Abgesperrter Datenbereich
Verschlüsselte virtuelle Dateisysteme mit dem SuSE-Kryptofilesystem und BestCrypt
Optionsschwemme
Auf BestCrypt-Container lässt es sich nicht nur bequemer zugreifen als auf verschlüsselte Loop-Devices. Sie bieten auch wesentlich mehr Möglichkeiten. So zeigt bcinfo privat die beim Erstellen des Containers privat eingegebene Beschreibung an. bcpasswd privat ändert das Passwort des Containers und bctool add_passwd privat fügt ein weiteres gültiges Passwort hinzu, welches sich mit bctool del_passwd privat wieder löschen lässt. bcreencrypt privat -a blowfish schließlich ändert nachträglich sogar das Verschlüsselungsverfahren. Im Beispiel kommt von nun an der Blowfish-Algorithmus zum Einsatz. Wie bei gewöhnlichen Ext2-Dateisystemen überprüft fsck die Integrität des Filesystems im Container, allerdings ruft man dieses Tool nur mittelbar mit bcfsck privat auf.
Ob BestCrypt oder das verschlüsselte Loop-Dateisystem – beide schützen die Daten nur so lange vor den Blicken Fremder, solange sie nicht in den Dateibaum eingehängt werden. Ist das Dateisystem einmal gemountet, muss der User selbst darauf achten, dass die Rechte der darin abgelegten Dateien anderen Usern den Zugriff verbieten, und auch das hilft nichts gegen schnüffelnde Administratoren mit root-Rechten. Die Sicherheit verschlüsselter Dateisysteme relativiert sich auch dadurch, dass es Datenspuren auf der Swap-Partition oder im /tmp-Verzeichnis findigen Angreifern erlauben, die Verschlüsselung einfach zu umgehen.
Glossar
Loop-Device
Ein virtuelles Gerät, das es bei entsprechender Verknüpfung mit einer Datei erlaubt, in dieser ein eigenes Dateisystem anzulegen und wie ein Filesystem auf einem physikalischen Datenträger zu behandeln. Mit seiner Hilfe kann man zum Beispiel eine CD-Image-Datei wie eine Diskette oder Festplattenpartition mounten und ihren Inhalt einsehen.
Kernel-Header
Header-Dateien im Allgemeinen machen anderen Programmen oder Programmteilen Funktionen, Datentypen, Variablen usw. bekannt. So enthalten die Header-Dateien des Kernels die Beschreibung all jener Kernel-Funktionen, auf die andere Programme, darunter vor allem Kernel-Module, zugreifen dürfen.
Block-Devices
Bei blockorientierten Geräten tauschen das Gerät und das Betriebssystem die Daten in Blöcken statt in einzelnen Zeichen (wie bei den zeichenorientierten Geräten oder "Character-Devices") aus. Block-Devices (dazu zählen z. B. Festplatten(partitionen)) erkennt man daran, dass der Befehl ls -l die sie repräsentierenden Dateien im /dev-Verzeichnis mit einem "b" am Anfang der Zeile versieht:
Infos
[1] GnuPG: http://www.gnupg.org/
[2] Patricia Jung: "Signier-Party", LinuxUser 06/2003, S. 71 ff.
[3] Jörg Mudrack, Patricia Jung: "Schloss für die Post", LinuxUser 05/2002, S. 28 f.
[4] PGP: http://www.pgpi.org/
[5] http://www.counterpane.com/twofish.html
[6] http://www.kerneli.org/howto/
[7] http://sourceforge.net/projects/wipe/
Einem Freund empfehlen
