Ubuntu verabschiedet sich von eCryptFS

Symbolbild "Ubuntu"

Ubuntu bot in der Installationsroutine seit langem eine Verschlüsselung der Benutzerverzeichnisse auf Basis von eCryptFS an (eCryptFS – Benutzerdaten verschlüsseln). Mit der kommenden LTS 18.04 Bionic Beaver verabschiedet man sich von dieser Lösung und empfiehlt eine Vollverschlüsselung mittels LUKS (LUKS – Betriebssystem verschlüsseln).

Dazu heißt es lapidar in den ReleaseNotes:

The installer no longer offers the encrypted home option using ecryptfs-utils. It is recommended to use full-disk encryption instead for this release.

Im verlinkten Bugreport wird man leider auch nicht konkret was die genaue Ursache der Entscheidung ist:

The preffered way to get encrypted disks, these days, is to do full disk encryption using LUKS.

If per-directory encryption is required, it is recommended to us fscrypt support in e.g. ext4.

Support for installing using ecryptfs encrypted /home has been disabled in the installers.

Please demote ecryptfs-utils to universe for bionic+

Über die genaue Ursache kann man daher nur mutmaßen. Möglicherweise spielt hier eine Rolle, dass der bisherige Hauptentwickler von eCryptFS Dustin Kirkland Canonical den Rücken gekehrt hat. Eventuell sieht man sich nun nicht mehr in der Lage diese Lösung auf LTS-Niveau zu pflegen.

Die bereits erfolgte Verschiebung nach universe lässt jedenfalls nichts gutes hoffen. Programme werden dort mehr schlecht als recht gewartet und insbesondere in so einem sensiblen Bereich mag man das Risiko kaum eingehen.

Wenngleich die prominente Platzierung von eCryptFS immer ein Ubuntu-Spezifikum war, stand diese Lösung auch immer in vielen anderen Distributionen zur Verfügung und hatte durchaus ihre Daseinsberechtigung. Eine Teilverschlüsselung ist zwar immer ein potenzielles Risiko, da sensible Dateien – programmbedingt oder versehentlich – in nicht verschlüsselten Bereichen abgelegt werden können. Andererseits bot eCryptFS insbesondere auf Mehrbenutzersystemen einen Mehrwert, da es die Dateien der einzelnen Benutzer gegeneinander abschirmen konnte. Eine Vollverschlüsselung mittels LUKS kann dies nicht leisten.

Es bleibt daher zu hoffen, dass die angedeutete Lösung auf Basis von ext4 zeitnah und benutzerfreundlich umgesetzt wird. Bisher bietet diese keine größere Linux-Distribution standardmäßig an.


Bilder:

Einleitungs- und Beitragsbild von guaxipo via pixabay

 

Mehr aus dem Blog

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...

iOS und Android können VPN umgehen

VPN ist für Anonymität einfach keine gute Idee. Wer dafür noch weitere Gründe braucht, muss sich nur die aktuellen Berichte über das iPhone-Betriebssystem iOS...

Mastodon – So schnell kann es gehen

Im Frühjahr, als die Kaufabsichten von Elon Musk publik wurden, schrieb ich einen skeptischen Kommentar, was den prognostizierten massenhaften Wechsel zu Mastodon betrifft. Meine...

Vertrauen – Warum Werbung zur Monetarisierung manchmal gut ist

Früher hat man etwas bei Stiftung Warentest gelesen oder einen Ratgeber aus einem angesehenen Verlag gekauft. Vertrauen transportierte die Marke des Verlages. Heute vertrauen...