eCrpytFS (siehe auch: eCryptFS – Benutzerdaten verschlüsseln) war neben LUKS/dm-crypt lange Zeit die Lösung um Daten unter Linux zu verschlüsseln. Es eignete sich zwar nicht zur vollständigen Verschlüsselung des Betriebssystems, wohl aber der Benutzerdaten. Zudem bot es eine probate Ergänzung zu LUKS um die Benutzer gegeneinander zu schützen.
Ubuntu hat sich mit Version 18.04 von eCryptFS verabschiedet (siehe: Ubuntu verabschiedet sich von eCryptFS). Der Entwickler Dustin Kirkland hatte Canonical den Rücken gekehrt und arbeitet nun für Google. Daher sah sich Canonical scheinbar außerstande die Sicherheit von eCryptFS für dieses Einsatzszenario über einen Zeitraum von 5 Jahren zu gewährleisten. Die Entwicklung von eCryptFS im Kernel und der Userspace-Bestandteile sieht zudem leider alles andere als aktiv aus.
Am 19.12.2018 hat Debian nun das essenzielle Paket ecryptfs-utils aus dem Testing-Zweig entfernt. Insbesondere geht es um einen Bugreport mit erheblichen Implikationen für die Sicherheit, der über Jahre nicht behoben werden konnte. Grob zusammengefasst bedeutet der Fehler, dass eCryptFS-Verzeichnisse beim Logout eines Benutzers nicht zuverlässig ausgehängt werden und damit verfügbar bleiben. Bei physischem Zugriff auf das System ist die Verschlüsselung somit nicht sicher!
Es handelt sich dabei um kein Debian-spezifisches Problem. Im Arch Linux Wiki erfolgt ebenfalls eine Warnung. Die systemd-Entwickler haben sich allerdings für quasi nicht zuständig erklärt, weshalb von dort keine Lösung zu erwarten ist.
Leider muss daher dringend zu einem Wechsel auf LUKS geraten werden (siehe: LUKS – Betriebssystem verschlüsseln). Um Benutzer gegeneinander abzuschirmen gibt es zum aktuellen Zeitpunkt keine sichere Lösung für Linux. Die transparente ext4-Verschlüsselung steht für Linux auf dem Desktop leider immer noch nicht zur Verfügung.
Zum aktuellen Zeitpunkt ist eCryptFS im Desktopeinsatz damit Geschichte!
Hallo Gerrit,
erst einmal vielen Dank für die Vorstellung Deiner verschiedenen Ansichten und Einschätzungen
zu diversen Programmen.
im Zusammenhang mit der Neuinstallation von Mint 21.1 beschäftige ich mich seit Kurzem mit der Verschlüsselung
der home-Partition mit eCryptFS.
Deinem obigen Beitrag zufolge hat sich Ubuntu mit Version 18.04 von eCryptFS verabschiedet.
Dem kann ich leider nicht folgen, weil Mint 21.1 aus dem Unterbau von Ubuntu 22.4 besteht, und eCryptFS
bei der Insatallationsroutine als Option für die Verschlüsselung der home-Partition angeboten wird.
Demnach musss es ja eine Rückkehr Canonicals zu eCryptFS gegeben haben, oder sehe ich das falsch?
eCryptFS ist in universe und wird upstream auch kaum noch gewartet Es hat definitiv keine Rückkehr zu eCryptFS gegeben.. Es ist eher typisch Mint, das man den Nutzer dort im unklaren über den Zustand lässt und sogar noch neue Nutzer zu eCryptFS schickt. Sicherheit stand bei Mint noch nie im Vordergrund.