AA_po18076.jpg

© Ralph Biggör, Fotolia

Verschlüsseln mit EncFS

Weggesperrt

Im Fahrwasser von Truecrypt gerät der bewährte Verschlüssler EncFS zunehmend in Vergessenheit – zu unrecht, denn er bietet einige Vorteile.

Wollen Sie unter Linux Ihre Daten vor fremden Blicken schützen, haben Sie die Wahl zwischen verschiedenen Lösungen. Geht es aber nur um ein paar wichtige Dateien, sollten Sie dabei vermeiden, mit Kanonen auf Spatzen zu schießen. So verlangt beispielsweise Truecrypt nach einer Containerdatei, in der Sie erst umständlich eine virtuelle Festplatte anlegen müssen, die dann zu allem Überfluss auch noch ordentlich Festplattenplatz schluckt. Bei Kommandozeilenprogrammen zu Verschlüsseln schrecken oft umfangreiche Parameter ab, die teilweise nötigen Root-Rechte erledigen schließlich das Übrige.

Eine interessante Alternative stellt hier EncFS dar: Anders als die Konkurrenz verschlüsselt es einfach nur alle Dateien in einem beliebigen Verzeichnis. Es gibt also keinen fetten Container, der sich beim Backup verhält wie eine sperrige Schrankwand beim Umzug. Stattdessen belegt das Verzeichnis nur den Platz, den der verschlüsselte Inhalt auch tatsächlich beansprucht.

Um die Daten wieder zu entschlüsseln, geht EncFS einen etwas unorthodoxen Weg: Sie mounten das verschlüsselte Verzeichnis wie einen echten Datenträger in einen anderen, leeren Ordner. Der bietet dann eine unverschlüsselte Sicht auf das von EncFS geschützte Verzeichnis. Sobald Sie den verschlüsselten Ordner wieder aushängen, sind dessen Inhalte erneut vor fremden Blicken geschützt. Der Mount-Point dient somit gewissermaßen als Safetür. Klingt kompliziert – gestaltet sich aber in der Praxis als äußert einfach und elegant, wie das folgende Beispiel beweist.

Fest gemauert

EncFS liegt schon seit einer gefühlten Ewigkeit jeder guten Distribution bei. Unter Ubuntu spielen Sie beispielsweise einfach das Paket encfs ein:

$ sudo apt-get install encfs

Zu Redaktionsschluss lag in den Repositories allerdings nur die veraltete Version 1.4.2. Möchten Sie das aktuelle EncFS 1.5.2 nutzen, müssen Sie daher zum Quellcode greifen [1]. Dass sich dieser ebenfalls recht fix installiert lässt, zeigt der Kasten "Installation aus den Quellen".

In Ihrem Home-Verzeichnis erstellen Sie nun zwei Ordner. Der erste enthält später alle verschlüsselten Dateien, der zweite dient gleich als Mount-Point.

$ mkdir privat
$ mkdir lesbar

Als nächstes hängen Sie mit EncFS das Verzeichnis privat unter lesbar ein:

$ encfs /home/tim/privat /home/tim/lesbar

Dabei müssen Sie übrigens zwingend den vollen Pfad angeben, das Heimatverzeichnis können Sie allerdings mit der Tilde ("~") abkürzen, wie in Abbildung 1 zu sehen.

Abbildung 1: Ein verschlüsseltes Verzeichnis zu erstellen, erfordert nur einen Befehl und ein Passwort. Wenn die als Parameter übergebenen Ordner noch nicht existieren, legt EncFS sie selbstständig an.

EncFS bereitet im ersten Schritt den Ordner privat auf die Verschlüsselung vor, wozu es ein paar Fragen stellt. Ein bereits vorhandenes Verzeichnis kann EncFS allerdings nicht umwandeln: Enthält privat bereits Dateien, ignoriert die Verschlüsselungssoftware diese kurzerhand.

Installation aus den Quellen

EncFS aus seinem Quellpaket zu erstellen, setzt neben dem C++-Compiler und dessen Werkzeugen noch die Bibliotheken und Entwicklerpakete von Fuse, Rlog, OpenSSL und Boost voraus. Das Übersetzen erledigen Sie mit dem üblichen Dreisatz:

$ ./configure && make && sudo make install

Treten Problemen auf, sollten Sie insbesondere auf älteren Distributionen zunächst sicherstellen, dass das Fuse-Kernelmodul geladen ist:

$ sudo modprobe fuse

Darüber hinaus muss jeder Benutzer, der EncFS nutzen können soll, Mitglied in der Gruppe fuse sein:

$ sudo adduser tim fuse

Zu guter Letzt benötigen die fraglichen Benutzer noch Zugriffsrechte auf fusermount:

sudo chmod +x /usr/bin/fusermount

Nun ist EncFS bereit zum Einsatz und wartet nur noch auf den Aufruf mit der Angabe der beiden Arbeitsverzeichnisse.

Fragestunde

Gleich die erste Frage beantworten Sie mit der Eingabetaste. Die so gewählten Standardeinstellungen zwingen EncFS zu einer zeitgemäßen AES-Verschlüsselung mit einer Schlüssellänge von 192 Bit (Abbildung 1). Der alternativ über p aktivierte Paranoia-Modus für Sicherheitsfanatiker nutzt eine Schlüssellänge von 256 Bits. Benötigen Sie detaillierten Einfluss auf den Verschlüsselungsalgorithmus, dann starten Sie mit x den Experten-Modus (siehe Kasten "Der Expertenmodus").

Als nächstes vergeben Sie das Passwort. Da es den einzigen Schlüssel zum Datentresor bildet, sollten Sie es nicht nur möglichst sicher wählen, sondern auch die angezeigte Warnmeldung ernst nehmen: Wer das Passwort vergisst, dem bleibt nur unbrauchbarer Datenmüll.

Abschließend mountet EncFS den jetzt verschlüsselten Ordner privat unter lesbar. Dabei greift es auf die Dienste von Fuse zurück, das Dateisystemtreiber aus dem Kernel in den Userspace verlagert [2]. Damit dürfen auch normale Anwender die verschlüsselten Verzeichnisse selbst mounten.

Der Expertenmodus

Im Expertenmodus fragt EncFS als erstes den zu verwendenden Verschlüsselungsalgorithmus ab. Unter Ubuntu 9.04 stehen beispielsweise AES und Blowfish zur Wahl. Wie das Angebot genau aussieht, hängt vom verwendeten OpenSSL-Paket ab. Anschließend tippen Sie man die Schlüssellänge ein. Hier gilt als Faustregel: Je länger desto sicherer.

Der gewählte Algorithmus teilt eine Datei in Blöcke auf, die er dann anschließend jeweils einzeln verschlüsselt. Die Größe eines solchen Blocks möchte EncFS als nächstes wissen. Falls Sie sich hier unsicher sind, übernehmen Sie einfach mit der Eingabetaste die Vorgabe.

Um wirklich keine Rückschlüsse auf den Inhalt der verschlüsselten Dateien zu hinterlassen, kodiert EncFS auf Wunsch auch deren Namen. Zur Auswahl stehen dabei eine Block- und eine Stromverschlüsselung. Das erste Verfahren versteckt die Dateinamenlänge etwas, das zweite (mit der Ziffer 3 in der Auswahl) führt zu relativ kurzen Dateinamen. Standardmäßig verwendet EncFS die Blockverschlüsselung. In jedem Fall sollten Sie Abstand von Punkt 2 Null nehmen: Damit schalten Sie die Verschlüsselung der Dateinamen ab und geben somit Angreifern wertvolle Hinweise auf den Inhalt der Datei.

Sobald Sie sich für ein Verfahren entschieden haben, möchte EncFS wissen, ob bei der Erstellung der kryptischen Dateinamen nur der Dateiname selbst oder aber der gesamte Pfad in die Berechnung einfließen soll. Letzteres garantiert, dass zwei gleichnamige Dateien aus verschiedenen Unterverzeichnissen voneinander abweichende kryptische Dateinamen erhalten. Da diese Variante sicherer ist, sollten Sie hier das Yes immer mit der Eingabetaste bestätigen.

EncFS nutzt einen so genannten Initialisierungsvektor, eine in die Verschlüsselung einbezogene Zufallszahl, die das Entziffern der Daten weiter erschweren soll. Auf Wunsch überlegt sich EncFS für jede zu verschlüsselnde Datei einen neuen Initialisierungsvektor, was auf der einen Seite die Sicherheit erhöht, auf der anderen aber auch etwas mehr Plattenplatz kostet – 8 Bytes für jede Datei. Da angesichts heutiger TByte-Festplatten dieser Verlust in aller Regel zu verschmerzen ist, sollten Sie hier mit der Eingabetaste das Yes bestätigen.

Um Fehler und Veränderungen in den verschlüsselten Dateien aufspüren zu können, erstellt EncFS eine Prüfsumme für jeden Datenblock (der "Block Authentication Code Header"). Dieser kostet pro Block 12 zusätzliche Bytes und etwas mehr Rechenzeit im laufenden Betrieb. Verzichtet man aber auf diese Alarmanlage, kann es passieren, dass man beispielsweise unbemerkt mehrere defekte Seiten in einem Textdokument mit sich herumschleppt. Standardmäßig verzichtet EncFS auf diesen Service. Um ihn einzuschalten, tippen Sie bei der folgenden Frage ein y ein.

Als nächstes schlägt EncFS vor, an die Prüfsumme noch eine 8 Byte lange Zufallszahl anzuhängen. Sie soll verhindern, dass Datenblöcke gleichen Inhalts dieselbe Prüfsumme erhalten. Abschließend bietet EncFS noch an, im Falle so genannter File Holes auf eine Verschlüsselung der Datenblöcke zu verzichten.

LinuxCommunity kaufen

Einzelne Ausgabe
 
Abonnements
 
TABLET & SMARTPHONE APPS
Bald erhältlich
Get it on Google Play

Deutschland

Ähnliche Artikel

  • Dateien und Verzeichnisse mit EncFS verschlüsseln
    Das Verschlüsseln von Daten setzt unter Linux oft erheblichen Konfigurationsaufwand voraus. Einfacher geht es mit EncFS.
  • Versteckspiel
    Für Heimanwender, die kleinere Datenbestände schnell und unkompliziert schützen möchten, bietet sich der Einsatz von EncFS in Kombination mit den Frontends Cryptkeeper oder Gnome Encfs Manager an.
  • Dateiverschlüsselung mit EncFS und Cryptkeeper
    Wer seine Datenbestände auf simple Weise effizient vor Neugierigen schützen will, findet im Duo EncFS und Cryptkeeper die idealen Programme dafür.
  • Passende Oberfläche
    Viele Werkzeuge zum Verschlüsseln verzichten auf eine grafische Oberfläche. SiriKali liefert diese nach.
  • In Sicherheit
    Wer seine Daten vor Fremden schützen will, verschlüsselt sie. Doch die meisten Linux-Werkzeuge dazu sind zwar ziemlich sicher, aber nicht benutzerfreundlich. Zeit, K-EncFS einzusetzen.
Kommentare

Infos zur Publikation

LU 12/2017: Perfekte Videos

Digitale Ausgabe: Preis € 5,95
(inkl. 19% MwSt.)

LinuxUser erscheint monatlich und kostet 5,95 Euro (mit DVD 8,50 Euro). Weitere Infos zum Heft finden Sie auf der Homepage.

Das Jahresabo kostet ab 86,70 Euro. Details dazu finden Sie im Computec-Shop. Im Probeabo erhalten Sie zudem drei Ausgaben zum reduzierten Preis.

Bei Google Play finden Sie digitale Ausgaben für Tablet & Smartphone.

HINWEIS ZU PAYPAL: Die Zahlung ist ohne eigenes Paypal-Konto ganz einfach per Kreditkarte oder Lastschrift möglich!

Stellenmarkt

Aktuelle Fragen

Huawei
Pit Hampelmann, 13.12.2017 11:35, 2 Antworten
Welches Smartphone ist für euch momentan das beste? Sehe ja die Huawei gerade ganz weit vorne. Bi...
Fernstudium Informatik
Joe Cole, 12.12.2017 10:36, 2 Antworten
Hallo! habe früher als ich 13 Jahre angefangen mit HTML und später Java zu programmieren. Weit...
Installation Linux mint auf stick
Reiner Schulz, 10.12.2017 17:34, 3 Antworten
Hallo, ich hab ein ISO-image mit Linux Mint auf einem Stick untergebracht Jetzt kann ich auch...
Canon Maxify 2750 oder ähnlicher Drucker
Hannes Richert, 05.12.2017 20:14, 4 Antworten
Hallo, leider hat Canon mich weiterverwiesen, weil sie Linux nicht supporten.. deshalb hier die...
Ubuntu Server
Steffen Seidler, 05.12.2017 12:10, 1 Antworten
Hallo! Hat jemand eine gute Anleitung für mich, wie ich Ubuntu Server einrichte? Habe bisher...