AA_versteck.jpg

© Paul Lampard, 123RF

Gut versteckt

Verzeichnisse verschlüsseln

Ubuntu 10.04 und seine Derivate machen das Verschlüsseln des Home-Verzeichnisses zum Kinderspiel. Um einzelne Ordner zu chiffrieren, müssen Sie hingegen noch auf die Kommandozeile.

Mit Lucid Lynx, so der Codename von Ubuntu 10.04, bleibt das Thema Verschlüsselung nicht länger den Kommandozeilen-Gurus überlassen. Ubuntu und seine Derivate bieten dafür grafische Werkzeuge an – auch wenn Sie für spezielle Aufgaben und Wünsche mitunter ein Terminal brauchen.

Viele Menschen glauben noch immer, dass sie keine Verschlüsselung benötigen, weil sie nichts zu verstecken haben. Meist fallen ihnen auf Nachfragen doch einige Anwendungsfälle für geschützte Verzeichnisse ein. Vielleicht geht es Ihnen genauso? Möglicherweise benutzen und speichern Sie auf dem Rechner Kreditkarten- und Home-Banking-Informationen. Vielleicht reden Sie auch – wie viele Menschen – in privaten E-Mails über persönliche Angelegenheiten oder schicken gelegentlich sensible Geschäftsdaten hin und her. In diesem Fall gibt es reale Risiken: Sie können Ihren Laptop verlieren oder jemand stiehlt ihn aus der Wohnung, vom Arbeitsplatz oder aus dem Hotelzimmer.

Vielleicht macht es Ihnen auch Sorgen, dass staatliche Organe zunehmend Interesse an den Festplatten der Bürger zeigen – Stichwort "Bundestrojaner". Computeraffine Zeitgenossen argumentieren sogar, dass Verschlüsselung und das Recht, sie zu benutzen, grundlegend für die Meinungsfreiheit im Onlinezeitalter sind. Ohne Verschlüsselung, so das Argument, besitzen Sie keine Privatsphäre im Netz und werden dadurch zur Selbstzensur genötigt.

Obwohl zahlreiche Argumente für die Verschlüsselung sprechen, wird sie in der Praxis noch immer stiefmütterlich behandelt. Erst seit den letzten Ubuntu-Versionen funktioniert das Verschlüsseln so einfach, dass Sie nicht mehr die komplette Theorie kennen müssen, sondern zur Anwendung ein paar Grundkenntnisse genügen. Um das komplette Home-Verzeichnis zu chiffrieren, kreuzen Sie lediglich eine Option im Installationsassistenten an. Das Verschlüsseln einzelner Verzeichnisse erfordert hingegen noch immer den Einsatz der Konsole. Die Schritte meistern Sie jedoch, wenn Sie sich an die Instruktionen halten.

Grundlagen der Verzeichnisverschlüsselung

Zum Verschlüsseln der Ordner und des Home-Verzeichnisses verwendet Ubuntu 10.04 EcryptFS [1] (nicht EncryptFS!!). Es handelt sich dabei ein Kernel-basiertes überlagerndes, verschlüsseltes Dateisystem, das einfach über ein bestehendes Dateisystem (etwa Ext4) gemountet wird. Das "Enterprise Cryptographic File System" schreibt die Verschlüsselungsinformationen dabei in die Header der zu verschlüsselnden Dateien.

EcryptFS ist einfach, aber nicht bombensicher. Bekommt ein Angreifer das Administratorpasswort in die Finger, kann er die verschlüsselten Verzeichnisse der anderen Anwender auslesen, indem er zum Beispiel deren Passwort ändert und sich mit den neuen Daten anmeldet. Das überrascht nicht: Ein einfacher Anwender kann sich nur schlecht bis gar nicht vor Spionageversuchen durch Nutzer mit Admin-Rechten schützen. Hierfür bietet EcryptFS die Möglichkeit, die Passphrase auf ein externes Medium auszulagern (USB-Stick, SSD-Karte), dann hilft auch das Root-Passwort nicht weiter [2]. Auf Systemen ohne grafische Oberfläche und bei Nutzern ohne administrativen Zugang wird es ebenfalls schwieriger, die Datentresore zu knacken. Auch bei gewöhnlichen Diebstählen schützt die Verschlüsselung in den meisten Fällen Ihre Daten.

EcryptFS erfordert zwei Arten der Authentisierung. Normalerweise brauchen Sie nur das übliche Benutzerpasswort für Ihren User. EcryptFS generiert dann zusätzlich eine Passphrase (wie ein Passwort, nur länger), um das verschlüsselte Laufwerk einzubinden. Die Passphrase bindet es an das gewöhnliche Benutzerpasswort. Sobald Sie sich also auf dem Desktop anmelden, entschlüsseln Ubuntu und seine Derivate das Home-Verzeichnis oder den verschlüsselten Ordner Private. Sie brauchen sich also die Passphrase gewöhnlich nicht zu merken.

Einmal angemeldet, arbeiten Sie wie gewohnt im entschlüsselten Home. Anderen Anwender, die sich auf demselben System anmelden, verweigert Ubuntu den Zugriff auf das Verzeichnis. Ein Wermutstropfen: Das Mehr an Sicherheit und Privatsphäre bezahlen Sie mit leichten Performance-Einbußen. Die fallen aber (meist) nicht so ins Gewicht wie bei anderen Verschlüsselungsarten, weil der Kernel die Hauptarbeit übernimmt und das normale Dateisystem nicht antastet.

Home-Verzeichnis verschlüsseln

Am einfachsten verschlüsseln Sie in Lucid das Home-Verzeichnis – allerdings nicht, wenn Sie dieses nur über das Netzwerk per Samba oder NFS erreichen. Um eigene Partitionen, Festplatten und USB-Sticks zu chiffrieren, greifen Sie besser zu LUKS und Dm-crypt [3].

Um das Home zu verschlüsseln, verwenden Sie das Wer sind Sie?-Fenster im Installer, das bei Kubuntu, Ubuntu und Co. im fünften Schritt der Installation erscheint (Abbildung 1). Aktivieren Sie im unteren Bereich die Option Passwort zum Anmelden und Entschlüsseln meines persönlichen Ordners abfragen, generiert der Installer automatisch das Passwort und Sie müssen nichts weiter tun. Im selben Fenster legen Sie zudem einen Log-in-Namen und ein Benutzerpasswort fest. Dann bringen Sie die Installation wie gewohnt zu Ende, booten neu und landen beim Log-in-Manager, bei dem Sie sich wie gewohnt anmelden.

Sie können nun Dateien anlegen, speichern und die Dinge erledigen, die Sie üblicherweise tun. Melden Sie sich ab, verschlüsseln alle Ubuntu-Varianten das Home-Verzeichnis wieder. Andere Benutzer können weder lesend noch schreibend auf dieses zugreifen (Abbildung 2).

Nach dem ersten Anmelden auf dem Desktop bieten Ubuntu und Xubuntu 10.04 an, die Passphrase zu zeigen (Abbildung 3). Die Möglichkeit bietet Xubuntu erst an, wenn Sie auf den Knopf mit dem i oben links im Panel klicken. Wählen Sie Diese Aktion jetzt ausführen, öffnet sich ein Terminalfenster. Hier geben Sie das normale Benutzerpasswort an und notieren sich die 32 Zeichen lange Passphrase, die aus Buchstaben und Zahlen besteht. Sie brauchen diese nur im Notfall, falls Ihr Benutzeraccount plötzlich nicht mehr funktioniert. Lagern Sie das Passwort an einem sicheren Ort – ein unter die Tastatur geklebter Zettel zählt zum Beispiel nicht dazu.

Unter Kubuntu 10.04 finden Sie die Passphrase heraus, indem Sie eine Konsole öffnen und den folgenden Befehl eingeben (Abbildung 4):

ecryptfs-unwrap-passphrase $HOME/.ecryptfs/wrapped-passphrase

Wenn Sie das Passwort unter Ubuntu und Kubuntu 10.04 über System | | Einstellungen | | Persönliche Angaben respektive Systemeinstellungen | | Persönliche Informationen | | Passwort ändern bearbeiten, wird die zugehörige Passphrase automatisch geändert. Unter Xubuntu führt der Weg über Anwendungen | | System | | Benutzer und Gruppen. Modifizieren Sie Ihr Benutzerpasswort hingegen über die Konsole (mit dem Befehl passwd), müssen Sie die Passphrase manuell bearbeiten:

ecryptfs-wrap-passphrase $HOME/.ecryptfs/wrapped-passphrase

Zunächst geben Sie die alte Passphrase (in diesem Fall Ihr bisheriges Benutzerpasswort, das ja die Passphrase enthält) und danach Ihr neues Benutzerpasswort ein, in das Sie die Passphrase verpacken. Auf der Kommandozeile kann Root daher nicht auf die verschlüsselten Daten zugreifen.

Unter Ubuntu 10.04 legen Sie über System | | Systemverwaltung | | Benutzer und Gruppen auch neue Nutzer mit verschlüsselten Home-Verzeichnissen an. Unter Xubuntu erreichen Sie den Eintrag über Anwendungen | | System | | Benutzer und Gruppen. Sie setzen dann einfach ein Häkchen bei Persönlichen Ordner verschlüsseln... (Abbildung 5) und schließen den Vorgang ab. Unter Kubuntu benötigen Sie hingegen wieder die Kommandozeile:

sudo adduser --encrypt-home BENUTZERNAME

BENUTZERNAME ersetzen Sie durch den Benutzernamen des verschlüsselungswilligen Users. Es folgen wieder die üblichen Routinen beim Anlegen eines Anwenders. Sie müssen das normale Benutzerpasswort doppelt eingeben und ergänzen persönliche Daten. Genau wie beim User, den Sie während der Installation anlegen, entschlüsselt EcryptFS das Home-Verzeichnis automatisch über das User-Passwort.

Einem Freund empfehlen