klal schrieb:
[…] wenn ich den ext4 Schlüssel mit "keyctl unlink xxxxxxxx" entferne, bleibt das verschlüsselte Verzeichnis solange lesbar bis der Datenträger neu gemountet wird.
Lesbar bleibt, was bereits entschlüsselt wurde, insbesondere das Verzeichnis selber und alle Dateien, die geöffnet wurden.
[…] Was kann man tun, damit das Verzeichnis gleich nach dem entfernen des Keys, ohne remount unlesbar wird?
Nichts. So etwas ist schlicht nicht vorgesehen bzw. widerspricht der Konzeption des Kernel-Bibliothek fscrypt, deren sich auch e4crypt bedient.
Ein verschlüsseltes Ext4-Dateisystem ähnelt nach dem aufschließen einem Tresor, den man während der Laufzeit des Kernels nicht mehr abschließen kann. Eine Schadsoftware kann in diesem Zustand mit entsprechenden Rechten alle bereits geöffneten Dateien im Klartext lesen bzw. Dateien auch selbst öffnen und dann lesen. Löschen des Schlüssels erschwert das nur, aber es bleibt grundsätzlich möglich. Beim Ausbinden räumt der Kernel auf, was aber bereits im Userspace gelandet ist, bleibt kompromittierbar.
Um wieder den sicher verschlossenen Zustand zu erreichen, muss man
den laufenden Kernel stoppen (totschlagen, nicht schlafen legen!),
den Arbeitsspeicher auf seine maximal zulässige Betriebstemperatur aufheizen,
und hinreichend lange warten, bis sich aller Speicher mit zufälligen Werten gefüllt hat.
fscrypt ist nur dafür gedacht, in diesem toten Zustand Unbefugten den Zugriff auf die verschlüsselten Daten zu erschweren und ist somit nur als Vorsorge für den Verlust oder Diebstahl des Rechners tauglich.