Datenschutz im digitalen Alltag

Damit Privates privat bleibt

eCryptFS - Benutzerdaten verschlüsseln

Zur Zeit existieren Sicherheitsprobleme mit eCrypFS und systemd. Ein Einsatz ist nicht mehr zu empfehlen. Siehe auch: eCryptFS - Unsicher und nicht mehr gepflegt?

eCryptFS ist eine native Verschlüsselungslösung für Linux-Systeme. Im Unterschied zu LUKS (dm-crypt) oder Truecrypt verschlüsselt es die Daten nicht in Containern, sondern auf Dateibasis. Jede Datei wird einzeln verschlüsselt und bei Bedarf entschlüsselt. eCryptFS ist deshalb keine Lösung um eine Vollverschlüsselung des Betriebssystems zu ermöglichen, es ist aber hervorragend geeignet um beispielsweise die Benutzerdaten zu verschlüsseln. eCryptFS ist dadurch in hohem Maße Mehrbenutzerfähig, da die Benutzerdaten jedes Benutzers durch dessen individuelles Benutzerpasswort ver- und entschlüsselt werden. Dies geschieht automatisch beim Login. Damit unterscheidet sich eCryptFS von LUKS oder Truecrypt, die beide direkt nach dem Bootloader und vor dem Start des Betriebssystems ein Kennwort abfragen.

Ubuntu und seine Derivate boten bis zur Version 18.04 eine Verschlüsselung via eCryptfs bereits bei der Installation an. Man musste lediglich einen Haken bei Benutzerdaten verschlüsseln setzen. Die folgende Anleitung zeigt wie man die Benutzerdaten unter jeder anderen Linux-Distribution mit eCryptFS verschlüsselt. Diese Anleitung lässt sich auf einem bereits installierten Linux-System durchführen und Bedarf keiner Neuinstallation. Das eigentliche Betriebssystem auf der root-Partition bleibt davon unberührt, aber dort finden sich ja auch nur selten persönliche Daten.

ECryptFS nachträglich einrichten

[yt_message_box type="error" close="no" yt_title="Achtung!" ]Vor dem Durchführen der Anleitung ist ein Backup der Benutzerdaten durchzuführen. Fehler können zum Verlust aller Daten auf dem System führen. Die Anleitung wurde getestet und hat auf mehreren Systemen des Autos funktioniert. Dennoch ist nicht auszuschließen, dass es unter besonderen - nicht vorhersehbaren Bedingungen - zu Problemen kommen kann. [/yt_message_box]

Zuerst installiert man eCryptfs und prüft ob das entsprechende Modul geladen ist:

# apt-get install ecryptfs-utils rsync

# modprobe ecryptfs

Danach muss der Benutzer, dessen Homeverzeichnis verschlüsselt werden soll abgemeldet werden. Nach einem Wechsel auf die Konsole prüft man zur Sicherheit noch ob der laufende Displaymanager beendet ist. Das Kommandi hängt von der eingesetzten Distribution und dem verwendeten Loginmanager ab. Im Fall von Ubuntu 14.04 und Debian 8.0 mit LightDM wäre dies:

# /etc/init.d/lightdm stop

Nun verschlüsseln man die Benutzerdaten. Je mehr Daten bereits in der Homepartition liegen, desto länger dauert der Vorgang.

# ecryptfs-migrate-home -u <benutzername>

Danach werden einige Hinweise angezeigt, die ich hier der Vollständigkeit halber mal wiedergeben möchte. Diese sind natürlich zu befolgen.

[yt_highlighter label="Hinweise" linenums="yes" ]Some Important Notes!

The file encryption appears to have completed successfully, however, USERNAME MUST LOGIN IMMEDIATELY, _BEFORE_THE_NEXT_REBOOT_, TO COMPLETE THE MIGRATION!!!

If USERNAME can log in and read and write their files, then the migration is complete, and you should remove /home/USERNAME.xxxxxxxxx. Otherwise, restore /home/USERNAME.xxxxxx back to /home/USERNAME.

USERNAME should also run ‘ecryptfs-unwrap-passphrase’ and record their randomly generated mount passphrase as soon as possible.

To ensure the integrity of all encrypted data on this system, you should also encrypted swap space with ‘ecryptfs-setup-swap’. [/yt_highlighter]

Das heißt, zuerst meldet man sich wieder an, indem man den Displaymanager startet. Vorausgesetzt man verwendet Ubuntu oder Debian und LightDM, geschieht dies mit folgendem Kommando.

# /etc/init.d/lightdm start

Danach prüft man ob die Dateiverschlüsselung funktioniert hat, indem man einige Dateien probehalber öffnet. Sofern das der Fall sein sollte kann man die den doppelten Homeverzeichnisordner in /home/ löschen.

$ sudo rm -r /home/<benutzername>.xxxxx # xxxxx steht für die Zeichenabfolge

Sofern man eine SWAP Partition hat muss man diese nun ebenfalls verschlüsseln und die Passphrase sollte man sich notieren und sicher aufheben.

Tags: Verschlüsselung, eCryptFS

  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius

Blog

Aktuelle Informationen, Debatten und Kommentare rund um die Absicherung der digitalen Identität.

Zum Blog