Aufmacher Artikel

Dateien mit K-EncFS schützen

In Sicherheit

Wer seine Daten vor Fremden schützen will, verschlüsselt sie. Doch die meisten Linux-Werkzeuge dazu sind zwar ziemlich sicher, aber nicht benutzerfreundlich. Zeit, K-EncFS einzusetzen.

Das KDE-Programm K-EncFS ist ein grafisches Frontend zum Kommandozeilentool encfs[1], welches wiederum das FUSE-Dateisystem [2] benutzt, um ein verschlüsseltes Verzeichnis anzulegen. Diese Programme müssen deshalb auf Ihrem System vorhanden und eingerichtet sein. Beachten Sie dazu die Hinweise zur Installation auf der Heft-DVD.

Unter OpenSuse und Mandriva Linux 2008 können Sie auch mit eigenen Tools verschlüsselte Datencontainer anlegen (siehe Kasten "Mit Bordmitteln"). Diese Lösungen erstellen einen verschlüsselten Container und hängen diesen über ein so genanntes Loop-Device im Dateisystembaum ein. Das bringt den Nachteil mit sich, dass Sie die Dateigröße beim Anlegen des Containers fest einstellen müssen. K-EncFS passt die Größe des verschlüsselten Verzeichnisses hingegen dynamisch an, solange es auf der Partition noch freien Speicherplatz gibt.

Bei den erwähnten Lösungen handelt es sich um so genannte Online-Verschlüsselungstools. Das bedeutet, dass Ihre Daten in einem virtuellen Dateisystem abgelegt werden und nur dann sicher sind, wenn Sie nicht damit arbeiten (das Verzeichnis/der Container nicht gemountet ist). Sobald Sie selbst die Daten nutzen, kann auch ein Dritter darauf zugreifen.

Mit Bordmitteln

Unter OpenSuse und Mandriva Linux können Sie relativ einfach verschlüsselte Partitionen oder Dateien anlegen. Unter OpenSuse wählen Sie dazu in YaST das Modul System / Partitionieren und beantworten die einleitende Sicherheitsabfrage mit Ja. Steht auf Ihrer Festplatte noch freier Speicherplatz zur Verfügung, verschlüsseln Sie am besten gleich eine ganze Partition. Dazu klicken Sie auf Anlegen und markieren dann im neuen Dialog die Option Dateisystem verschlüsseln. Befindet sich auf Ihrer Festplatte keine freie Partition mehr, wählen Sie Kryptodatei / Verschlüsselte Datei erzeugen und geben dann im neuen Dialog den Pfadnamen der verschlüsselten Datei an. Um eine neue Datei anzulegen, markieren Sie die Option Loop-Datei anlegen. Achten Sie darauf, keine bestehende Datei auszuwählen, da YaST diese sonst überschreibt. Tragen Sie nun ins Feld Größe der Loop-Datei die gewünschte Größe ein und geben Sie unter Mountpoint das Verzeichnis an, in dem YaST die Datei einhängen soll. Ein Klick auf OK schließt das Setup ab.

Mandriva liefert ein eigenständiges Programm: Drakloop. Es gehört zum mountloop-Paket, das Sie über die Softwareverwaltung im Mandriva-Kontrollzentrum (Werkzeuge / Systemwerkzeuge / Den Computer konfigurieren) nachträglich einrichten müssen.

Nach dem Start des Programms über [Alt]+[F2] und den Befehl drakloop klicken Sie auf das große Plus-Symbol in der Werkzeugleiste und geben einen neuen Verzeichnisnamen an. Dann legen Sie die Größe der Containerdatei und den Algorithmus fest (mit aes256 sind Sie auf der sehr sicheren Seite). Schließlich tippen Sie zweimal dasselbe Passwort ein (Abbildung 3).

Abbildung 3: Mandriva bringt mit Drakloop bereits ein Werkzeug für verschlüsselte Datencontainer mit.

Mandriva legt im ausgewählten Verzeichnis eine Datei encfile an und hängt diese über das Verzeichnis ein. Ist also das Verzeichnis gemountet, sehen Sie Ihre Dateien, ist es nicht eingehängt, die Datei encfile. Von Hand hängen Sie diese Datei nach dem Laden der Kernel-Module aes und cryptoloop mit folgendem Befehl im Verzeichnis /mnt ein:

mount -o loop,encryption=aes256 encfile /mnt/

Details zur Verschlüsselung mit OpenSuse und Mandriva Linux finden Sie auch in einem Artikel aus EasyLinux 04/2007 [3].

Schnellstart

Sie starten K-EncFS über [Alt]+[F2] und den Befehl kencfs2. Unter Ubuntu haben Sie in der Grundeinstellung keinen Zugriff auf das von K-EncFS benötigte Tool fusermount. Erscheint beim Start eine entsprechende Fehlermeldung, rufen Sie das Programm entweder mit sudo kencfs2 auf oder Sie fügen den eigenen Benutzer der Gruppe fuse hinzu. Dazu tragen Sie mit Administratorrechten Ihren Benutzernamen in der Datei /etc/groups hinter dem Eintrag fuse:x:106: ein, zum Beispiel

fuse:x:106:marcel

Beim nächsten Login startet K-EncFS dann auch ohne den vorangestellten sudo-Befehl.

Das KDE-Programm nistet sich im Systemabschnitt der Kontrollleiste ein, Sie erkennen es am Vorhängeschloss-Symbol. Ein Klick auf das K-EncFS-Symbol öffnet das Hauptfenster des Programms (Abbildung 1). Hier müssen Sie zunächst ein verschlüsseltes Verzeichnis anlegen. Dazu geben Sie im Feld Enter password ein Passwort ein und klicken dann auf Create. Ein sicheres Passwort sollte Groß- und Kleinbuchstaben sowie Zahlen enthalten und mindestens acht Stellen lang sein. Um Vertipper bei der Passworteingabe auszuschließen, markieren Sie am besten beim Anlegen die Option show: Sie sehen dann das Passwort anstelle der Sternchen. Hat alles geklappt, zeigt K-EncFS im Messages-Abschnitt die Meldung encrypted filesystem has been created and mounted an.

Abbildung 1: Der Hauptdialog von K-EncFS zeigt lediglich einige Buttons und Eingabefelder an.

Ein Klick auf Show startet Konqueror, und Sie können nach Belieben Dateien und Verzeichnisse in den neuen Ordner verschieben oder darin neue Elemente anlegen. K-EncFS nutzt stets das Verzeichnis .kencfs2/encrypted als Einhängepunkt. Mehrere verschlüsselte Verzeichnisse anzulegen, erlaubt das KDE-Programm nicht.

Nach dem Mounten sind sämtliche Dateien des Verzeichnisses .kencfs2/encrypted im Klartext lesbar. Möchten Sie Ihre Daten in Sicherheit wissen, klicken Sie auf Unmount. Das Tool hängt dann den Datentresor aus, und zurück bleibt ein leeres Verzeichnis. Um eine Containerdatei samt Inhalt zu löschen, klicken Sie auf Delete und bestätigen die Nachfrage nochmals mit Delete.

Optionen

Das Frontend zu encfs kommt relativ spartanisch daher. Einzig hinter Encoding (gemeint ist vermutlich Encryption) finden Sie einen weiteren Dialog. Hier legen Sie beim Erstellen des verschlüsselten Containers die einzelnen Parameter fest (Abbildung 2). Einen bereits angelegten Container können Sie nicht mehr ändern. Über Cipher algorithm bestimmen Sie, mit welchem Algorithmus K-EncFS die Daten sichert. Hier sollten Sie AES oder Blowfish wählen, Blowfish-compat ist veraltet. Key size in bits legt die Schlüssellänge fest. In der Grundeinstellung nutzt K-EncFS hier "nur" 128 Bit. Mit 192 Bit sind Sie auf der sicheren Seite. Wer zu Paranoia neigt, ändert den Wert auf 256. Die Block size in bytes wirkt sich auf die Performance von EncFS aus. Sie bestimmt, in wie großen Blöcken das Tool die verschlüsselten Daten schreibt. Ändern Sie zum Beispiel in einer Textdatei einen Buchstaben, entspricht das einem Byte. Bei einer Blockgröße von 512 Byte schreibt das K-EncFS zugrundeliegende Fuse-Dateisystem aber immer mindestens 512 Byte (einen Block). Arbeiten Sie im verschlüsselten Verzeichnis in erster Linie mit kleinen Textdateien, lassen Sie am besten die Einstellung bei 512 Byte. (Kleinere Werte erhöhen die Geschwindigkeit nicht wirklich.) Bei Dateigrößen im Megabyte-Bereich lohnt es sich, 4096 Byte auszuwählen.

Abbildung 2: Im Encoding-Dialog von K-EncFS richten Sie die Parameter zur Verschlüsselung ein.

Die Einstellung für Filename encoding sollten Sie bei Block encoding belassen. Sie verhindert Rückschlüsse auf den Dateinamen über dessen Länge. Möchten Sie die Dateinamen überhaupt nicht verschlüsseln (hilfreich, um Dateien zu löschen, ohne das Verzeichnis einhängen zu müssen), wählen Sie hier No encryption. Die restlichen vier Optionen erschweren es Angreifern, aus identischen Dateischnipseln Daten zu rekonstruieren bzw. verschlüsselte Dateien zu modifizieren. Je nach Sicherheitsbedürfnis sollten Sie mindestens von den ersten zwei Gebrauch machen. Details zur Bedeutung der einzelnen Optionen verrät Ihnen der Befehl man encfs auf der Kommandozeile.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

Kommentare

Infos zur Publikation

EL 11/2017-01/2018: Einstieg in Linux

Digitale Ausgabe: Preis € 9,80
(inkl. 19% MwSt.)

EasyLinux erscheint vierteljährlich und kostet 9,80 Euro. Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 33,30 Euro. Details dazu finden Sie im Computec-Shop.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!      

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...