Abgesperrter Datenbereich

BestCrypt

Wem das Patchen des eigenen Kernels nicht ganz geheuer ist, kann sich mit einer kommerziellen Lösung "freikaufen". Die Software BestCrypt der finnischen Firma Jetico, Inc. [8] existiert sowohl für Linux als auch für Windows. Dank eigener Kernel-Module funktioniert die Linux-Ausgabe auch ohne Neukompilieren des Kernels ab der Version 2.4.3.

30 Tage lang darf BestCrypt kostenlos ausprobiert werden; wer die Software anschließend weiter nutzen möchte, bezahlt für eine Einzellizenz inklusive einjähriger Update-Möglichkeit 49,95 US-Dollar [9]. Jetico liefert den Quellcode aus – gerade im sensiblen Bereich der Datenverschlüsselung eine vertrauensbildende Maßnahme, lassen sich so doch Hintertürchen im Programmcode und ähnliches durch Gutachten Dritter ausschließen.

Dieser Sourcecode aus dem Paket BestCrypt-1.2-4.tar.gz von http://www.jetico.com/linux/ muss zunächst kompiliert werden. Das funktioniert allerdings nur, wenn die Kernel-Header-Dateien installiert sind, die sich in Paketen namens kernel-headers, linux-kernel-include o. ä. befinden – bei neueren SuSE-Ausgaben muss man sogar das komplette kernel-source-Paket installieren.

Nach dem Auspacken des Archivs mit tar -xvzf BestCrypt-1.2-4.tar.gz gibt man im neu angelegten Verzeichnis bcrypt das Kommando make ein. Für die Installation des Programms bctool, des dazugehörigen Werkzeugsets, der Manpage und der Kernel-Module mit make install benötigt man root-Rechte. Dieser Befehl legt zudem die Block-Devices /dev/bcrypt0 bis /dev/bcrypt15 an.

brw-r—–   1 root     operator   3,   1 Feb 17  2000 hda1

Will man all dies rückgängig machen, deinstalliert ein mitgeliefertes Shell-Skript die Software wieder. Auch für den dann im bcrypt-Verzeichnis auszuführenden Befehl ./uninstall.sh braucht man root-Rechte.

rpm --rebuild BestCrypt-1.2-4.src.rpm

rpm -i BestCrypt-1.2-4.rpm

Verschlüsselte Container

Anschließend bringt root BestCrypt mit dem Befehl

/etc/init.d/bcrypt start

zum Laufen. Zum Beenden tauscht man das Argument start durch stop aus. Da die Installationsroutine bereits Links auf dieses Init-Skript in den Initialisierungsverzeichnissen der in Frage kommenden Runlevel angelegt hat, startet BestCrypt auch beim nächsten Booten automatisch mit. Dies schlägt allerdings fehl, wenn der verwendete Kernel das nachträgliche Laden von Modulen nicht gestattet, was bei selbstgebauten Betriebssystemkernen der Fall sein kann.

Wie bei der SuSE-Variante des verschlüsselten Loopback-Dateisystems speichert BestCrypt sein Filesystem als Datei, den sogenannten Container, der wie ein anderes Gerät gemountet werden kann – im Unterschied zur SuSE-Lösung dürfen auch unprivilegierte User solche Daten-Behältnisse anlegen. Gibt der Admin in Form der BestCrypt-Installation seinen Segen dazu, lassen sich somit Daten zumindest teilweise vor root verstecken.

An Verschlüsselungsalgorithmen stehen Gost, Blowfish, Twofish, Cast, IDEA und DES mit variablen Schlüssellängen zur Verfügung; bis auf das einfache DES-Verfahren mit nur 56 Bit Schlüssellänge gelten sie alle als sicher. Beispielhaft setzen wir im folgenden den Rijndael-Algorithmus [10] ein. Wer einen anderen nutzen möchte, findet das entsprechende Argument für die bctool-Option -a in der Manpage (man bctool) aufgelistet.

bcnew -s 10M -a rijndael -d "Meine Dateien" privat

erstellt im aktuellen Verzeichnis einen zehn MByte großen, mit Rijndael verschlüsselten neuen Container privat, der die Beschreibung Meine Dateien trägt. Die Größe der Datei hinter der Option -s kann in MByte (Suffix M) oder kByte (Suffix k) angegeben werden. Sie will wohl überlegt sein, da sie sich nachträglich nicht mehr ändern lässt. BestCrypt fragt nach dem gewünschten Passwort, das aus mehr als sechs Zeichen bestehen und zur Sicherheit wiederholt werden muss.

Noch fehlt dem Container ein Dateisystem, in dem sich Dateien ablegen lassen. Hier hat man die Wahl unter allen vom Kernel unterstützten Dateisystemen. Soll auf den Container von Windows aus zugegriffen werden, wählt man die Option -t msdos bzw. -t vfat; ansonsten bietet sich ein Linux-Dateisystem an:

bcformat -t ext2 privat

formatiert den Container in der Datei privat mit Ext2FS. Falls kein Dateisystem gewählt wird, benutzt BestCrypt als Standard FAT16.

Um in diesem verschlüsselten Dateisystem Daten abzulegen, muss es in ein Verzeichnis eingehängt werden:

mkdir crypted
bcmount privat crypted

Stimmt das abgefragte Passwort für den Container privat, kann man anschließend im Verzeichnis crypted Daten ablegen. Unlesbar macht man diese, indem man das Dateisystem mit

bcumount crypted

aus dem Mountpoint crypted aushängt. Das geht natürlich nur, wenn niemand mehr auf darin abgelegte Daten zugreift.

Abbildung 3: Der Weg der Daten zwischen virtuellem und echtem Dateisystem