ubuntuusers.de

Hallo,

man liest, dass seit 2015 / Kernel 4.1 Ext.4 native Verschlüsselung bietet. Man liest aber nicht, wie man's aktiviert...

Zunächst einmal stellt sich natürlich die Frage, wo das Betriebssystem den Schlüssel speichert und wie man einen solchen erstellen kann.

Ich nutze Mate, also Caja als Dateimanager. Dort findet sich in den Ordner-Eigenschaften nichts, was nach Verschlüsselung aussieht. Wär' ja auch zu einfach, wenn es so einfach wäre. Wonach muss ich überhaupt suchen?

Unter Windows hat man einfach nach EFS gegoogelt und fertig. Da EFS aber nicht auf Linux läuft, plane ich, meine Datenpartition in Ext.4 zu ändern und mir dazu den Paragon-Treiber für Windows zu kaufen. Im Moment habe ich alles entschlüsselt, kann daher aber kein Backup mehr machen.

Wo kann ich mich einlesen? Danke.

Hallo MitjaStachowiak, ich denke Du meinst das https://wiki.ubuntuusers.de/ecryptfs/.

Ich empfehle Dir dringend sich mit dem WIKI zu beschäftigen. Dort findest Du eigentlich fast alles Wissenswerte.

https://wiki.ubuntuusers.de/Startseite/

Bye HS

STRAGIC-IT schrieb:

ich denke Du meinst das https://wiki.ubuntuusers.de/ecryptfs/.

Nein, ecryptfs ist nicht nativ. Siehe dazu auch LWN: https://lwn.net/Articles/639427/

Ich Wiki von Arch Linux gibts im Artikel zu ext4 eine Anleitung dazu.

Das "Problem" ist daß das eigentlich ursprünglich ein Android Feature ist. ( https://source.android.com/security/encryption/file-based#ext4-encryption ) Aber selbst bei Android das war auch mal LUKS. Geändert dann ab Android 7 oder so, auch gerade mal ein Jahr oder so her? Auf Android hat man dann jedenfalls das entsprechende Frontend dazu (Unlock-Geste usw.), man merkt einfach nichts davon und dann ist es okay.

Auf dem Desktop-Linux gibts das einfach noch gar nicht. Ist einfach noch nirgends integriert. Und da gibts noch ein paar andere Schwierigkeiten um das wirklich praktikabel zu machen. Bei den anderen Verschlüsselungen ist es so, wenns erstmal offen ist, haben "alle" [im Rahmen der regulären Dateisystemrechte] Zugriff... bei ext4 Verschlüsselung muss glaub ich jeder für sich den Key wissen. Das läuft über keyring und da hat potentiell jeder Prozess / Thread / User / Session ... seinen eigenen. Irgendwelche Sachen die unabhängig im Hintergrund laufen - Pech gehabt. Es ist einfach ein komplett anderer Ansatz.

Du findest kaum Leute die das auf dem Desktop mit e4crypt benutzen und entweder gar keine oder nur recht stiefmütterliche Wiki-Einträge dazu.

Solange keine Distribution das standardmäßig zur Verschlüsselung einsetzt (und damit alte Zöpfe wie ecryptfs abschneidet), würde ich damit auch nicht anfangen.

frostschutz schrieb:

und damit alte Zöpfe wie ecryptfs abschneidet

Das leidige und problembehaftete ecryptfs wird eh nur von Ubuntu verwendet, die anderen Distros bieten seit einigen Jahren bei der Installation eh nur LUKS+LVM an. Inzwischen hat Ubuntu bemerkt, dass das einfacher und sinnvoller ist und macht das auch.

Aber LUKS funktioniert nicht fuer einzeilne Ordner/Dateien.

Eine Frage aber an den TE: Was ist dein Ziel? MitjaStachowiak schrieb:

plane ich, meine Datenpartition in Ext.4 zu ändern

Das liest sich, als wuerde eh eine ganze Partition zu verschluesseln sein. Ob und wie man LUKS auf Windows nutzen kann: Keine Ahnung.

Ansonsten wirds wohl TrueCrypt/Veracrypt, das gibts auf beiden Platformen.

Nee, ich habe nicht die ganze Partition verschlüsselt. Da sind viele Daten 'drauf, die nicht verschlüsselt sein müssen und um die Performance nicht unnötig zu drücken will ich die auch nicht verschlüsseln. Der Haken bei Softwareverschlüsselung ist, dass man ein recht langes Passwort braucht. Deswegen habe ich die SSDs in meinem Laptop über HDD-Passwort gesperrt. Da das für externe Festplatten aber (fast) nicht geht, habe ich dann unter Windows angefangen, die sensiblen Daten mit EFS zu schützen um weiterhin unkompliziert Backups machen zu können. Der Haken an vollverschlüsselten Partitionen ist: Wenn ich die Datei, in der ich die Keys speichere, auf die verschlüsselte Partition packe, komme ich im Notfall ja nicht dran. Ich habe nur einen kleinen Truecrypt-Safe mit einem sicheren Passwort und ich würde auch nur ungern das selbe Passwort für verschiedene Sachen verwenden.

EFS hatte aber den Haken, dass es sich nicht auf DVD übertragen lässt. Ich fürchte, ich muss langfristig also sowieso zu vollverschlüsselten Backups übergehen. Wenn ich hier lese, dass unter Linux die Verschlüsselung für einzelne Ordner/Dateien auch noch nicht richtig umgesetzt ist... Ich denke, ich bereite mir einfach eine Tabelle mit vielen, sicheren Passwörtern vor, packe die in meinen Safe, speichere den auf einigen unverschlüsselten Partitionen/DVDs und mache in Zukunft vollverschlüsselte Backups.

Das ist halt nicht der Weg, der so usability-maßig für andere zu empfehlen wäre. Ich werde daher den Text zur Ext.4-Verschlüsselung in Ruhe lesen und hoffentlich in nicht allzuferner Zukunft (wenn sich verschlüsselte Dateien auch auf DVD übertragen lassen...) dazu übergehen.

Nachtrag: Habe den Text gelesen. Sieht vielversprechend aus. Im Gegensatz zu Windows kann man mit dieser Verschlüsselung offenbar auch verschlüsselte Daten kopieren. Verschlüsselt kopieren versteht sich 😉 So sollte sich theoretisch ein Weg basteln lassen, das verschlüsselt auf DVD zu kopieren. Hoffentlich wird das bald zum Standard und man kann dann Verzeichnisse auch nachträglich verschlüsseln und Dateien zwischen verschlüsselten und unverschlüsselten Ordnern verschieben (dann müsste natürlich ein Dialog aufpoppen entschlüsselt kopieren / verschlüsselt kopieren (Datei ist dann nicht zugreifbar und muss in einen verschlüsselten Bereich zurück geschrieben werden, um soe lesen zu können...)

In Ankuedungungen zu Plasma 5.11 liest man u.a.:

Mit dem neuen Werkzeug Plasma Vault kann man Verzeichnisse verschlüsseln.

Plasma Vault greift im Hintergrund auf EncFS und CryFS zurück und soll das Verschlüsseln von wichtigen Daten möglichst einfach machen. Die verschlüsselten Container-Dateien können direkt aus dem System-Tray erzeugt und geöffnet werden.

Falls noch jemand weitere Moeglichkeiten sucht um einzelnen Dateien zu verschluesseln.