Ubuntu bot in der Installationsroutine seit langem eine Verschlüsselung der Benutzerverzeichnisse auf Basis von eCryptFS an (eCryptFS – Benutzerdaten verschlüsseln). Mit der kommenden LTS 18.04 Bionic Beaver verabschiedet man sich von dieser Lösung und empfiehlt eine Vollverschlüsselung mittels LUKS (LUKS – Betriebssystem verschlüsseln).
Dazu heißt es lapidar in den ReleaseNotes:
The installer no longer offers the encrypted home option using ecryptfs-utils. It is recommended to use full-disk encryption instead for this release.
Im verlinkten Bugreport wird man leider auch nicht konkret was die genaue Ursache der Entscheidung ist:
The preffered way to get encrypted disks, these days, is to do full disk encryption using LUKS.
If per-directory encryption is required, it is recommended to us fscrypt support in e.g. ext4.
Support for installing using ecryptfs encrypted /home has been disabled in the installers.
Please demote ecryptfs-utils to universe for bionic+
Über die genaue Ursache kann man daher nur mutmaßen. Möglicherweise spielt hier eine Rolle, dass der bisherige Hauptentwickler von eCryptFS Dustin Kirkland Canonical den Rücken gekehrt hat. Eventuell sieht man sich nun nicht mehr in der Lage diese Lösung auf LTS-Niveau zu pflegen.
Die bereits erfolgte Verschiebung nach universe lässt jedenfalls nichts gutes hoffen. Programme werden dort mehr schlecht als recht gewartet und insbesondere in so einem sensiblen Bereich mag man das Risiko kaum eingehen.
Wenngleich die prominente Platzierung von eCryptFS immer ein Ubuntu-Spezifikum war, stand diese Lösung auch immer in vielen anderen Distributionen zur Verfügung und hatte durchaus ihre Daseinsberechtigung. Eine Teilverschlüsselung ist zwar immer ein potenzielles Risiko, da sensible Dateien – programmbedingt oder versehentlich – in nicht verschlüsselten Bereichen abgelegt werden können. Andererseits bot eCryptFS insbesondere auf Mehrbenutzersystemen einen Mehrwert, da es die Dateien der einzelnen Benutzer gegeneinander abschirmen konnte. Eine Vollverschlüsselung mittels LUKS kann dies nicht leisten.
Es bleibt daher zu hoffen, dass die angedeutete Lösung auf Basis von ext4 zeitnah und benutzerfreundlich umgesetzt wird. Bisher bietet diese keine größere Linux-Distribution standardmäßig an.
Bilder:
Einleitungs- und Beitragsbild von guaxipo via pixabay