Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Symbolbild "Fragezeichen"

Das Verhalten entscheidet über die Wahl der Verschlüsselungsmethode

Es gibt im Linuxbereich im Wesentlichen zwei konkurrierende Verschlüsselungsverfahren für das Betriebssystem. Dies wären die containerbasierte Verschlüsselung mittels LUKS (dm-crypt) und die dateibasierte Variante mittels eCryptFS. Hinzu kommen noch alternative Verfahren wie TrueCrypt und seine diversen Nachfolger, experimentelle Verschlüsselungen wie die neue transparente Methode von ext4, sowie Methoden für Spezialfälle wie EncFS

LUKS und eCryptFS können vielfältig verwendet werden. Die häufigsten Einsatzszenarien werden jedoch durch die Möglichkeiten der Installationsroutinen der Distributionen vorgegeben. LUKS findet sich deshalb am häufigsten in Form einer Komplettverschlüsselung des Betriebssystems mittels eines LVM-Verfahrens. ECryptFS ist hingegen vor allem als dateibasierte Verschlüsselung für die Homeverzeichnisse von Benutzern verbreitet. Ubuntu und seine Derivate bieten dieses Verfahren dezidiert in der Installationsroutine an.

Wenn man mittels einer Suchmaschine der eigenen Präferenz nach einem Vergleich beider Verfahren stößt trifft man oft sinngemäß auf folgende Aussage:

Ich persönlich würde LUKS vorziehen, da bei eCryptFS immer unverschlüsselte Bereiche auf der Festplatte bleiben und diese stellen ein Risiko dar.

Soweit, so überzeugend für den unbedarften Leser. Leider allerdings auch vollkommen falsch. Die Wahl des richtigen Verschlüsselungsverfahrens hängt ganz entscheidend von den Nutzungsgewohnheiten ab und nicht ob irgendwelche unverschlüsselten Bereiche übrig sind.

Dazu muss man nur eimal vor Augen führen wie die Verfahren funktionieren. Im ausgeschalteten Zustand ist LUKS die bessere Methode. Mal abgesehen von der unverschlüsselten Bootpartition, die das System zum starten benötigt, ist das gesamte Betriebssystem verschlüsselt. Selbst wenn Programme irgendwelche Benutzerdaten nach /etc oder /opt geschrieben haben, hat niemand Zugriff auf diese Daten. Ab dem Moment der Passworteingabe ist die Verschlüsselung jedoch aufgehoben. Bei einem Mehrbenutzersystem haben nun alle Benutzer Lesezugriff auf die Dateien der anderen Anwender (sofern nicht anders konfiguriert) und ein einfaches abmelden des Benutzers oder gar die Bildschirmsperre (so etwas kann auch ganz simplen Sicherheitslücken ausgesetzt sein) schützen die Daten nicht. LUKS ist deshalb für Anwender, die ihr System nie herunterfahren oder Mehrbenutzersysteme betreiben nicht automatisch die bessere Wahl.

Umgekehrt hat eCryptFS auch seine Schwachstellen. In einem "normalen" Desktopsystem liegen alle Benutzerdaten unter /home und werden hier verschlüsselt. Die unverschlüsselten Daten in der root-Partition verraten zwar einiges über das Betriebssystem, aber enthalten im Idealfall keine wirklich privaten Dokumente. Hierbei ist natürlich auch zu beachten, dass nicht jeder gleich geheimdienstliche Überwachung mit all ihren Möglichkeiten fürchtet, sondern man vielleicht auch einfach nur die Daten vor Mitbenutzern des Systems abschirmen will. Spätestens bei weitergehenden Aufgaben kann eine eCryptFS-Verschlüsselung aber auch versagen. Als Beispiel sei hier die Virtualisierung mittels libvirt genannt. Anders als VirtualBox speichert libvirt standardmäßig neu angelegte VM's unterhalb von /var und somit im unverschlüsselten Bereich der Festplatte.

Zusammenfassend: Die Wahl der richtigen Verschlüsselung hängt ganz dezidiert vom eigenen Anwendungsverhalten und den Einsatzszenarien ab. Sie entzieht sich einfachen Antworten wie "hauptssache keine unverschlüsselten Bereiche auf der Festplatte". Man kann eCryptFS und LUKS übrigens auch kombinieren, was allerdings recht selten thematisiert wird.


Bilder:
Einleitungs- und Beitragsbild von qimono via pixabay

Tags: Sicherheit, Verschlüsselung, eCryptFS, LUKS, dm-crypt, Container

Ergänzungen zum Artikel

Weitere Informationen können den Nutzungsbedingungen entnommen werden.

5000 Buchstaben übrig


  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Daten in der Cloud schützen

    Datensicherheit ist in der Cloud nicht gewährleistet. Die meisten Anbieter bieten keine Verschlüsselung. Daten sollte man daher selbst verschlüsseln oder Weiterlesen
  • 1

Über [Mer]Curius

Immer größere Teile unseres Lebens haben sich in den vergangenen Jahren digitalisiert. Es gibt heute unzählige Dienste und jeder Mensch hinterlässt permanent Spuren. Die Datensätze, die hier entstehen wecken viele Begehrlichkeiten. Es besteht aber auch die Möglichkeit durch gezielte Maßnahmen die eigene Datenspur zu minimieren und Daten effektiv und sicher zu schützen. Damit entgeht man zwar nicht jeder Überwachungsmaßnahme, erlangt aber zumindest teilweise die Kontrolle über die eigenen Daten zurück.

→ Mehr über [Mer]Curius