2116961

Linux-Verschlüsselung: So sichern Sie Ihre Daten ab

15.07.2017 | 10:03 Uhr |

Umsatzzahlen, Strategiepapiere, Gehaltslisten gehören ebenso wenig in fremde Hände wie private Aufzeichnungen, Bilder, Kontendaten und Passwörter. Wo Verschlüsselung notwendig ist und wie sie am besten realisiert wird, zeigt dieser Artikel.

Wenn persönliche Daten persönlich bleiben sollen, ist das immer mit einem gewissen Organisationsaufwand und Komfortverlust zu bezahlen. Dies ist leider logisches Gesetz, Sie können jedoch durch die Wahl der richtigen Werkzeuge den Aufwand gering halten. Generell bedeutet der technische Anteil keine ernste Hürde und kommt erst an zweiter oder dritter Stelle der Verschlüsselungsstrategie. Das Richtige mit dem passenden Werkzeug zu verschlüsseln, ist zuallererst eine Frage der Ordnung und Disziplin: Die erste Frage lautet: „Was muss ich verschlüsseln?“, die zweite: „Wo (auf welchen Geräten) brauche ich die verschlüsselten Daten?“, und erst zuletzt kommt die dritte Frage: „Was ist in diesem Fall das angemessene und bequemste Werkzeug?“

Strategischer Überblick: Was – wo – wie?

Es gibt für einen wirksamen Datenschutz nur zwei Methoden, nämlich Vermeidung und Reduktion öffentlicher Daten und die Verschlüsselung der verbleibenden öffentlichen (oder potenziell öffentlichen) Daten. Vereinfachung durch Vermeidung ist die erste Grundregel:

• Nutzen Sie unterwegs stets ein und dasselbe mobile Gerät (ein Notebook, einen USB-Stick).

• Cloudspeicher sind entbehrlich, wenn Sie eine private Alternative in Form einer Homepage oder eines heimischen Linux-Servers haben. Benötigen Sie einen Clouddienst, genügt das Kontingent eines Anbieters.

• Beschränken Sie sich bei sämtlichen Geräten auf einen Browser. Das gilt insbesondere dann, wenn Sie die Browser-Synchronisierung verwenden und somit die Browser-Daten bei Google oder Mozilla speichern.

• E-Mails müssen nach draußen – das ist nun einmal ihre Bestimmung. Damit private Mails weder direkt abgehört noch durch gehackte Mailserver öffentlich werden, nutzen Sie Mailverschlüsselung mit GnuPG.

An dieser Stelle geht es ausschließlich um die Datenverschlüsselung auf einem Computer/Notebook, USB-Datenträger und Cloudserver. Denn auch nach der Reduktion der zu schützenden Daten auf ein Minimum werden noch Kandidaten verbleiben, die zu verschlüsseln sind:

• Mobile Linux-Notebooks, bei Bedarf natürlich auch PCs, können bei der Installation von Linux Mint 18 so eingerichtet werden, dass alle Benutzerdateien automatisch verschlüsselt sind: Die Option „Meine persönlichen Daten verschlüsseln“ gehört zum Standard unter Ubuntu, Mint und Co. Bei dieser Luks-Verschlüsselung (Linux Unified Key Setup) entsperrt die Benutzeranmeldung transparent und automatisch die Daten: Bei einem physischen Zugriff über ein Fremdsystem (ohne eine korrekte Benutzeranmeldung) sind die Dateien folglich unlesbar. Wer die Installer-Option für Luks bei der Systemeinrichtung nicht genutzt hat, der kann Luks theoretisch manuell einrichten, allerdings sind dann die nachfolgend beschriebenen Werkzeuge einfacher und komfortabler.

Option des Mint-Installers: Die Luks-Verschlüsselung von "/home" ist mit die bequemste Methode, um alle lokalen Benutzerdaten abzusichern. Zumindest auf Notebooks sollte diese Option stets gewählt werden.
Vergrößern Option des Mint-Installers: Die Luks-Verschlüsselung von "/home" ist mit die bequemste Methode, um alle lokalen Benutzerdaten abzusichern. Zumindest auf Notebooks sollte diese Option stets gewählt werden.

• Bei mobilen USB-Datenträgern spielt es eine wesentliche Rolle, ob die Daten lediglich unter Linux, unter Linux und Windows, unter Linux und Mac-OS oder für alle Systeme lesbar sein sollen. Eine Lösung für alle drei Systeme bie-tet Ihnen der weiter unten beschriebene Truecrypt-Nachfolger Veracrypt , der sich wie Luks auch für große Datenmengen eignet.

• Für Clouddaten reichen in der Regel Werkzeuge für kleinere Datenmengen. Die erste Wahl ist Enc FS (Encrypted Filesystem), das sich für Linux, Mac-OS und sogar Android eignet, für Windows jedoch weniger. Für Linux und Windows sowie geringe Datenmengen können Sie aber auch auf einfache Packerverschlüsselung zurückgreifen. Zum optimalen Einsatz von Enc FS und 7-Zip lesen Sie weiter unten mehr.

Tipp: Bildbearbeitung unter Linux - so geht's

Verschlüsselungswerkzeuge in der Praxis

Die folgenden Kryptographiemethoden sind populär und verbreitet, aber natürlich nur ein kleiner Ausschnitt aus dem reichhaltigen Angebot an Verschlüsselungsoptionen. Es ist jedoch zu empfehlen, genau solche verbreitete Methoden zu verwenden, weil nur sie langjährige Kontinuität versprechen.

Kennwortschutz in Office-Software

Einzeldateien unter Libre Office verschlüsseln: Diese Ad-hoc-Maßnahme ist ein Notbehelf für ganz geringe Datenmengen (hier Libre Office unter Windows).
Vergrößern Einzeldateien unter Libre Office verschlüsseln: Diese Ad-hoc-Maßnahme ist ein Notbehelf für ganz geringe Datenmengen (hier Libre Office unter Windows).

Sowohl Libre Office als auch Microsoft Office bieten eine integrierte Verschlüsselung. Diese Methode, Dateien ad hoc einzeln zu verschlüsseln, eignet sich lediglich für wenige sensible Texte oder Tabellen, für größere Datenmengen ist sie zu unbequem.

Libre Office bietet Ihnen die Option „Datei -> Speichern unter -> Mit Kennwort speichern“. Das Kennwort müssen Sie jeweils beim Öffnen eingeben. Dass das Dokument geschützt ist, weiß Libre Office bei der Weiterbearbeitung: Es genügt dann künftig, normal zu speichern. In Microsoft Office finden Sie die Dateiverschlüsselung unter „Datei -> Speichern unter -> Tools -> Allgemeine Optionen“.

Solche programmabhängige interne Kryptographie bringt zumeist allerdings den Nachteil mit sich, dass Sie genau diese Anwendung benötigen, um ein Dokument öffnen und bearbeiten zu können. Libre Office stellt hier eine Ausnahme dar, denn es ist ebenfalls in der Lage, passwortgeschützte Microsoft-Dateien zu öffnen. Umgekehrt ist das jedoch nicht der Fall.

7-Zip-Verschlüsselung für Linux und Windows

Packer 7-Zip als Sicherheitstool: In der Archivverwaltung muss das Format ?.7z? gewählt werden, damit die Verschlüsselungsoptionen angeboten werden. Ist ein anderes Format eingestellt, fehlt die gezeigte Option.
Vergrößern Packer 7-Zip als Sicherheitstool: In der Archivverwaltung muss das Format ?.7z? gewählt werden, damit die Verschlüsselungsoptionen angeboten werden. Ist ein anderes Format eingestellt, fehlt die gezeigte Option.

Packer wie etwa 7-Zip können zuverlässig verschlüsseln. Dies empfiehlt sich für kleinere und mittlere Datenmengen, denn immerhin sind mehrere Dateien oder komplette Ordner problemlos möglich. Wichtig für USB und Cloud: 7-Zip-Archive lassen sich zwischen Linux und Windows austauschen. Falls Ihnen 7-Zip noch nicht vorliegt, installieren Sie den Packer unter Linux Mint im Terminal mit dem Befehl

sudo apt-get install p7zip-full

nach, für Windows gibt es unter 7-Zip mehrere Download-Varianten. In Zusammenarbeit mit dem File-roller („Archivverwaltung“) unter Linux Mint, worunter sich 7-Zip automatisch integriert, beziehungsweise dem 7z-Filemanager („7zFM.exe“) unter Windows ist Verschlüsseln und Entschlüsseln ziemlich komfortabel: Sie ziehen Dateien oder Ordner einfach mithilfe der Maus in das Fenster („Archivverwaltung“ oder „7-Zip“), bestätigen unter Linux, dass damit ein neues Archiv angelegt werden soll, und geben danach das Format 7z und ferner unter „Erweiterte Einstellungen“ das Passwort an. Die Option „Dateiliste ebenfalls verschlüsseln“ sorgt dafür, dass die Archivverwaltung später auch keine Dateinamen verrät. Beim späteren Doppelklick des Archivs wird automatisch das Kennwort abgefragt und lediglich bei Kenntnis desselben entpackt. Unter Windows geht dieser Vorgang im Prinzip analog vonstatten.

Wer sich die Aktion lieber auf der Kommandozeile mit dem einen oder anderen Alias zurechtlegen will, was die direkte Übergabe des Kennwortes ermöglicht, kann unter Linux und Windows auf identische Syntax bauen:

7z a -p“Pass+w0rt“ -mhe „Zielarchiv.7z“ „Quelldatei|Ordner“

„a“ ist dabei der wesentliche Schalter, der 7-Zip zum Anlegen eines neuen Archivs anweist. Mit dem Schalter „-p“ wird das Kennwort übergeben, es folgen der Archivname und die Quelldaten. Der Schalter „-mhe“ verhindert die Anzeige von Dateinamen im Archiv. Der Befehl

7z x -p“Pass+w0rt“ „[name].7z“

entpackt ein Archiv.

So leicht wird Privates öffentlich

Tatort Werkstoffhof: Hermann A. entsorgt einen Platinenrechner, der nach Fehlverhalten durch Überspannung abgeraucht ist. Ein, zwei Tage später fällt ihm dann ein, dass er die SD-Karte mit dem Betriebssystem in der Platine vergessen hat. Das ist kein finanzieller Ruin, und die SD-Karte enthält ja keine Benutzerdaten – oder?

Bei genauerer Überlegung doch: In der „~/.bashrc“ könnte das eine oder andere Samba-Kennwort für das lokale Netzwerk stehen. Unproblematisch. Bedenklicher hingegen: Für das bequeme Mounten des Strato-Hidrive via SSHFS dürften in dieser Datei User und Kennwort ersichtlich sein. Sicherheitshalber ändert Hermann A. das Kennwort seiner Hidrive-Cloud. Was die vergessene SD-Karte eventuell ansonsten noch über ihn verrät, wird er nicht mehr verifizieren können. So unwahrscheinlich es ist, dass sich irgendjemand intensiv und kompetent mit dieser SD-Karte beschäftigen wird, bleibt doch ein Unbehagen, das mit Paranoia nichts zu tun hat.

Die Konsequenz dieser Real-Anekdote? Lassen wir unsere Daten zu Hause. Und alles Persönliche, was wir aus dem Haus tragen oder ins Internet kopieren (was das Gleiche ist), gehört verschlüsselt. Aber: Pannen mit darauffolgendem Unbehagen wird es immer geben ...

Siehe auch: Praktischer Tipps für LibreOffice in Linux

Enc FS für Linux, Mac-OS und Android

Bei dem bewährten Enc FS herrscht seit 2014 Verunsicherung: Ein Sicherheitsexperte hatte nachgewiesen, dass die Enc-FS-Verschlüsselung knackbar sei, wenn mehrere Versionen derselben Datei vorliegen. Deshalb gibt es bei der Installation des Tools nach

sudo apt-get install encfs

einen entsprechenden Warnhinweis. Die Version 2.0 soll die Angriffsfläche beheben, aktuell bekommen Sie etwa unter Ubuntu/Mint noch die Version 1.8.1. Wir vertreten hier den Standpunkt, dass es sich um ein akademisches Problem handelt, das normale Nutzer ignorieren können: Den Aufwand, Enc-FS-Dateien zu entschlüsseln, wird man vielleicht bei der Terrorfahndung oder Industriespionage betreiben, aber gewiss nicht bei einem in der U-Bahn vergessenen Notebook.

Enc FS ist gut geeignet für kleinere und mittelgroße Datenmengen und vor allem für Anwender ideal, die auch mit dem Android-Smartphone ver- und entschlüsseln möchten. Dafür gibt es die Android-App Cryptonite . Enc FS ist auch mit Mac-OS X kompatibel, auf Windows-Systemen läuft es hingegen nur mangelhaft .

Enc FS ist als komplexes Kommandozeilenprogramm komplett über das Terminal zu bedienen (siehe man encfs). Die Kernsyntax

encfs [/Pfad1/verschlüsselte/Daten/] [/Pfad2/unverschlüsselte/Daten/]

ist nicht schwierig, wonach man im Mount-Verzeichnis „Pfad2“ arbeitet und in „Pfad1“ die verschlüsselten Dateien liegen. Die Terminal-Bedienung bietet Ihnen unter dem Strich eine Reihe von Vorteilen, besonders die freie Wahl der Ordnerpfade. Trotzdem werden die meisten Desktop-Benutzer das grafische Frontend Cryptkeeper bevorzugen, das sich unter Linux Mint vorbildlich integriert. Nach

sudo apt-get install cryptkeeper

und dem Aufruf von Cryptkeeper präsentiert sich dieser dauerhaft als Schlüsselsymbol in der Hauptleiste. Die Option „Erstelle verschlüsselten Ordner“ richtet ein neues verschlüsseltes Verzeichnis ein, wobei Sie in der oberen Zeile des Dialogs den Ordnernamen vergeben und unten zum gewünschten Ort navigieren, etwa zu einem USB-Stick.

Cryptkeeper mit seinem Schlüsselsymbol in der Ubuntu-Leiste vereinfacht Enc FS erheblich. Der untere Bildteil zeigt einen Enc-FS-Ordner und den zugehörigen Mount-und Arbeitsordner.
Vergrößern Cryptkeeper mit seinem Schlüsselsymbol in der Ubuntu-Leiste vereinfacht Enc FS erheblich. Der untere Bildteil zeigt einen Enc-FS-Ordner und den zugehörigen Mount-und Arbeitsordner.

Anmerkung: Bei Cryptkeeper müssen Sie an dieser Stelle ein neues leeres Verzeichnis verwenden; auf Kommandozeile ist auch ein existierendes Verzeichnis möglich, wobei hier aber bereits vorhandene Dateien nicht nachträglich verschlüsselt werden.

Mithilfe der Schaltfläche „Vor“ geht es im Anschluss daran weiter zur Passwortvergabe. Der noch leere Mount-Ordner wird daraufhin automatisch im Dateimanager geöffnet und kann befüllt werden. In diesem Mount-Ordner arbeiten Sie mit unverschlüsselten Dateien. Die verschlüsselten Dateien liegen auf derselben Ebene in einem versteckten Ordner „.[name]_encfs“. Um einen Enc-FS-Ordner wieder auszuhängen und damit zu schützen, klicken Sie einfach auf das Cryptkeeper-Symbol und danach auf den betreffenden Eintrag.

Über die „Einstellungen“ können Sie festlegen, ob Mount-Ordner nach dem Entladen („Aushängen“) gelöscht werden sollen und ob ein nicht verwendeter Enc-FS-Ordner nach einer bestimmten Frist automatisch entladen werden soll. Insbesondere diese zweite Maßnahme erhöht die Sicherheit.

Wegen der typischen Arbeitsweise von Enc FS mit verschlüsselten Ordnern und unverschlüsselten Arbeitsordnern bietet es sich an, Sync-Ordner einer Cloud wie Dropbox als Enc-FS-Ordner zu definieren. Dann landen sämtliche Dateien verschlüsselt auf dem Cloudserver.

Tipp: Die 10 wichtigsten Befehle für Einsteiger

Der Truecrypt-Nachfolger Veracrypt

Noch nie intuitiv, aber wohlvertraut: Das Laden der verschlüsselten Veracrypt-Container entspricht exakt der Vorgehensweise unter dem Vorgänger Truecrypt (?Select File? und ?Mount?).
Vergrößern Noch nie intuitiv, aber wohlvertraut: Das Laden der verschlüsselten Veracrypt-Container entspricht exakt der Vorgehensweise unter dem Vorgänger Truecrypt (?Select File? und ?Mount?).

Container, die mit der Open-Source-Software Veracrypt verschlüsselt sind, eignen sich für große und sehr große Datenmengen, allerdings nur auf lokalen Rechnern oder im lokalen Netzwerk. Um umfangreiche verschlüsselte Container in der Cloud oder auf Webservern abzulegen, müsste man die Container ständig hin und her kopieren, um enthaltene Dateien zu lesen oder zu bearbeiten.

Veracrypt gibt es für Linux, Windows und Mac-OS. Anlaufstelle für Informationen ist die Projektseite https://veracrypt.codeplex.com/ , allerdings ist für Linux Mint die Installation über ein PPA wesentlich einfacher:

sudo add-apt-repository ppa:unit193/encryption
sudo apt-get update
sudo apt-get install veracrypt

Langjährige Truecrypt-Benutzer werden es sicherlich begrüßen, dass Veracrypt die Oberfläche von Truecrypt komplett übernimmt (unter Linux lediglich englischsprachig). Noch wichtiger ist jedoch, dass Veracrypt auch alte Truecrypt-Container laden kann, sofern man beim Mounten eines Truecrypt-Containers die Option „TrueCrypt Mode“ aktiviert.

Container erstellen: Etwas Planung ist aber ratsam, da verschlüsselte Container die Größe nicht mehr ändern können. Um nicht ständig neue Container anlegen zu müssen, sollten Sie angemessene Kapazitäten planen. Die Vorgehensweise ist wie bei Truecrypt: Nach „Create Volume -> Create […] file container -> Standard VeraCrypt volume“ geben Sie Pfad und Namen einer bislang nicht existierenden Datei an. Das wird der Container für die verschlüsselten Daten. „Encryption Option“ belassen Sie auf den Standardvorgaben und danach geben Sie die Größe des Containers an. Wenn Sie schon wissen, welche Dateien dort landen sollen, analysieren Sie den Umfang mithilfe eines Dateimanagers und rechnen zudem einen großzügigen Puffer dazu. Dann kommt die Passwortvergabe („keyfiles“ sind eine interessante Alternative, deren Erläuterung hier aber zu weit führt).

Zur Schlüsselerstellung auf der Basis des Passworts verlangt Veracrypt Mausbewegungen im eigenen Fenster, was Sie nach beendeter Fortschrittsanzeige mittels „Format“ abschließen. Damit ist der Container einsatzbereit.

Container mounten und nutzen: Mit „Select File“ im Hauptdialog navigieren Sie zur Containerdatei. Per Klick auf „Mount“ wird diese geladen und sogleich im Dateimanager geöffnet (falls nicht, lässt sich dies unter „Preferences -> System Integration“ einstellen). Linux mountet Container nach „/media/veracrypt [nummer]“, Windows auf freie Laufwerksbuchstaben. Auf diesem virtuellen Datenträger lesen, arbeiten und kopieren Sie wie auf einem normalen Laufwerk. Über „Dismount“ im Hauptdialog können Sie den Container entladen, der somit wieder geschützt ist. Häufig verwendete Container definieren Sie als „Favorites“ , die sich anschließend über das gleichnamige Menü mit einem Klick laden lassen. Das ist jedoch nur bei Containern sinnvoll, die dauerhaft im selben Ordner verbleiben.

Hinweis 1: Wer lieber auf der Kommandozeile arbeitet oder dort via SSH arbeiten muss, der kann Veracrypt komplett im Terminal bedienen (siehe „veracrypt --help“). Wer das Gleiche unter Windows machen möchte, der findet dort zumindest die wichtigsten Aktionen auch für die Kommandozeile (CMD) wieder.

Hinweis 2: Beachten Sie bitte, dass Sie zum Mounten von Veracrypt-Containern nach dem sudo-Kennwort gefragt werden, das mit dem Containerpasswort nichts zu tun hat und vermutlich anders lautet.

0 Kommentare zu diesem Artikel
2116961