Es gibt im Linuxbereich im Wesentlichen zwei konkurrierende Verschlüsselungsverfahren für das Betriebssystem. Dies wären die containerbasierte Verschlüsselung mittels LUKS (dm-crypt) und die dateibasierte Variante mittels eCryptFS. Hinzu kommen noch alternative Verfahren wie TrueCrypt und seine diversen Nachfolger, experimentelle Verschlüsselungen wie die neue transparente Methode von ext4, sowie Methoden für Spezialfälle wie EncFS

LUKS und eCryptFS können vielfältig verwendet werden. Die häufigsten Einsatzszenarien werden jedoch durch die Möglichkeiten der Installationsroutinen der Distributionen vorgegeben. LUKS findet sich deshalb am häufigsten in Form einer Komplettverschlüsselung des Betriebssystems mittels eines LVM-Verfahrens. ECryptFS ist hingegen vor allem als dateibasierte Verschlüsselung für die Homeverzeichnisse von Benutzern verbreitet. Ubuntu und seine Derivate bieten dieses Verfahren dezidiert in der Installationsroutine an.

Wenn man mittels einer Suchmaschine der eigenen Präferenz nach einem Vergleich beider Verfahren stößt trifft man oft sinngemäß auf folgende Aussage:

Ich persönlich würde LUKS vorziehen, da bei eCryptFS immer unverschlüsselte Bereiche auf der Festplatte bleiben und diese stellen ein Risiko dar.

Soweit, so überzeugend für den unbedarften Leser. Leider allerdings auch vollkommen falsch. Die Wahl des richtigen Verschlüsselungsverfahrens hängt ganz entscheidend von den Nutzungsgewohnheiten ab und nicht ob irgendwelche unverschlüsselten Bereiche übrig sind.

Dazu muss man nur eimal vor Augen führen wie die Verfahren funktionieren. Im ausgeschalteten Zustand ist LUKS die bessere Methode. Mal abgesehen von der unverschlüsselten Bootpartition, die das System zum starten benötigt, ist das gesamte Betriebssystem verschlüsselt. Selbst wenn Programme irgendwelche Benutzerdaten nach /etc oder /opt geschrieben haben, hat niemand Zugriff auf diese Daten. Ab dem Moment der Passworteingabe ist die Verschlüsselung jedoch aufgehoben. Bei einem Mehrbenutzersystem haben nun alle Benutzer Lesezugriff auf die Dateien der anderen Anwender (sofern nicht anders konfiguriert) und ein einfaches abmelden des Benutzers oder gar die Bildschirmsperre (so etwas kann auch ganz simplen Sicherheitslücken ausgesetzt sein) schützen die Daten nicht. LUKS ist deshalb für Anwender, die ihr System nie herunterfahren oder Mehrbenutzersysteme betreiben nicht automatisch die bessere Wahl.

Umgekehrt hat eCryptFS auch seine Schwachstellen. In einem „normalen“ Desktopsystem liegen alle Benutzerdaten unter /home und werden hier verschlüsselt. Die unverschlüsselten Daten in der root-Partition verraten zwar einiges über das Betriebssystem, aber enthalten im Idealfall keine wirklich privaten Dokumente. Hierbei ist natürlich auch zu beachten, dass nicht jeder gleich geheimdienstliche Überwachung mit all ihren Möglichkeiten fürchtet, sondern man vielleicht auch einfach nur die Daten vor Mitbenutzern des Systems abschirmen will. Spätestens bei weitergehenden Aufgaben kann eine eCryptFS-Verschlüsselung aber auch versagen. Als Beispiel sei hier die Virtualisierung mittels libvirt genannt. Anders als VirtualBox speichert libvirt standardmäßig neu angelegte VM’s unterhalb von /var und somit im unverschlüsselten Bereich der Festplatte.

Zusammenfassend: Die Wahl der richtigen Verschlüsselung hängt ganz dezidiert vom eigenen Anwendungsverhalten und den Einsatzszenarien ab. Sie entzieht sich einfachen Antworten wie „hauptssache keine unverschlüsselten Bereiche auf der Festplatte“. Man kann eCryptFS und LUKS übrigens auch kombinieren, was allerdings recht selten thematisiert wird.


Bilder:
Einleitungs- und Beitragsbild von qimono via pixabay

Moin, meine Name ist Gerrit und ich betreibe diesen Blog seit 2014. Der Schutz der digitalen Identität, die einen immer größeren Raum unseres Ichs einnimmt ist mir ein Herzensanliegen, das ich versuche tagtäglich im Spannungsfeld digitaler Teilhabe und Sicherheit umzusetzen. Die Tipps, Anleitungen, Kommentare und Gedanken hier entspringen den alltäglichen Erfahrungen.

Schreiben Sie eine Ergänzung

Ergänzungen dienen der Diskussion über die Inhalte des Artikels. Nachfragen, Anmerkungen und Ergänzungen sind dezidiert erwünscht. Ergänzungen werden vor der Veröffentlichung moderiert. Wir behalten uns vor Kommentare ohne inhaltlichen Bezug oder abseitige Diskussionen nicht zu veröffentlichen.

Bitte geben Sie Ihre Ergänzung ein!
Bitte geben Sie hier Ihren Namen ein