Sonntag, 19. April 2009

Verschlüsselung in Ubuntu - Überblick

Verschlüsselung wird immer wichtiger. Das gilt nicht nur für professionelle Anwender die Firmendaten oder Kundendaten vor Missbrauch oder der Konkurrenz schützen müssen, sondern auch für den privaten Anwender.

Dieser Artikel soll eine Reihe von Artikeln zu diesem Thema einleiten.

Ein bei nicht Computer-erfahrenen Anwendern weit verbreitetes Vorurteil ist, dass der Rechner ja durch ein Passwort geschützt ist. Das ist nicht der Fall! Das Passwort beim Anmelden an das System schützt nur, wenn der Angreifer keinen physischer Kontakt zum Rechner hat. Wie beispielsweise im Internet.

Jeder, der physischen Kontakt zum Rechner hat, sei es, weil er zu Hause in der WG rumsteht oder weil ihn jemand gestohlen hat, kann mit einer Live-CD auf alle nicht verschlüsselten Daten zugreifen. Er besitzt Administratorrechte! Dabei ist es unerheblich, ob man Windows oder Ubuntu einsetzt.

Verschlüsselung muss also für Alle sein, die sensible Daten auf dem Rechner gespeichert haben.

Welche Möglichkeiten der Verschlüsselung gibt es in Ubuntu?

  • Verschlüsselung von Passwörtern
  • Verschlüsselung von einzelnen Dateien
  • Verschlüsselung eines Containers/Verzeichnisses für Dateien
  • Verschlüsselung des Home-Verzeichnisses
  • Verschlüsselung des gesamten Systems
Diese Liste erhebt natürlich keinen Anspruch auf Vollständigkeit:-).

Verschlüsselung von Passwörtern
Wer keine sensiblen Daten auf dem Rechner speichert, diesen auch nur zu Hause stehen hat, aber sich viele Passwörter merken muss, für den ist diese Variante die richtige. Programme dafür sind Seahorse und KeepassX.

Verschlüsselung von einzelnen Dateien
Einzelne Dateien können in Nautilus dem Dateimanager von Ubuntu im Kontextmenü (rechte Maustaste) verschlüsselt werden. Allerdings werden die Dateinamen nicht mit verschlüsselt. Beim ersten Mal wird man dazu aufgefordert, einen Schlüssel zu erstellen

Verschlüsselung eines Containers/Verzeichnisses für Dateien
Man kann ein verschlüsseltes Verzeichnis mit ecryptfs erstellen. Dazu muss das Script ecryptfs-setup-private aufgerufen werden, nachdem man ecryptfs-utils installiert hat.
Wer Container nicht nur in Linux sondern auch in Windows oder Mac OS X benutzen will, kann das plattformübergreifende Truecrypt verwenden.

Verschlüsselung des Home-Verzeichnisses
Diese Variante erscheint auf dem ersten Blick als sinnvollste, allerdings ist sie nicht komplett sicher. Anwendungsprogramme können Dateien im Temp-Verzeichnis zwischenspeichern, die Swap-Partition ist nicht verschlüsselt. Ausserdem können Angreifer in den Systemverzeichnissen Veränderungen durchführen, die die Verschlüsselung aushebeln.

Verschlüsselung des gesamten Systems
Diese Art der Verschlüsselung bietet den größten Schutz. Dabei ist darauf zu achten, dass auch die Swap-Partition verschlüsselt wird.
Die gesamte Festplatte kann mit LVM bei Installation mit der Alternate CD verschlüsselt werden. Leider funktioniert das nicht bei einem Dual-Boot-System mit Windows. Hier muss man manuell Partitionen verschlüsseln. Für das es verschiedene Alternativen gibt. Es kann alles bis auf /boot verschlüsselt werden.

Truecrypt bietet eine einfache Möglichkeit, ein gesamtes Windows-System zu verschlüsseln. Leider funktioniert das nicht in einem Dual-Boot-System mit Linux.

Bei allen Verschlüsselungsvarianten gilt, Sicherheit gibt es nicht umsonst. Man muss umsichtig mit seinem System umgehen, Backups regelmäßig durchführen. Auch sollte man sich vorher informieren, wie man im Fall eines Systemcrashs an seine verschlüsselte Daten kommt. Die verwendeten Schlüssel müssen für die Weiderherstellung an einem sicheren Ort ausserhalb des Rechners gespeichert werden.

Keine Kommentare:

Kommentar veröffentlichen