Datenschutz im digitalen Alltag

Damit Privates privat bleibt

Bild von KRiemer via pixaybay / Lizenz: CC0 Creative Commons

eCryptFS - Unsicher und nicht mehr gepflegt?

eCrpytFS (siehe auch: eCryptFS - Benutzerdaten verschlüsseln) war neben LUKS/dm-crypt lange Zeit die Lösung um Daten unter Linux zu verschlüsseln. Es eignete sich zwar nicht zur vollständigen Verschlüsselung des Betriebssystems, wohl aber der Benutzerdaten. Zudem bot es eine probate Ergänzung zu LUKS um die Benutzer gegeneinander zu schützen.

Ubuntu hat sich mit Version 18.04 von eCryptFS verabschiedet (siehe: Ubuntu verabschiedet sich von eCryptFS). Der Entwickler Dustin Kirkland hatte Canonical den Rücken gekehrt und arbeitet nun für Google. Daher sah sich Canonical scheinbar außerstande die Sicherheit von eCryptFS für dieses Einsatzszenario über einen Zeitraum von 5 Jahren zu gewährleisten. Die Entwicklung von eCryptFS im Kernel und der Userspace-Bestandteile sieht zudem leider alles andere als aktiv aus.

Am 19.12.2018 hat Debian nun das essenzielle Paket ecryptfs-utils aus dem Testing-Zweig entfernt. Insbesondere geht es um einen Bugreport mit erheblichen Implikationen für die Sicherheit, der über Jahre nicht behoben werden konnte. Grob zusammengefasst bedeutet der Fehler, dass eCryptFS-Verzeichnisse beim Logout eines Benutzers nicht zuverlässig ausgehängt werden und damit verfügbar bleiben. Bei physischem Zugriff auf das System ist die Verschlüsselung somit nicht sicher!

Es handelt sich dabei um kein Debian-spezifisches Problem. Im Arch Linux Wiki erfolgt ebenfalls eine Warnung. Die systemd-Entwickler haben sich allerdings für quasi nicht zuständig erklärt, weshalb von dort keine Lösung zu erwarten ist.

Leider muss daher dringend zu einem Wechsel auf LUKS geraten werden (siehe: LUKS - Betriebssystem verschlüsseln). Um Benutzer gegeneinander abzuschirmen gibt es zum aktuellen Zeitpunkt keine sichere Lösung für Linux. Die transparente ext4-Verschlüsselung steht für Linux auf dem Desktop leider immer noch nicht zur Verfügung.

Zum aktuellen Zeitpunkt ist eCryptFS im Desktopeinsatz damit Geschichte!


Bilder:
Einleitungs- und Beitragsbild von KRiemer via pixaybay / Lizenz: CC0 Creative Commons

"

Tags: Verschlüsselung, eCryptFS

Die Kommentarfunktion auf [Mer]Curius soll allen interessierten Leserinnen und Lesern einen Austausch ermöglichen. Kritische Meinungen zum Artikel selbst oder anderen Kommentaren sind ausdrücklich erwünscht. Gleichwohl werden Kommentare vor ihrer Veröffentlichung geprüft. Sie erscheinen daher nicht im unmittelbaren Anschluss nach dem Verfassen.


Die Angabe einer E-Mail Adresse ist optional und lediglich notwendig, wenn ein Abonnement zukünftiger Kommentare gewünscht ist.


Informationen zu verarbeiteten personenbezogenen Daten entnehmen Sie bitte der Datenschutzerklärung. Mit dem Verfassen eines Kommentars akzeptieren Sie diese Datenschutzbedingungen.

Lade Kommentar... Das Kommentar wird neu geladen in 00:00.
  • Dieses Kommentar ist noch nicht freigegeben.
    Bernd · Vor 6 Tagen
    Auch LUKS-Laufwerke werden bei einem Logout nicht ausgehangen, das ist technisch auch gar nicht möglich. Man stelle sich mal vor der Rechner will im Hintergrund auf die Root-Partition zugreifen und kann es nicht. Auch sämtliche Lese- und Schreibzugriffe im Hintergrund laufender Programme auf andere Partitionen wären dann unmöglich und würde zu Datenverlust oder Einfrieren des Betriebssystems führen.
    Genau aus diesem Grund ist jeder Rechner angreifbar, egal ob LUKS, eCryptFS oder sonstwas zum Einsatz kommt, wenn physischer Zugriff besteht.

    Der eigentliche Schlüssel zum Entschlüsseln befindet sich deswegen nämlich permanent im Arbeitsspeicher und die Polizei z.B. kann dann über die Cold Boot Attacke (mittels Kältespray den flüchtigen Speicher für mehrere Minuten haltbar machen) das RAM auslesen.
    Eigentlich sollte diese Art Attacke nicht mehr möglich sein, aber F-Secure hat erst vor einigen Wochen eine Meldung dazu rausgegeben, dass es nach wie vor möglich ist. Wer also Angst vor einer Hausdurchsuchung hat, sollte zusehen dass die werte Polizei den Rechner nicht eingeschaltet vorfindet, Logout / Standby nützt nichts.
    • Dieses Kommentar ist noch nicht freigegeben.
      Gerrit
      • Administrator
      · Vor 6 Tagen
      Du hast recht und unrecht zugleich. Natürlich werden auch LUKS Laufwerke nicht ausgehängt, weil beim Systemstart der komplette LVM Container entsperrt wird.

      Deshalb hatte ich in der Vergangenheit auch eCryptFS als Ergänzung empfohlen. Vor systemd sorgte eine Abmeldung bei eCryptFS nämlich - soweit ich weiß - für ein sauberes aushängen des verschlüsselten Home-Verzeichnisses.

      Wenn eCryptFS diesen Zweck nicht (mehr) erfüllt geht seine Daseinberechtigung gegen Null. Probleme mit Swap und der Performance auf HDDs gab es ja bereits vorher.
  • Dieses Kommentar ist noch nicht freigegeben.
    Tom · Vor 6 Tagen
    Ich kenne das Problem und starte ich den Rechner deshalb immer neu wenn eines meiner Kinder an dem Rechner in Ihrem Account weitermachen wollen. Für die Familien mit Kindern ist das die beste Lösung um seine Daten von anderen Benutzern abzuschirmen und vor allem bei einem Notebook-Diebstahl auf sicherer Seite zu sein. Festplattenverschlüsselung geht nicht weil auch Kinder sich ein "gutes Passwort" merken und fehlerfrei eintippen müssten.
Schreibe etwas...
Sie sind Gast
oder als Gast schreiben
  • Betriebssystem wählen

    Das Betriebssystem mit dem Desktoprechner, Notebooks und Mobilgeräte wie Smartphones und Tablets betrieben werden, dient einerseits als Grundlage jeder weiteren Weiterlesen
  • Daten verschlüsseln

    Verschlüsselung von Daten ist eine der wichtigen Erstmaßnahmen um Datenabfluss zu vermeiden. Externe Festplatten oder Speichermedien kann man verlieren, Notebooks Weiterlesen
  • Kommunikation schützen

    Im Zuge der Digitalisierung haben sich auch die Kommunikations-Kanäle vervielfältigt. Videotelefonie, Instant Messenger, sowohl für den Desktop, als auch im Weiterlesen
  • Anonymisierung

    Anonymität gehört im Zeitalter von Werbetracking und Bestandsdatenabfragen der Vergangenheit an. Mit einigen speziellen Programmen wie TOR oder spezialisierten Systemen Weiterlesen
  • 1