Aktuell habe ich die Homepartition verschlüsselt und parallel halte ich ein unverschlüsseltes Backup zu Hause vor, welches ich regelmäßig per rsync synchronisiere.
Und welches jedem Einbrecher dann unverschlüsselt in die Hände fällt. Das ist unwahrscheinlicher als der Diebstahl eines Notebooks, aber nicht an sich unwahrscheinlich.
Ich frage mich, welche Daten sensibel genug für Verschlüsselung unterwegs sind, aber nicht sensibel genug für Verschlüsselung daheim.
Aktuell neige ich zu meiner weiter oben vorgeschlagenen Alternative 2 (Homepartition als Ganzes z.B. mit dm_crypt/LUKS zu verschlüsseln), weil dann auch z.B. die Daten aus dem Mailprogramm (Thunderbird) und Firefox bei Diebstahl vor den Augen Dritter geschützt sind.
Ich meinerseits setze aus einer Kombination von Sicherheitswahnbedürfnis und Faulheit seit Jahren auf Vollverschlüsselung, um mich nicht fragen zu müssen, wo außerhalb von /home noch Datenschnipsel herumfliegen (/tmp, /var, /opt, /etc, swap…). 😎
Dieser Weg erscheint mir als guter Kompromiss zwischen (Daten-)Sicherheit, Praktikabilität und Performance.
Wenn Performance eine Frage ist (war sie für mich nicht mal auf meinem 1,6 Ghz Netbook ist), kann man auf Vollverschlüsselung verzichten. Ansonsten spricht m.E. nichts gegen sie. Ob man sein Passwort beim Booten oder beim Einloggen eintippt, ist gleichsam praktikabel. Seine Backups zu verschlüsseln kostet einen ebenfalls nur eine weitere Passworteingabe bei Anschließen des Backup-Mediums. Dahingehend ist LUKS unter Ubuntu extrem komfortabel.
Wenn mehrere Leute dasselbe System nutzen, ist die von Ubuntu angebotene Verschlüsselung des eigenen Homeverzeichnisses ebenfalls sinnvoll, um seine Daten voreinander zu schützen. Um trotz Vollverschlüsselung dann eine doppelte Verschlüsselung zu vermeiden, böte sich die Trennung von verschlüsseltem System und unverschlüsseltem /home an, in dem dann wiederum die einzelnen verschlüsselten Benutzerverzeichnisse liegen. 💡 edit: Alle Benutzer, die das System starten können sollen, bekommen jeweils einen anderen LUKS-Schlüssel.
OK mit einem unverschlüsselten System, kann ich im Zweifelsfalle mit TestDisk & PhotoRec, die meisten Daten noch retten. Geht das genau so einfach und problemlos mit einem verschlüsselten System ?
Verschlüsselt nein, entschlüsselt, wie Benno-007 schrieb, ja. Aber wie gesagt, ist hier eher das Thema, dass von wichtigen Daten immer Backups existieren sollten (und wenn es nur die Mühe des erneuten Zusammenstellens von ansonsten eher unwichtigen Daten erspart). In Deinem Szenario verliert man sie wegen der Verschlüsselung, in anderen wegen eines Plattencrashes oder Diebstahls.
Der häufigste Totalverlust bei Verschlüsselung kommt durch den Verlust des Master Keys im Crypt Header🇬🇧 (Punkt 1.2), mit dem die Daten verschlüsselt sind und der seinerseits mit den eigentlichen Passwörtern verschlüsselt wird. Daher sollte von diesem immer auch ein Backup gemacht werden. Dies bedeutet keine Minderung der Sicherheit – außer die Sicherheit fußt auf einem „Kill Switch“ zur Löschung des Headers bei Gefahr, zu dessen zweifelhafter Sicherheit siehe aber Punkt 5.21 des Cryptsetup-FAQs.
So, ja, Verschlüsselung macht prinzipbedingt Datenrettung schwieriger, da Ihr einziger Sinn der Schutz vor Datenzugriff ist. Dies ist aber bei Beachtung einiger einfacher Vorbeugemaßnahmen leicht zu negieren.