Was ist der einfachste Weg, um ein Verzeichnis zu verschlüsseln? (unter Ubuntu)

13

Was ist der einfachste Weg, um ein Verzeichnis auf einem Ubuntu-basierten System zu verschlüsseln?

Angenommen, ich besitze einen Laptop mit Ubuntu 10.04 und einige Dokumente, die sicher aufbewahrt werden sollten (falls ich den Laptop verliere).

Angenommen, alle Dokumente befinden sich in einem Verzeichnis mit dem Namen ~ / work /, und außerhalb dieses Verzeichnisses befindet sich kein Geheimnis. Sie müssen also nicht das gesamte Heimverzeichnis verschlüsseln.

Es soll eine Möglichkeit geben, dieses Verzeichnis von der Kommandozeile aus zu sperren / zu entsperren.

Es scheint verschiedene Möglichkeiten zu geben, dies zu tun:

  • ecryptfs-utils
  • Cryptsetup
  • truecrypt (jedoch nicht von OSI genehmigtes Open Source)

Aber was ist die einfachste und zuverlässigste Methode?

Danke Johan


Update : Verwandte Frage, aber nicht gleich Was ist der einfachste Weg, um alle meine Dateien in Ubuntu 10.04 zu verschlüsseln?

Johan
quelle
2
Wen interessiert es, ob Truecrypt nicht von OSI zugelassen ist? Von OSI genehmigte Software ist nicht gleich bessere. Truecrypt ist das Beste und hat das FBI in mehreren Fällen sogar vereitelt.
TheLQ
3
Software, die von OSI genehmigte Lizenzen verwendet, fühlt sich sicherer an.
Johan

Antworten:

10

Es gibt drei Methoden: Einrichten eines verschlüsselten Volumes auf einer Partition ( dm-cryptkonfiguriert mit cryptsetup), Einrichten einer Datei, die ein verschlüsseltes Volume ist (truecrypt), Einrichten eines Verzeichnisses, in dem jede Datei separat verschlüsselt wird ( ecryptfsoder encfs).

Das Einrichten eines verschlüsselten Volumes bietet etwas mehr Vertraulichkeit, da die Metadaten (Größe, Änderungszeit) Ihrer Dateien unsichtbar sind. Auf der anderen Seite ist es weniger flexibel (Sie müssen die Größe des verschlüsselten Volumes im Voraus festlegen). In den häufig gestellten Fragen zu ecryptfs werden einige Unterschiede zwischen den beiden Ansätzen aufgeführt.

Wenn Sie sich entscheiden, Datei für Datei zu verschlüsseln, sind mir zwei Optionen bekannt: ecryptfsund encfs. Ersteres verwendet einen Kerneltreiber, während letzteres FUSE verwendet. Dies kann ecryptfseinen Geschwindigkeitsvorteil ergeben; Es bietet encfseinen Flexibilitätsvorteil, da nichts als Root ausgeführt werden muss. Ein möglicher Vorteil ecryptfsist, dass Sie nach der Ersteinrichtung Ihr Anmeldekennwort dank des pam_ecryptfsModuls als Dateisystemkennwort verwenden können .

Für meinen eigenen Gebrauch in einer ähnlichen Situation entschied ich mich encfs, weil ich keinen tatsächlichen Sicherheitsvorteil für andere Lösungen sah, so dass die Benutzerfreundlichkeit der entscheidende Faktor war. Leistung war kein Problem. Der Workflow ist sehr einfach (bei der ersten Ausführung encfswird das Dateisystem erstellt):

aptitude install encfs
encfs ~/.work.encrypted ~/work
... work ...
fusermount -u ~/work

Ich empfehle Ihnen auch, Ihren Auslagerungsbereich und jeden Ort zu verschlüsseln, an dem temporäre vertrauliche Dateien gespeichert werden können, z. B. /tmpund /var/spool/cups(wenn Sie vertrauliche Dateien drucken). Verwenden cryptsetupSie diese Option, um Ihre Swap-Partition zu verschlüsseln. Der einfachste Weg, mit dem Problem umzugehen, /tmpbesteht darin, es im Speicher zu halten, indem Sie es wie folgt einbinden tmpfs(dies kann in jedem Fall einen leichten Leistungsvorteil bringen).

Gilles 'SO - hör auf böse zu sein'
quelle
Ich habe nicht über / tmp nachgedacht, aber tmpfs löst dieses Problem auf nette Weise. Mach einfach einen echten Shutdown: s.
Johan
1
Vielen Dank für den Unterricht encfs! Das ist fantastisch!
user39559
1

Ich benutze ausschließlich TrueCrypt für solche Dinge. Von OSI genehmigt oder nicht, ich finde, es hat mich nie im Stich gelassen, und ich habe die Verschlüsselung mehrmals benötigt.

easyegoism
quelle
1

Schnelle und einfache Möglichkeit ist tarund compressdann bcrypt.

tar cfj safe-archive.tar.bz2 Verzeichnis / 
bcrypt safe-archive.tar.bz2 
# fragt Sie zweimal nach einem 8-stelligen Passwort, um es zu sperren.
# Denken Sie jedoch daran, Ihr Verzeichnis danach zu löschen.
rm -rf verzeichnis / 
# Und ich hoffe du vergisst das Passwort nicht oder deine Daten sind weg!

Makes safe-archive.tar.bz2.bfe- die du umbenennen kannst, wenn du dich paranoid fühlst.

So öffnen Sie das verschlüsselte Paket:

bcrypt safe-archive.tar.bz2.bf3 # Oder wie auch immer Sie es nannten
tar xfj safe-archive.tar.bz2 
# Und Ihr Telefonbuch ist wieder da!

Wenn Sie bereit sind, chaotischer zu werden, würde ich vorschlagen truecrypt, verschlüsselte Volumes zu erstellen.
Aber ich denke nicht, dass dies für reguläre Daten notwendig ist (wie zum Beispiel nicht im Zusammenhang mit der nationalen Sicherheit).

ps: beachte, dass ich nicht vorschlage, dass bcrypt in irgendeiner Weise schwach oder unfähig für die nationale Sicherheit ist.


Antworte auf die Kommentare zu meiner Antwort oben.
Ich habe versucht, eine einfache Antwort zu geben - und ich bin damit einverstanden, dass meine Entscheidung, Truecrypt nicht als erste Option vorzuschlagen, für einige hier unangemessen ist.

In der Frage wird nach einer einfachen Methode zum Verschlüsseln eines Verzeichnisses gefragt.
Mein Sicherheitsmaß basiert hier auf zwei Dingen:

  1. Was möchten Sie sichern und
  2. Vor wem möchten Sie es sichern?

Ich bewerte dies als das Niveau Ihrer "Paranoia".

Nun, ohne zu sagen, dass Truecrypt (oder ähnliche Methoden) teurer sind, ist
alles , was ich sagen möchte, dass eine in tmpfs ausgeführte bcrypt-Sequenz für Ihren täglichen Gebrauch heute ausreicht
(dies wird wahrscheinlich in etwa einem Jahrzehnt nicht mehr der Fall sein) rate mal, aber es ist wirklich erstmal so).
Ich gehe auch davon aus, dass der Wert der hier gesicherten Daten für einen "Wiederherstellungs" -Versuch der Mona-Lisa-Klasse nicht vergleichbar ist.

Einfache Frage: Erwarten Sie, dass jemand versucht, Ihren ausgeschalteten Laptop zu greifen und Daten aus dem kalten RAM-Speicher wiederherzustellen?
Wenn Sie dies tun, sollten Sie wahrscheinlich zuerst Ihre Hardware und Software überdenken , prüfen, mit welchem ​​ISP Sie sich verbinden, wer Ihre Tastendrücke hören kann und so weiter.

ps: Ich mag Truecrypt und benutze es. Die OSI-Konformität oder das Fehlen davon spielt keine Rolle. Und ich inszeniere nicht bcryptund das hier vorgeschlagene Schema in Konkurrenz dazu.

nik
quelle
2
Ich gebe zwar die Antwort +1, aber für die wirklich Paranoiden unter uns ... abhängig vom Wert Ihrer Daten könnte dies eine schlechte Idee sein. Der Benutzer muss erkennen, dass diese Methode offensichtlich die Dateien des gelöschten Verzeichnisses auf der Festplatte belässt, wo sie möglicherweise von den "bösen Jungs" wiederhergestellt werden können. Schauen Sie sich in SU nach "gelöschte Dateien in Linux wiederherstellen" um, um zu sehen, wie sicher das ist ...
hotei
@hotei, ja, Truecryptwird solche Komplikationen angehen. Ein weiterer Trick wäre die Verwendung eines tmpfsMount-On-RAMs für die Arbeit mit dem verschlüsselten Verzeichnis - kopieren Sie das bfeauf die Ramdisk, arbeiten Sie dort damit, verschlüsseln Sie es erneut und speichern Sie das verschlüsselte Archiv zurück in das Dateisystem.
Nik
2
Ich würde einen Schritt weiter gehen als @hotei und sagen, dass dies keine Qualität als Verschlüsselung darstellt, da es so einfach ist, die Dateien wiederherzustellen (es gibt einen ganzen Markt , der sich der Wiederherstellung von Dateien widmet). Verschlüsselung muss Verschlüsselung sein. Dies ist nur ein falsches Gefühl der Verschlüsselung
TheLQ
2
@nik: Die Methode in Ihrer Antwort ist nicht nur unsicher, wie Hotei erklärt hat, sondern auch fehleranfällig (was ist, wenn Sie vergessen haben, die entschlüsselten Dateien zu entfernen?). Selbst Ihr Vorschlag zur Verwendung tmpfsist sehr riskant: Was ist, wenn Sie vergessen, die Dateien neu zu verschlüsseln, und Ihre Änderungen verlieren? Was ist, wenn der Computer abstürzt (alle Änderungen gehen verloren)? Es ist auch unnötig kompliziert. Es gibt viele Möglichkeiten, dieses Problem mit geeigneten Werkzeugen zu lösen. Verwenden Sie einfach eines davon.
Gilles 'SO - hör auf böse zu sein'
1
@nik In einer Ausstellung an einer nahe gelegenen Universität wurde gezeigt, dass Sie auch nach einer Stunde ohne RAM ein Bild der Mona Lisa erkennen können, die in den Speicher geladen wurde. Sofern Sie den Computer nicht sofort danach neu starten, ist es sehr einfach, die Daten aus dem RAM wiederherzustellen. Truecrypt, IIRC, verschlüsselt seinen RAM.
digitxp
1

Wenn Sie nur Angst haben, Ihren Laptop zu verlieren, ist Ubuntu ecryptfsbereits für Sie eingerichtet.

Wählen Sie einfach "verschlüsseltes Home-Verzeichnis", wenn Sie Ihr Benutzerkonto erstellen, und geben Sie ihm ein anständiges Passwort. Dies schützt alles, was sich in Ihrem privaten Ordner befindet.

Ja, es wird mehr als verschlüsselt ~/work, aber es ist nahtlos.

Für die /tmpVerwendung tmpfs.

Vorteile:

  • Sie müssen nichts weiter tun, Ubuntu erledigt alles für Sie.
  • Ihre Freunde können Ihren Computer auch unterwegs verwenden. Sie benötigen lediglich ein Kennwort, um auf Ihre Dateien zugreifen zu können.

Con:

  • Es gibt andere Stellen, an denen Sie Leckdaten erfassen - Gilles 'Antwort ist die vollständigste (+1 für ihn).

Wenn Sie also nicht glauben, dass ein forensischer Experte versucht, Daten aus gedruckten Materialien abzurufen, ist dies ausreichend.

ecryptfsSie können den Swap auch verschlüsseln. Ich empfehle jedoch, den Swap nur zu deaktivieren, es sei denn, Ihnen ist der RAM-Speicher erschöpft. Das Leben ist besser ohne Tausch. (oder einfach ausführen ecryptfs-setup-swapund den Anweisungen folgen, um fstab zu ändern)


Achtung : Auf jeden Fall, es sei denn, Sie haben gerade diesen Laptop gekauft, sind bereits viele Dinge auf Ihre Festplatte geschrieben. Ich habe ein paar Sachen in meinem gefunden und nichts würde es ausräumen. Sie müssen ein Backup auf einem anderen Laufwerk oder einer anderen Partition erstellen, Ihr aktuelles Dateisystem mit Nullen überschreiben und Ihre Dateien wiederherstellen (stellen Sie natürlich nur die vertraulichen Dateien wieder her, nachdem die Verschlüsselung eingerichtet wurde).

user39559
quelle
1

Der einfachste und schnellste Weg, dies einzurichten, ist die Installation von ecryptfs-utils und cryptkeeper :

sudo apt-get install ecryptfs-utils cryptkeeper

Schauen Sie dann, wenn Sie fertig sind, in Ihren Systray. Sie sehen ein Symbol mit zwei Tasten. Klicken Sie darauf und wählen Sie Neuer verschlüsselter Ordner. Geben Sie den Namen ein und klicken Sie auf die Schaltfläche Weiter (seltsamerweise unten links, nicht rechts). Geben Sie dann das gewünschte Passwort ein, bestätigen Sie es erneut und klicken Sie erneut auf Weiterleiten und dann auf OK.

Dadurch wird der verschlüsselte Ordner angehängt und Sie können Dateien in ihn kopieren. Wenn Sie sich abmelden oder das Häkchen in diesem bereitgestellten Ordner entfernen (klicken Sie dazu auf das Schlüsselsymbol in der Systemleiste), müssen Sie erneut ein Kennwort eingeben, bevor Sie es erneut bereitstellen können.

Volomike
quelle