eCryptFS – Unsicher und nicht mehr gepflegt?

eCrpytFS (siehe auch: eCryptFS – Benutzerdaten verschlüsseln) war neben LUKS/dm-crypt lange Zeit die Lösung um Daten unter Linux zu verschlüsseln. Es eignete sich zwar nicht zur vollständigen Verschlüsselung des Betriebssystems, wohl aber der Benutzerdaten. Zudem bot es eine probate Ergänzung zu LUKS um die Benutzer gegeneinander zu schützen.

Ubuntu hat sich mit Version 18.04 von eCryptFS verabschiedet (siehe: Ubuntu verabschiedet sich von eCryptFS). Der Entwickler Dustin Kirkland hatte Canonical den Rücken gekehrt und arbeitet nun für Google. Daher sah sich Canonical scheinbar außerstande die Sicherheit von eCryptFS für dieses Einsatzszenario über einen Zeitraum von 5 Jahren zu gewährleisten. Die Entwicklung von eCryptFS im Kernel und der Userspace-Bestandteile sieht zudem leider alles andere als aktiv aus.

Am 19.12.2018 hat Debian nun das essenzielle Paket ecryptfs-utils aus dem Testing-Zweig entfernt. Insbesondere geht es um einen Bugreport mit erheblichen Implikationen für die Sicherheit, der über Jahre nicht behoben werden konnte. Grob zusammengefasst bedeutet der Fehler, dass eCryptFS-Verzeichnisse beim Logout eines Benutzers nicht zuverlässig ausgehängt werden und damit verfügbar bleiben. Bei physischem Zugriff auf das System ist die Verschlüsselung somit nicht sicher!

Es handelt sich dabei um kein Debian-spezifisches Problem. Im Arch Linux Wiki erfolgt ebenfalls eine Warnung. Die systemd-Entwickler haben sich allerdings für quasi nicht zuständig erklärt, weshalb von dort keine Lösung zu erwarten ist.

Leider muss daher dringend zu einem Wechsel auf LUKS geraten werden (siehe: LUKS – Betriebssystem verschlüsseln). Um Benutzer gegeneinander abzuschirmen gibt es zum aktuellen Zeitpunkt keine sichere Lösung für Linux. Die transparente ext4-Verschlüsselung steht für Linux auf dem Desktop leider immer noch nicht zur Verfügung.

Zum aktuellen Zeitpunkt ist eCryptFS im Desktopeinsatz damit Geschichte!

Mehr aus dem Blog

Firmware Updates (BIOS) mit fwupd

Mein privates Hauptgerät ist schon länger ein HP EliteBook G7. Firmware-Updates für einzelne Hardwarekomponenten gab es schon länger via fwupd, aber nun geht darüber...

Boxcryptor von Dropbox übernommen

Ein bisschen untergegangen ist bei mir und vielen anderen vermutlich die Meldung, dass Dropbox von der Secomba GmbH deren Produkt Boxcryptor erworben hat. Das...

Firmen benötigen kein „zweites Leben“ mit Linux

Heise bringt mal wieder eine Serie zum Umstieg auf Linux. Dieses mal für Unternehmen im Angesicht der Windows 11-Migration. Das geht völlig am Thema...

Warum man „Face unlock“ mit einem Google Pixel 7 nicht nutzen sollte

Biometrische Entschlüsselung ist ein Thema für sich. Selbst wenn man dem nicht gänzlich ablehnend gegenüber steht, sollte man nicht leichtfertig jede Lösung nutzen. Gesichtserkennung...