Verschlüsselung mit EncFS

Sichtschutz

Obwohl das Verschlüsselungsprogramm EncFS im Sommer schon seinen sechsten Geburtstag feiert, zählt es noch längst nicht zum alten Eisen. Im Fahrwasser von Truecrypt geriet es allerdings etwas in Vergessenheit – zu unrecht, denn es bietet einige Vorteile.

Wer unter Linux seine Daten vor fremden Blicken schützen möchte, hat die Wahl zwischen verschiedenen Lösungen. Wer nur ein paar Dateien vor fremden Blicken schützen will, schießt mit manchen von ihnen aber mit Kanonen auf Spatzen. So verlangt beispielsweise Truecrypt nach einer Containerdatei, in der der Anwender erst umständlich eine virtuelle Festplatte anlegen muss, die dann zu allem Überfluss auch noch ordentlich Festplattenplatz schluckt. Die umfangreichen Parameter der Kommandozeilenprogramme schrecken zudem Normalanwender ab, die teilweise nötigen Root-Rechte erledigen schließlich ihr übriges.

Eine interessante Alternative stellt EncFS dar. Im Gegensatz zur Konkurrenz verschlüsselt es einfach nur alle Dateien in einem beliebigen Verzeichnis. Es gibt somit keinen fetten Container, der sich beim Backup wie eine sperrige Schrankwand beim Umzug verhält. Stattdessen belegt das Verzeichnis nur den Platz, den sein verschlüsselter Inhalt auch tatsächlich beansprucht.

Peepshow

Um die Daten wieder zu entschlüsseln, geht EncFS einen etwas unorthodoxen Weg: Der Anwender hängt das verschlüsselte Verzeichnis wie einen echten Datenträger in einen anderen, leeren Ordner. Dieser bietet dann eine unverschlüsselte Sicht auf das von EncFS geschützte Verzeichnis. Sobald der Anwender den verschlüsselten Ordner wieder aushängt, sind dessen Inhalte wieder vor fremden Blicken geschützt. Der Mount-Point dient somit gewissermaßen als Safetür. Klingt kompliziert, gestaltet sich aber in der Praxis als äußert einfach und elegant, wie das folgende Beispiel beweist.

EncFS liegt schon seit einer gefühlten Ewigkeit jeder guten Distribution bei. Unter Ubuntu spielem Sie einfach das Paket »encfs« ein:

sudo apt-get install encfs

Zum Redaktionsschluss lag in den Repositories allerdings nur die veraltete Version 1.4.2. Wer das aktuelle EncFS 1.5.0 nutzen möchte, muss daher zum Quellcode greifen [1]. Dass dieser ebenfalls recht fix installiert ist, zeigt der Kasten "Installation aus den Quellen".

Im eigenen Home-Verzeichnis erstelln Sie nun zwei Ordner. Der erste enthält später alle verschlüsselten Dateien:

mkdir privat

Der zweite dient gleich als Mount-Point:

mkdir lesbar

Als nächstes hängen Sie mit EncFS das Verzeichnis »privat« unter »lesbar« ein:

encfs /home/tim/privat /home/tim/lesbar

Dabei müssen Sie übrigens zwingend den vollen Pfad angeben, das Heimatverzeichnis können Sie allerdings mit »~« abkürzen (wie in Abbildung 1).

Abbildung 1: Ein verschlüsseltes Verzeichnis zu erstellen, erfordert nur einen Befehl und ein Passwort. Wenn die als Parameter übergebenen Ordner noch nicht existieren, legt sie encfs selbstständig an.

EncFS bereitet im ersten Schritt den Ordner »privat« auf die Verschlüsselung vor, wozu es dem Anwender ein paar Fragen stellt. Ein bereits vorhandenes Verzeichnis kann EncFS leider nicht umwandeln. Wenn »privat« bereits Dateien enthält, ignoriert die Verschlüsselungssoftware sie kurzerhand.

Quizshow

Gleich die erste Frage beantworten Sie mit der Eingabetaste. Die so gewählten Standardeinstellungen zwingen EncFS zu einer zeitgemäßen AES-Verschlüsselung mit einer Schlüssellänge von 192 Bit (Abbildung 1). Der alternativ über »p« aktivierte »Paranoia-Modus« für Sicherheitsfanatiker nutzt eine Schlüssellänge von 256 Bits. Wer detaillierten Einfluss auf den Verschlüsselungsalgorithmus benötigt, wählt »x« für den »Experten-Modus« . Die dann verfügbaren Optionen erklärt der Kasten "Der Expertenmodus".

Als nächstes vergeben Sie das Passwort. Da es den einzigen Schlüssel zum Datentresor bildet, sollten Sie es nicht nur möglichst sicher wählen, sondern auch die angezeigte Warnmeldung ernst nehmen: Wer das Passwort vergisst, dem bleibt nur unbrauchbarer Datenmüll.

Abschließend mountet EncFS den jetzt verschlüsselten Ordner »privat« unter »lesbar« . Dabei greift es auf die Dienste des Filesystem in Userspace (FUSE) zurück, das Dateisystemtreiber aus dem Kernel in den Userspace verlagert [2]. Damit ist es auch normalen Anwendern möglich, die verschlüsselten Verzeichnisse selbst zu mounten.

comments powered by Disqus

Artikel der Woche

CloudForms & ManageIQ

ManageIQ verspricht Admins die effiziente Verwaltung von virtuellen Umgebungen. Als Bestandteil von CloudForms vermarktet Red Hat ManageIQ auch kommerziell. Ein Überblick über die Möglichkeiten, die die Software bietet. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Container

Welche Art von Containern haben Sie im praktischen Einsatz?

  • LXC
  • LXD
  • Docker
  • Rocket
  • (Noch) keine
  • Container sind überbewertet

Google+

Ausgabe /2016

Microsite