befehl

lsblk  

heraus, welche Laufwerkskennung die richtige ist. In diesem Beispiel schaltet dann das Kommando

sudo tune2fs -O encrypt /dev/sdc1  

die Verschlüsselung für die Ext4-Partition „/dev/sdc1“ ein. Auf die bereits gespeicherten Dateien hat diese Aktion keine Auswirkung, auch nicht auf die Lesbarkeit des Laufwerks unter anderen Linux-Systemen. Bevor es mit der Chiffrierung eines enthaltenen Ordners losgehen kann, benötigt der angemeldete Benutzer einen Ext4-Schlüssel, den dieses Kommando manuell anlegt:

e4crypt add_key  

Nun folgt die Abfrage eines Passworts, das man zukünftig zum Entsperren des Schlüssels verwenden möchte.

Frühjahrsputz: Platz auf Linux frei machen

Dieser Schlüssel wird permanent im Schlüsselbund des gerade angemeldeten Benutzers gespeichert, den der Kernel bereitstellt. Mit der Eingabe von

keyctl show  

kann man sich den Schlüsselbund anzeigen lassen und sieht dort in der Auflistung den neu hinzugefügten Ext4-Schlüssel als „logon: ext4:d3b874e81fd36dbf“, wobei die letzte Zeichenkette auf jedem System anders ist und die Schlüssel-ID darstellt. Diese ID benötigt der nächste Schritt, der einem neu erstellten Verzeichnis auf dem Ext4- Datenträger zugewiesen wird. Der Befehl

mkdir Tresor  

erstellt das neue Verzeichnis „Tresor“ und

e4crypt set_policy [Schlüssel-ID] Tresor  

ordnet den Schlüssel anhand der ID dem Verzeichnis zu. Ab sofort werden alle Dateien im Verzeichnis „Tresor“ automatisch auf Dateisystemebene verschlüsselt gespeichert und transparent beim Lesen wieder entschlüsselt. Das funktioniert, solange der Ext4-Schlüssel im Session-Schlüsselbund gespeichert ist, also bis zur nächsten Anmeldung am System. Wenn der Schlüssel nicht geladen ist, bleiben der Ext4-Datenträger und das Verzeichnis „Tresor“ zwar grundsätzlich lesbar und unverschlüsselte Dateien außerhalb des gesicherten Verzeichnisses lassen sich lesen – alle verschlüsselten Dateien erscheinen anderen jedoch nur als Buchstabensalat.

Ohne den Passwort- Schlüssel kann das Linux-System den Ordnerinhalt nicht mal auflisten. Die anderen Ordner auf dem Datenträger sind jedoch unverschlüsselt.
Vergrößern Ohne den Passwort- Schlüssel kann das Linux-System den Ordnerinhalt nicht mal auflisten. Die anderen Ordner auf dem Datenträger sind jedoch unverschlüsselt.

So bekommt man nun wieder Zugriff auf die Dateien: Nach dem Einhängen des Ext4-Datenträgers mit dem verschlüsselten Verzeichnis ist im Terminal nur die Eingabe des Befehls

e4crypt add_key  

ohne weitere Parameter nötig. Der Befehl fragt nach dem festgelegten Passwort und lädt dann den Ext4-Schlüssel in den Session-Schlüsselbund. Das Verzeichnis und die enthaltenen Dateien sind sofort wieder lesbar, ohne dass der Datenträger nochmal neu gemountet werden muss.

Die engere Linux-Integration steht noch aus

Die Einrichtung und Verwendung der Ext4- Verschlüsselung auf einem Linux-System ist noch längst nicht so komfortabel wie unter Android. Wie gezeigt, ist immer noch ein Ausflug in die Kommandozeile nötig, um Verzeichnisse zu verschlüsseln und dann wieder den Ext4-Schlüssel zu laden. Vorerst nehmen die Dateimanager unter Linux dem Nutzer diesen Schritt noch nicht ab.

Noch ein Hinweis: Für die Komplettverschlüsselung eines Linux-Systems ist Ext4 nicht geeignet. Von einem verschlüsselten Ext4 kann Linux nicht booten, weil der allgemein verwendete Bootloader Grub2 mit so chiffrierten Partitionen nichts anfangen kann – so jedenfalls der Stand heute.

Leistung: Ext4-Verschlüsselung und LUKS

Die Leistung im Vergleich: Die Schreibraten von Ext4-Verschlüsselung und von Cryptsetup/Luks sind praktisch gleichauf, die gemessenen Latenzen fallen aber bei Cryptsetup/ Luks deutlich höher aus.

Die Leistung im Vergleich.
Vergrößern Die Leistung im Vergleich.

Galaxy S10, iPhone 11 & Co. - Die besten Smartphones 2019 versprechen jede Menge coole Features. Nachdem 2018 das Jahr der "Notch" war, sind 2019 randlose Displays angesagt. Einige wie das Honor View 20 oder wohl auch das Galaxy S10 setzen auf ein "Loch" im Display, für die Frontkamera. Andere wie das Xiaomi Mi Mix 3 nutzen einen Slide-Mechanismus, um die Kamera auszufahren. Spannend wird 2019 auch in Sachen faltbare Displays. Samsung, Huawei und andere Hersteller werden wohl Smartphones mit flexiblen Bildschirmen auf den Markt bringen und das ist doch mal wirklich ein Feature, auf das wir lange gewartet haben. Welche Top-Smartphones 2019 auf den Markt kommen werden, zeigen wir Euch in diesem Video.

PC-WELT Marktplatz

0 Kommentare zu diesem Artikel
2408323