Forgot your password?

Forgot your username?

All about IT, Web and Development.
By users for users.

Ordner mit eCryptfs unter Ubuntu verschlüsseln



In Zeiten von NSA, Patriot Act, Safe Harbor und Datenskandalen ist eine Verschlüsselung kritischer Daten von hoher Bedeutung.



Auch unter Linux bzw. Ubuntu steht mit eCryptfs eine wirksame Methode zur Verschlüsselung privater Ordner zur Verfügung.


Vorbereitungen


Die Software eCryptFS verwendet intern eine AES Verschlüsselung. Durch die damit verbundenen Rechenoperationen wird das System natürlich bei Schreib- und Lesezugriffen entsprechend ausgebremst. Die meisten Prozessoren ab ca. Ende 2010 unterstützen die Hardwarebeschleunigung AES-NI.

Vor der Verwendung müssen wir zunächst das notwendig Paket mittels Apt installieren:

sudo apt-get install ecryptfs-utils



Konfiguration - Automatisch


eCryptfs liefert unter Ubuntu fertige Skripte zur Einrichtung eines verschlüsselten Verzeichnisses mit. Diese sparen einem im Vergleich zur manuellen Methode (siehe unten) doch einiges an manueller Tipparbeit.

ecryptfs-setup-private

  • login passphrase: Passwort zur Anmeldung des aktuellen Benutzers

  • mount passphrase: Passwort, welches zur Entschlüsselung des Ordners dient


Das Setup Tool erzeugt nun automatisch zwei neue Ordner .Private/ (beinhaltet verschlüsselte Dateien) und Private/ (beinhaltet entschlüsselte Dateien).

Um den Ordner jetzt einzubinden genügt ein neuer Login am System. Alternativ kann dies auch manuell angetriggert werden.

ecryptfs-mount-private

Das Ausbinden des Verzeichnisses ist über den Befehl ecryptfs-umount-private möglich.



Konfiguration - Manuell


Im ersten Schritt legen wir zwei neue private Ordner an. Im versteckten Ordner .crypt (mit Punkt am Anfang) befinden sich die unleserlichen verschlüsselten Dateien.

Der zweite Ordner (crypt) ist unser späterer Mountpunkt für den eigentlichen Zugriff auf die Dateien.

mkdir ~/.crypt ~/crypt

Anschließend konfigurieren wir die Verschlüsselung über eCryptfs.

sudo mount.ecryptfs /home/$USER/.crypt /home/$USER/crypt

  • Passphrase: Passwort, welches zur Entschlüsselung des Ordners dient

  • Select cipher: Cipher Suite - Für AES mit Enter bestätigen

  • Select key bytes: Schlüsselgröße - Für 16 mit Enter bestätigen

  • Enable plaintext passthrough: Plaintext Passthrough - mit Enter verneinen

  • Enable filename encryption: Dateinamen Verschlüsselung - mit y + Enter bestätigen

  • Filename Encryption Key: Mit Enter bestätigen


Abschließend die restlichen Nachfragen mittels yes bestätigen.


Fstab


Um das Verzeichnis zukünftig auch ohne Root Rechte einbinden zu können, muss dieses in die Datei /etc/fstab eingefügt werden. Hierzu suchen wir uns den von eCryptfs erstellen Mountpunkt heraus.

grep /home/$USER/crypt /etc/mtab

Dieser Befehl sollte entsprechend der eigenen Einstellungen nachfolgende Zeile zurückliefern.

/home/user/.crypt /home/user/crypt ecryptfs rw,ecryptfs_sig=1d5e4d11e4c92f6e,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_fnek_sig=1d5e4d11e4c92f6e,ecryptfs_unlink_sigs 0 0

Die Stelle "rw,ecryptfs_sig" ersetzen wir durch "noauto,user,rw,ecryptfs_sig" um das Verzeichnis später als normaler Benutzer mit Lese- und Schreibrechten einbinden zu können.

Abschließend die Zeile an die Datei /etc/fstab anhängen:

sudo nano /etc/fstab
...
/home/user/.crypt /home/user/crypt ecryptfs noauto,user,rw,ecryptfs_sig=1d5e4d11e4c92f6e,ecryptfs_cipher=aes,ecryptfs_key_bytes=16,ecryptfs_fnek_sig=1d5e4d11e4c92f6e,ecryptfs_unlink_sigs 0 0



Keyring


Nun müssen wir noch den Passphrase zur Entsperrung im Keyring unseres Benutzers hinterlegt.

ecryptfs-add-passphrase

Im Anschluss können wir unser Verzeichnis jederzeit über nachfolgenden Befehl einbinden / entschlüsseln:

mount -i ~/geheim/


Fazit


Eine Verschlüsselung wichtiger Daten ist mittel eCryptfs recht einfach möglich. Allerdings ist das verschlüsselte Verzeichnis auf einer einzelnen Festplatte noch nicht vor Datenverlust geschützt und zudem nicht von überall aus zugänglich.

Sichere Alternative hierzu ist unser Dienst StoreShelter bei dem die Daten physisch getrennt und in einem hochsicheren Rechenzentrum verschlüsselt gespeichert werden. Auf diese kann mittels 2-Wege Authentifizierung rund um die Uhr mittels nativer Fileshares (SMB, NFS, AFP, etc.) zugegriffen werden.

Quellen: eCrytfs Logo

Michael Kostka

Fachinformatiker / Systemintegration
Ich schreibe hier regelmäßig zu den Themen Android, Web, Linux und Hardware.

Raspberry Pi Starter Kit
DataCloud

Leave a comment

I have read the privacy policy and agree to electronically store and process my input data to answer the request.