Wer seine Datenbestände auf simple Weise effizient vor Neugierigen schützen will, findet im Duo EncFS und Cryptkeeper die idealen Programme dafür.

Sei es persönliche Korrespondenz, Bilder oder Kontoauszüge: Um Daten sicher vor dem Zugriff Unbefugter zu bewahren, sollte man sensible Daten verschlüsseln – das gilt insbesondere auf mobilen Geräten wie Netbooks und Laptops. Wie so oft unter Linux führen auch bei der Kryptographie viele Wege zum Ziel. Dabei reicht die Palette von einem komplett verschlüsselten System bis hin zum Unsichtbarmachen einzelner Ordnerinhalte.

Für den heimischen Gebrauch genügt in aller Regel die Low-Level-Variante, wie sie das Zweigespann EncFS/Cryptkeeper bietet: Das Duo ist nicht nur einfacher zu bedienen als das relativ komplexe Truecrypt [1], sondern integriert sich auch nahtlos in den Gnome-Desktop.

Konzeptionelles

Das eigentliche Verschlüsselungsprogramm EncFS [2] setzt auf dem FUSE-Framework auf, was das transparente Verschlüsseln von Dateien auch im Userspace ermöglicht. Da das Programm datei- und nicht partitionsorientiert arbeitet, benötigt es weder eine eigene Partition noch einen Container, wie das beispielsweise bei Truecrypt der Fall ist. Das unter der GPL lizenzierte EncFS verwendet die offenen Verschlüsselungsalgorithmen AES und Blowfish. Als Konsolenprogramm bietet es durch Angabe verschiedener wahlfreier Parameter die Möglichkeit, die Verschlüsselungsmethoden den eigenen Wünschen anzupassen.

Cryptkeeper [3] dient als grafische Oberfläche für EncFS und ermöglicht das einfache Bedienen des Kommandozeilenprogramms. Dazu richtet sich das Tool nach dem Start im System-Tray des Gnome-Desktops ein und erlaubt von dort per Mausklick das Ein- oder Aushängen verschlüsselter Verzeichnisse. Das Tool gestattet es darüber hinaus, mehrere verschlüsselte Ordner simultan zu verwalten, sodass sie sich bei der Arbeit kaum von herkömmlich gemounteten Laufwerken unterscheiden (Abbildung 1).

Abbildung 1: In einem kleinen Applet zeigt Cryptkeeper alle verschlüsselten Verzeichnisse. Ein Knopfdruck auf die Einträge genügt, um sie ein- und auszuhängen.

Anlagestrategie

Um Cryptkeeper zu nutzen, legen Sie zunächst einen verschlüsselten Ordner an – entweder über die grafische Oberfläche oder die Kommandozeile. Die Cryptkeeper-GUI bietet dafür jedoch nur rudimentäre Optionen.

Möchten Sie Parameter wie den kryptographischen Algorithmus, die Schlüssellänge und Blockgröße sowie die Verschlüsselungsart des Dateinamens selbst festlegen, benutzen Sie die Kommandozeile. Der Befehl

$ encfs /Verschlüsselter/.Ordner /Mountpoint/des/verschlüsselten/Ordners

startet die Einrichtung. Das Programm legt nun nach Abfrage einiger Optionen den versteckten Ordner für die verschlüsselten Dateien sowie den Mountpoint für die entschlüsselten Daten an. Je nach Installationsart (Standard, Paranoia oder Expert) erfordert das Einrichten mehr oder weniger detaillierte Kenntnisse der symmetrischen Kryptographie.

Im Expertenmodus wählen Sie zunächst den verwendeten Algorithmus zur Verschlüsselung; zur Verfügung stehen AES und Blowfish. Danach definieren Sie die Schlüssellänge und die Blockgröße, mit der EncFS die Daten chiffriert. Im letzten Schritt bestimmen Sie die Parameter zum Verschlüsseln der Dateinamen und vergeben ein Passwort, um den Inhalt des Ordners gegen unbefugtes Nutzen des Programms durch Dritte abzusichern.

Nach Abschluss dieser Vorarbeiten machen Sie sich durch einen Klick auf den Schlüsselbund mit Cryptkeeper vertraut: Der Menüpunkt Import EncFS folder im Applet führt Sie durch einen kurzen grafischen Einstellungsdialog, in dem Sie die Pfade zum verschlüsselten Ordner und zum Mountpoint angeben. Danach erscheint der betreffende Mountpoint im Applet unter Encrypted folders:. Eingehängte Ordner versieht das Tool in der Applet-Ansicht mit einem Häkchen vor dem Pfadnamen. Ein Mausklick darauf reicht aus, um es auszuhängen. Damit verschwindet auch der Mountpoint, also das Zielverzeichnis. Cryptkeeper ist in der Lage, mehrere verschlüsselte Ordner simultan zu verwalten.

Zum Anlegen eines verschlüsselten Verzeichnisses via Cryptkeeper klicken Sie im Applet unten auf den Menüpunkt New encrypted folder. Daraufhin öffnet sich ein Dialog, in dem Sie das Zielverzeichnis auswählen und einen Ordnernamen vergeben. Mit Vor gelangen Sie zur Passwortabfrage, nach dessen Eingabe und einem erneuten Klick auf Vor das Tool den Ordner anlegt und sofort einhängt (Abbildung 2).

Abbildung 2: Anders als die Kommandozeilenvariante erlaubt Cryptkeeper nur wenige Einstellungen für das verschlüsselte Verzeichnis.

Ebenso einfach und schnell geschieht das Löschen nicht mehr benötigter Ordner. Jedoch sollten Sie zunächst den Inhalt dieser Ordnern überprüfen, da der Löschdialog nicht auf eventuell vorhandene Daten hinweist. Rechtsklicken Sie auf den gewünschten Ordner und wählen Sie aus dem Kontextmenü den unteren Eintrag Delete encrypted folder. Es spielt dabei keine Rolle, ob dieser Ordner noch eingehängt ist oder nicht. Cryptkeeper fragt sie danach in zwei Auswahlfenstern, ob es den Mountpoint und das Verzeichnis mit den verschlüsselten Dateien löschen soll (Abbildung 3).

Abbildung 3: Nicht ganz ungefährlich: Cryptkeeper stellt Löschabfrage, ohne das Verzeichnis zuvor auf enthaltene Dateien hin zu überprüfen.

Präferenzen und Modifikationen

Cryptkeeper bietet nur wenige Möglichkeiten, um dessen Verhalten und die Standardvorgaben zu ändern. Sie erreichen das “Setup” mit einem Rechtsklick auf den Schlüsselbund und anschließender Auswahl des Eintrages Einstellungen. Unter File browser: legen Sie fest, welchen Dateibrowser Cryptkeeper zur Anzeige der Verzeichnisse verwendet. Falls Sie beispielsweise XFCE als Desktop mit dessen Standarddateimanager Thunar verwenden, ändern Sie im oberen Eingabefeld File browser: die Vorgabe nautilus in thunar. Unter Unmount after idle (minutes): stellen Sie den Zeitraum ein, nach dem das Programm ungenutzte Verzeichnisse automatisch aushängt (Abbildung 4).

Abbildung 4: Einfach gehalten: Die Konfigurationsmöglichkeiten von Cryptkeeper beschränken sich auf ein Minimum.

Das Aktivieren der Checkbox Do not delete mount point when unmounting im Einstellungsfenster verhindert das Löschen korrespondierender Mountpoints nach dem Aushängen der verschlüsselten Ordner. Da jedoch die Existenz solcher leeren Ordner unter Umständen auf vorhandene versteckte Datenbestände hindeutet, sollten Sie aus Sicherheitsgründen diese Option nicht aktivieren.

Um das für einen Ordner vergebene Passwort nachträglich zu ändern, klicken Sie mit der rechten Maustaste im Applet auf den gewünschten Ordner, und wählen im Auswahlfenster den Eintrag Change password aus. Geben Sie anschließend zunächst das alte Passwort ein und danach zwei Mal das neue.

Nähere Informationen zu einem chiffrierten Ordner erhalten Sie beim Rechtsklick auf darauf und der Anwahl des Eintrags Informationen. Cryptkeeper zeigt dann in einem Zusammenfassungsfenster unter anderem den Speicherort des verschlüsselten Verzeichnisses, den Mountpoint und die verwendete Verschlüsselungsmethode (Abbildung 5).

Abbildung 5: Das Informationsfenster von Cryptkeeper gibt neben dem Mountpoint auch Auskunft über die Verschlüsselungsmethode des Ordners.

Fazit

Im Duett bieten EncFS und dessen Frontend Cryptkeeper eine schnelle und vor allem einfach zu bedienende Möglichkeit, Daten zu verschlüsseln. Da sich die grafische Oberfläche auf die allernotwendigsten Funktionen beschränkt, eignet sie sich auch für Einsteiger ohne jegliche kryptographischen Vorkenntnisse. Wem der Funktionsumfang von Cryptkeeper nicht ausreicht, greift auf die Kommandozeile zurück. Hier bietet EncFS fortgeschrittenen Anwendern deutlich mehr Einstellmöglichkeiten.

Das Software-Duo arbeitet auch beim Ver- und Entschlüsseln größerer Dateibestände in rasantem Tempo, sodass sich selbst auf schwächeren Rechnern beim Navigieren im Dateimanager kaum ein Unterschied zu herkömmlichen, nicht verschlüsselten Ordnern bemerkbar macht.