Termine planen, Nachrichten austauschen, Kundendaten verwalten, am besten auch vom Smartphone aus. Das alles und noch viel mehr sollen moderne ... (mehr)

Die Alternative

Wie eingangs erwähnt gibt es zwei Möglichkeiten, eine Festplatte oder Partition zu verschlüsseln. Die zweite Option ist die stapelbare Dateisystemverschlüsselung Pefs. Damit werden nicht nur Dateiinhalte, sondern auch die Dateinamen selber verschlüsselt. Im Gegensatz zu GELI handelt es sich hierbei um ein Dateisystem, das auf eine bereits mit ZFS oder UFS formatierte Partition aufsetzt. Das bedeutet, nur wenn Pefs aktiv ist, lassen sich die Dateien und Dateinamen im Klartext darstellen.

Gegenüber GELI bietet Pefs zwei wichtige Vorteile: Das Verschlüsselungssystem lässt sich in den Mechanismus zur Authentifizierung namens PAM (Password Authentification Modules) einbinden. Damit bietet sich die Möglichkeit, das System bis zum Login-Screen hochzufahren. Sobald Username und Passwort eingegeben wurden, ist die Partition entschlüsselt. Ein Backup der Partition mit »dump« ist immer möglich, auch wenn Pefs nicht aktiv ist oder die Daten nicht entschlüsselt sind. Es werden alle verschlüsselten Dateien und Dateinamen gesichert. Solange die Pefs-eigene Passwortdatenbank nicht beschädigt ist, lässt die Sicherheitskopie wieder dechiffrieren. Ein aus Sicht des Autors großer Nachteil ist die bei Pefs (noch) nicht vorhandene Unterstützung des OpenCrypto-Frameworks. Somit ist es nicht wie bei GELI möglich, auf Crypto-Hardware zuzugreifen. Die weitere Funktionsweise ist recht einfach und anhand von Abbildung 4 schnell erklärt.

Abbildung 4: Die Funktionsweise von Pefs im aktiven und inaktiven Zustand.

Schichtweise

Wie erwähnt handelt es sich bei Pefs um eine stapelbare Dateisystemverschlüsselung. Das bedeutet, es benötigt eine Partition, die bereits mit ZFS, UFS oder auch FAT32 formatiert ist. Man erhält somit einen Stapel: Die Basisebene bildet der Datenträger mit der formatierten Partition, über die sich Pefs wie eine Folie legt. Solange Pefs nicht aktiv ist, erscheinen alle Verzeichnis- und Dateinamen als zufällige Zeichenfolge. Gleiches gilt für den Dateiinhalt. Bei aktivem Pefs mit gültigem Schlüssel werden alle Informationen entschlüsselt und im Klartext korrekt dargestellt.

Die Verschlüsselung von Dateinamen wird bei aktivem Pefs grundsätzlich mit AES-128 im CBC-Modus durchgeführt. Der chiffrierte Dateiname besteht aus drei Teilen. Der erste Teil umfasst eine 64 Bit breite Prüfsumme. Es folgt ein eindeutiger, ebenfalls 64 Bit breiter Abschnitt des Dateinamens und schließlich der Dateiname selbst. Der Dateiinhalt selbst wird mit wesentlich stärkeren Algorithmen verschlüsselt, wobei der Administrator die Möglichkeit hat, selbst zwischen AES und Camellia mit jeweils einer Schlüssellänge von 128, 192 oder 256 Bit auszuwählen.

comments powered by Disqus

Artikel der Woche

Eigene Registry für Docker-Images

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images. (mehr)
Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2021