eCryptFS war eine dateibasierte Verschlüsselungslösung. Neben der Verschlüsselung von Verzeichnissen konnte man damit auch sehr gute die kompletten Homeverzeichnisse der Benutzer verschlüsseln. Die Lösung beworb vor allem Ubuntu sehr prominent in der Installationsroutine aber auch andere Distributionen experimentierten mit eCryptFS. Das ist aber nun vorbei!
Ubuntu hat sich mit Version 18.04 von eCryptFS verabschiedet (siehe: Ubuntu verabschiedet sich von eCryptFS). Der Entwickler Dustin Kirkland hatte Canonical den Rücken gekehrt und arbeitet nun für Google. Daher sah sich Canonical scheinbar außerstande die Sicherheit von eCryptFS für dieses Einsatzszenario über einen Zeitraum von 5 Jahren zu gewährleisten. Die Entwicklung von eCryptFS im Kernel und der Userspace-Bestandteile sieht zudem leider alles andere als aktiv aus.
Debian hat nun seine jüngste stabile Version „Buster“ ebenfalls ohne eCryptFS ausgeliefert. Dies hatte sich bereits im Testing-Stadium abgezeichnet (siehe: eCryptFS – Unsicher und nicht mehr gepflegt?). Gleiches gilt für RHEL und die freien Clone, bei denen bereits vor vergangenen Version 7 ohne eCryptFS auskam.
Zeit also sich zu verabschieden. In diesem Zusammenhang habe ich hier eine kleine Premiere erlebt und meinen ersten Artikel archivieren müssen.
Ganz so schlimm ist der Verlust freilich nicht. Dank CPU-seitiger Verschlüsselungsunterstützung ist Verschlüsselung heute für die Hardware keine Herausforderung mehr. Einer vollständigen Verschlüsselung des Betriebssystems mittels LUKS (siehe: LUKS – Betriebssystem verschlüsseln) steht daher kaum noch etwas im Weg. Unter bestimmten Bedingungen kann man sogar nur das Homeverzeichnis mit LUKS verschlüsseln (siehe: Home-Partition mit LUKS verschlüsseln und bei Login automatisch einbinden).
Für dateibasierte Verschlüsselung kann man auf Lösungen wie CryFS zurückgreifen. Hierfür bietet z. B. Plasma Vault eine grafische Oberfläche (siehe: Plasma Vault – Cloud-Verschlüsselung einfach gemacht). Für andere Desktopumgebungen bietet sich ggf. Sirikali an (siehe: Sirikali – Eine Oberfläche, viele Verschlüsselungen). Theoretisch wäre die von Google vorangetriebene Verschlüsselung von ext4 auch eine Möglichkeit, aber diese steht faktisch bisher für keine Linux-Distribution zur Verfügung.