Linux Home Verzeichnis verschlüsseln
Eine Möglichkeit der Festplattenverschlüsselung unter Linux ist eCryptfs (Enterprise Cryptographic Filesystem).
Wie funktioniert eCryptfs?
Nach der Verschlüsselung mit dem User-Passwort und einer Passphrase sind die verschlüsselten Daten in dem Verzeichnis:
/home/.ecryptfs/<username>/.Private
zu finden. Die Einstellungen sowie die wrapped Passphrase liegen im Verzeichnis:
/home/.ecryptfs/<username>/.ecryptfs
Auch die Dateinamen sind mit FNEK (filename encryption key) verschlüsselt und somit nicht mehr zu erkennen.
Bei der Verschlüsselung muss eine Passphrase (128 bit AES Schlüssel) eingegeben werden. Diese wird zusammen mit dem User Login-Passwort verschlüsselt (“salted”) und vorerst nicht mehr benötigt.
Die Anmeldung erfolgt nur mit dem User-Passwort und das verschlüsselte Home Verzeichnis wird automatisch gemountet. Das Home Verzeichnis sieht aus wie zuvor,
/home/<username>/Meine Daten
nur mit dem Unterschied, dass hier die Dateien aus /home/.ecryptfs/<username>/.Private nach /home/<username>/ gemountet wurden.
Für eine bessere Performence bzw. Datensicherheit werden nur die Dateien im Dateimanager entschlüsselt, auf die aktuell zugegriffen wird. D.h. bei einem Absturz können nur die in Bearbeitung befindlichen Dateien zerstört oder beschädigt werden.
Manueller Zugriff
Ein typischer Anwendungsfall wäre, dass der Rechner nicht mehr bootet und auf diesen mit einen bootfähigen USB-Stick oder Live-CD zugegriffen werden muss. Jetzt können die Festplatten zwar gemountet werden, jedoch der Zugriff auf das verschlüsselte Home Verzeichnis bleibt verwehrt (ist ja beabsichtigt). Mit dem Befehl
ecryptfs-recover-private
und der Passphrase kann dann auf das verschlüsselte Home Verzeichnis zugegriffen werden.
Installation bei einem bestehenden System
eCryptfs kann unter Debian Derivaten wie folgt installiert werden:
sudo apt-get install ecryptfs-utils
Danach wird ein neuer User mit Administratorenrechten benötigt.
Systemwerkzeuge -> Systemeinstellungen -> Benutzer
Danach auf “Entsperren” klicken und ein Kontotyp “Systemverwalter” anlegen und ein Passwort vergeben.
Der nächste Schritt ist es, sich abzumelden und unter einem neuen Screen (CTRL + ALT + F1) mit dem eben angelegten User anmelden. Danach wird der eigene User (nicht der Neue) mit folgendem Befehl migriert (der Parameter USER ist durch den eigenen User zu ersetzen).
sudo ecryptfs-migrate-home -u USER
Der Vorgang kann etwas Zeit in Anspruch nehmen. Einfach warten bis eine Information angezeigt wird und abmelden. Jetzt zurück auf den ursprünglichen Screen (CTRL + ALT + F7) und mit dem eigenen User anmelden. Es öffnet sich nach kurzem Warten ein Popup. Hier muss jetzt die Passphrase eingegeben werden, die unbedingt zu merken ist!
Als letzten Schritt muss nur noch etwas aufgeräumt werden. Hierfür das neue Konto wieder Löschen und unter
/home/<username>.IRGENDWAS
gibt es eine Backup des Home Orderns, welches auch gelöscht werden kann. Der Aufwand mit dem neuen Administrator Account ist notwendig, weil die Daten in dem Home Verzeichnis verschlüsselt werden müssen und dies funktioniert erst, wenn nicht darauf zugegriffen wird.