Viele Werkzeuge zum Verschlüsseln verzichten auf eine grafische Oberfläche. SiriKali liefert diese nach.

Nicht immer braucht es umfangreiche Tools wie Truecrypt oder Veracrypt, um Daten zu verschlüsseln. Oft ist es aus verschiedenen Gründen sinnvoller, einzelne Dateien zu verarbeiten. Möchten Sie etwa Dateien nicht unverschlüsselt in eine Cloud hochladen, stehen verschiedene Anwendungen für Linux bereit.

SiriKali [1], das vom gleichen Entwickler wie Zulucrypt stammt und bis vor wenigen Wochen noch CryFS-GUI hieß, vereint vier entsprechende Tools unter einer leicht zu bedienenden Oberfläche. Dabei handelt es sich um CryFS [2], EncFS [3], GocryptFS [4] und SecureFS [5]. Als Alternative bietet sich das Tool Cryptomator an, zu dem Sie in diesem Schwerpunkt ebenfalls einen Artikel finden.

Der Ansatz des dateibasierten Verschlüsselns bietet den Vorteil, dass die Container mit dem Inhalt wachsen und nicht, wie bei Truecrypt oder Veracrypt, von Anfang an eine feste Größe aufweisen, unabhängig davon, wie viel Inhalt sich darin befindet.

Schnell installiert

Die Installation von SiriKali fällt in der Regel leicht: Anwender von Debian, Ubuntu, Fedora oder OpenSuse nehmen das entsprechende Repository in die Liste der Quellen auf [6], installieren das Paket und erhalten so künftig auch Updates.

Eine andere Möglichkeit ist, die Pakete aus dem Repository über den Link am Ende der Seite von Hand herunterzuladen und zu installieren. Diese Methode kam im Test mit Debian “Unstable” zum Einsatz, da der vorgeschlagene Weg ohne Modifikation nur für Debian 8 gilt.

Anschließend gilt es, die Programme zu installieren, die Sie mit der Oberfläche verwenden möchten. CryFS richten Sie unter Debian und Ubuntu mit der Zeile aus Listing 1 als normaler User ein oder direkt als DEB-Paket [7]. Anwender anderer Distributionen bauen das Paket nach Anleitung unter dem Menüpunkt Other aus dem Quellcode.

$ wget -O - https://www.cryfs.org/install.sh | sudo bash

Am einfachsten lässt sich theoretisch EncFS installieren: Bereits seit 2003 arbeiten die Entwickler an dem Projekt, alle gängigen Distributionen führen es in den Repos. Allerdings lässt es sich nur bedingt einsetzen, da 2014 bei einem Security-Audit [8] Lücken auftauchten, die die Entwickler noch beheben müssen.

In der Zwischenzeit verspricht GocryptFS, die Lücken in EncFS durch Einsatz von Standardverfahren beim Verschlüsseln zu umgehen. Das Projekt hofft, die Nachfolge von EncFS anzutreten, und bietet Binärpakete für Debian und Fedora an [9].

Zum Installieren entpacken Sie das entsprechende Archiv und verschieben die darin enthaltene ausführbare Datei einfach in ein Verzeichnis, auf das Sie Schreibrechte haben, wie etwa ~/bin im Home-Verzeichnis.

Als letzter im Bunde verbleibt SecureFS. Sie bauen die Software bei Bedarf aus dem Quelltext, was schnell erledigt ist. Nach dem Download von Github [10] und dem Entpacken des Archivs überprüfen Sie die Abhängigkeiten. Zum Bauen benötigen Sie die Pakete cmake, fuse und libfuse-dev.

Danach setzen Sie als User aus dem entpackten Verzeichnis den Befehl cmake . ab. Achten Sie auf den Punkt: Ohne ihn tut sich nichts. Darauf folgt sudo make install, und SecureFS liegt einsatzbereit auf der Platte.

Englisch, aber übersichtlich

Nach den beschriebenen Vorarbeiten starten Sie SiriKali als User. Es empfängt Sie mit einem übersichtlichen Fenster mit nur wenigen Bedienelementen. Eine deutsche Lokalisierung steht noch aus, die Funktion der in Englisch beschrifteten Schaltflächen erschließt sich aber problemlos (Abbildung 1).

Abbildung 1: Die SiriKali-Oberfläche braucht nur wenige Elemente, deren Funktion sich relativ leicht erschließt.

Zunächst machen Sie sich mit den Optionen unter Menu vertraut. Die Auswahl der unterstützten Werkzeuge zum Verschlüsseln verbirgt sich hinter Create Volume. Alle anderen Bedienelemente lassen sich erst dann sinnvoll anwenden, wenn Sie einen Container angelegt haben.

Beispiel CryFS

Im Test fiel die Wahl dazu auf CryFS, im Fokus stand dabei die Kompatibilität mit dem Dienst Owncloud. Nach Aussagen der Entwickler funktioniert das Zusammenspiel aber mit jedem Dienst, der Daten über einen lokalen Client synchronisiert.

CryFS entstand 2015 aus einer Diplomarbeit des Entwicklers Sebastian Messmer am Karlsruher Institut für Technologie. Es setzt, wie die anderen Kandidaten, auf das Kernel-Modul FUSE (Filesystem in Userspace), um die nötigen Dateisystemtreiber aus dem Kernel-Mode in den User-Mode zu verlagern. Das ermöglicht es Endanwendern, Dateisysteme zu verwalten und zu administrieren.

Wenn Sie unter Create Volume den entsprechenden Punkt auswählen, erscheint eine Maske, die allerdings bei allen Backends gleich aussieht; das Programm wählt jeweils lediglich eine andere Software zum Verschlüsseln. Hier geben Sie einen Namen für den zu verschlüsselnden Ordner oder die Datei ein und wählen das entsprechende Objekt im Dateibaum aus (Abbildung 2).

Abbildung 2: Das Anlegen eines CryFS-Volume erfordert nur wenige Angaben, unter anderem den Namen für das entsprechende Verzeichnis.

Beim Schlüssel haben Sie mehrere Möglichkeiten: Sie geben ihn entweder manuell ein oder verwenden eine vorher angelegte Schlüsseldatei, deren Speicherort Sie SiriKali mitteilen. Alternativ nutzen Sie den integrierten digitalen Schlüsselbund oder die in Gnome und KDE enthaltenen Wallets. Verschlüsselte Dateien und Ordner zeigt die Software im Hauptfenster an; dort hängen Sie diese bei Bedarf ein oder aus (Abbildung 3).

Abbildung 3: Das erstellte Volume sehen Sie anschließend im Hauptfenster der Applikation. Hier finden Sie die entsprechenden Schaltflächen zum Ein- und Aushängen der Laufwerke.

Wir haben unter anderem den Ordner Dokumente mit einigen Dateien im Sync-Ordner von Owncloud abgelegt und verschlüsselt. Der Ordner erscheint in der Browser-Ansicht des Owncloud-Servers und enthält, wie gewünscht, die einzeln verschlüsselten Dateien (Abbildung 4). Ein Test mit den beiden anderen Kandidaten GocryptFS und SecureFS führte zum gleichen Ergebnis.

Abbildung 4: Nach dem Synchronisieren mit dem Owncloud-Server sehen Sie im Browser die verschlüsselten Dateien auf dem Server. Die Software hat selbst die Namen der Dateien unkenntlich gemacht.

Fazit

SiriKali erweist sich als nützliche Software, wenn Sie etwas Unterstützung via grafischer Oberfläche für die Tools benötigen, die eigentlich auf der Kommandozeile arbeiten. Die GUI bietet keinen Zugriff auf alle Optionen der jeweiligen Anwendungen, die wichtigsten sind jedoch enthalten. Alle Optionen und Parameter der jeweiligen Anwendung verrät die passende Manpage. Das Verschlüsseln von Inhalten für Dienste wie Dropbox oder Owncloud funktioniert zuverlässig, auf dem Server landen verschlüsselte Dateien.

Dass der SiriKali-Entwickler die einzelnen Backends nicht gleich mitliefert, ist zwar lästig, aber verständlich: Der Aufwand für Pflege und Aktualisierungen wäre zu hoch. Ein in die Tiefe gehender Vergleich der verwendeten Verschlüsselungswerkzeuge findet sich auf der Webseite von GocryptFS [11]; der Entwickler von CryFS vergleicht seine Software ebenfalls mit der Konkurrenz [12].