Daten verschlüsseln

Aus Foxwiki
Version vom 16. Januar 2023, 12:47 Uhr von Dirkwagner (Diskussion | Beiträge) (Textersetzung - „Verschlüsselung“ durch „Kryptografie“)

TMP

Vorlage(Getestet, general) Vorlage(Fortgeschritten)

{{{#!vorlage Wissen [:Pakete_installieren: Installation von Programmen] [:Paketquellen_freischalten: Bearbeiten von Paketquellen] [:Terminal: Ein Terminal öffnen] [:Partitionierung: Eine Festplatte Partitionieren] [:Kernelmodule: Umgang mit Kernelmodulen (Treibern)] [:Editor: Einen Editor mit Rootrechten öffnen] [:LUKS: Verschlüsselte Partitionen verwenden] [:Home umziehen: Die Benutzerverzeichnisse umziehen] }}} Inhaltsverzeichnis(-)

Bild(Wiki/Icons/security.png, 48, align=left) Aus Gründen der Geheimhaltung sensibler Daten, aber auch zur Wahrung der Privatsphäre, bietet es sich an, Daten zu verschlüsseln. Dazu gibt es – je nach Verwendungszweck – mehrere Möglichkeiten:

1. Kryptografie einzelner Dateien mit
 a. [#GnuPG GnuPG]
 a. [#ccrypt ccrypt]
 a. [#OpenSSL OpenSSL]
 a. [:AES_Crypt:]
1. Kryptografie einzelner Verzeichnisse mit 
 a. [:GoCryptFS:]
 a. ([:ecryptfs/Beliebigen_Ordner_verschlüsseln:ecryptfs])
 a. ([:EncFS:])
1. Homeverzeichnis verschlüsseln mit
 a. [#luks LUKS]
 a. ([:ecryptfs:], auch teilweise)
1. Kryptografie des gesamten Systems während der Installation (bis auf /boot):
 a. [:System_verschlüsseln:auf Basis von LVM]
 a. [:System_verschlüsseln/Schlüsselableitung: ohne LVM]
1. Kryptografie von Daten mit Hilfe von Containern
 a. [:zuluCrypt:]
 a. [:VeraCrypt:]
 a. [:LUKS/Containerdatei:]

In diesem Artikel werden die Möglichkeiten 1a, 1b, 1c und 3a behandelt. Die Beschreibung der anderen Programme bzw. Verfahren sind den jeweiligen Artikeln zu entnehmen.

{{{#!vorlage Warnung Das Verschlüsseln von Daten kann der Sicherheit bei der Wahrung der Privatsphäre oder sensibler Daten dienen, beinhaltet aber in der Konsequenz, dass eine eventuell zukünftig notwendige Datenrettung durch eine manuelle Entschlüsselung erschwert werden kann. Eine Entscheidung für oder gegen eine Datenverschlüsselung sollte daher nicht leichtfertig erfolgen. Empfohlen wird eine individuelle Nutzen-Risiko-Abwägung, bezogen auf Anwendungsbereich, Computerkenntnisse des Nutzers oder ähnliche Faktoren, um die Gefahr eines späteren Datenverlusts zu minimieren. }}}

Sicherheit der Kryptografiesmethoden

{{{#!vorlage Hinweis Ohne ein sicheres Kennwort nutzt die stärkste Kryptografie nichts! Wie man Passwörter am besten wählt, findet man im [:Sicherheits_1x1:Sicherheits 1x1]. }}}

Wirkliche Sicherheit bietet Kryptografie nur, wenn alle Bereiche, in denen temporäre Dateien (z.B. in /tmp) gespeichert werden, ebenfalls verschlüsselt sind. Ansonsten besteht das Risiko, dass (beispielsweise durch das Bearbeiten von Textdokumenten) Sicherungskopien dieser Dateien auf unverschlüsselte Bereiche der Festplatte kopiert werden. Daher sollte man, wenn möglich, das gesamte [:System_verschlüsseln:System verschlüsseln] oder zumindest die [:Vorbereitung Teilverschlüsselung:Vorbereitung zur Teilverschlüsselung] durchgearbeitet haben.

Die Kryptografiesalgorithmen der in diesem Artikel vorgestellten Kryptografiesverfahren gelten als sicher und ungebrochen. Das heißt, es gibt bis heute keine Methode, eine der hier vorgestellten Kryptografiesverfahren zu knacken, außer durch zeitaufwendiges [wikipedia:Brute-Force-Methode:Brute Force] bzw. das "einfache" Durchprobieren sämtlicher möglichen Schlüssel.

Einzelne Dateien verschlüsseln

Der große Nachteil dieser Methode ist, dass man eine Datei jedes Mal manuell ver- und entschlüsseln muss. Außerdem muss man die Originaldatei jedes Mal löschen. Dies ist auf Dauer nicht nur etwas mühselig, auch sind die gelöschten Original-Dateien unter Umständen wiederherstellbar, wenn diese nicht mit [:wipe:] oder [:shred:] entsorgt werden.

GnuPG

Möchte man einzelne Dateien verschlüsseln, so kann man dies mit [:GnuPG:] realisieren. Das Verschlüsseln von Dateien findet im Terminal [3] statt. Durch Eingabe von

{{{#!vorlage Befehl gpg -c DATEINAME }}}

wird die Datei DATEINAME nach doppelter Eingabe eines Passwortes verschlüsselt.

{{{#!vorlage Experten Durch das Argument `--cipher-algo` kann der Kryptografiesalgorithmus manuell bestimmt werden, standardmäßig wird hier [wikipedia:CAST_(Algorithmus):CAST5] verwendet. Um eine Liste der unterstützten Algorithmen einzusehen, genügt die Eingabe von `gpg --version` im Terminal. Auch die Kryptografie von Dateien mit einem öffentlichen Schlüssel durch die Option `-e` ist möglich. }}}

Durch Ausführen von

{{{#!vorlage Befehl gpg -d DATEINAME.gpg > DATEINAME }}}

wird eine verschlüsselte Datei DATEINAME.gpg nach Eingabe des Passwortes wieder entschlüsselt und als DATEINAME gespeichert.

gpg-connect-agent ` ausführen.


ccrypt

Das Programm [sourceforge2:ccrypt:] {en} kann direkt aus den Paketquellen installiert werden.

* Verschlüsseln: {{{#!vorlage Befehl

ccencrypt foobar }}}

* Entschlüsseln: {{{#!vorlage Befehl

ccdecrypt foobar }}}

* Entschlüsseln – nur auf die Standardausgabe: {{{#!vorlage Befehl

ccat foobar }}}

Weitere Informationen bietet die [:man:Manpage] zur Anwendung.

OpenSSL

Hier helfen zwei kleine Skripte. Diese können z.B. als ssl-encode.sh und ssl-decode.sh gespeichert werden. Dazu bieten sich die Ordner ~/bin (für einen einzelnen Benutzer) oder /usr/local/bin (bei systemweiter Nutzung) an.

* Verschlüsseln: {{{#!code bash
  1. !/bin/bash
  2. make sure we get a file name

if [ $# -lt 1 ]; then

 echo "Usage: $0 filename"
 exit 1

fi openssl enc -e -aes256 -in "$1" -out "$1".enc }}}

* Entschlüsseln: {{{#!code bash
  1. !/bin/bash
  2. make sure we get 2 files

if [ $# -lt 2 ]; then

 echo "Usage: $0 encrypted_file decrypted_file"
 exit 1

fi openssl enc -d -aes256 -in "$1" -out "$2"

  1. openssl benutzt ab Version 1.1 (?) nicht mehr -md md5 als Default-Option, ohne diese Option kann eine mit
  2. Version 1.0 verschlüsselte Datei nicht entschlüsselt werden.

}}}

Anker(luks)

Mit LUKS verschlüsselte /home-Partition automatisch beim Anmelden einbinden

Nachdem, wie im Artikel [:LUKS:] beschrieben, eine verschlüsselte Partition angelegt worden ist, kann diese als /home genutzt werden. Damit diese Partition automatisch mit `pam-mount` beim Anmelden eingebunden werden kann, müssen das jeweilige Nutzer-Passwort und ein Passwort der Partition identisch sein. Das Verfahren hat den Vorteil, dass es sich nahtlos in den normalen Anmeldevorgang einbindet und nur eine Passworteingabe nötig ist - allerdings ist es dann umso wichtiger, dass das gewählte Passwort von guter Qualität ist.

{{{#!vorlage Warnung Sollte nicht das gesamte System verschlüsselt werden, besteht die Gefahr, dass persönliche Daten in unverschlüsselten Bereichen gespeichert werden. Um dieses Risiko zu minimieren, sollte der Artikel [:Vorbereitung Teilverschlüsselung:Vorbereitung zur Teilverschlüsselung] durchgearbeitet werden. Ohne diese Maßnahmen ist die Kryptografie möglicherweise wirkungslos. }}}

Software installieren

Zuerst muss das folgende Paket installiert [1] werden:

{{{#!vorlage Paketinstallation libpam-mount }}}

Daten migrieren

Zuerst wird die verschlüsselte Partition geöffnet[7], welche als /home verwendet werden soll. Dann wird sie kurzfristig unter /mnt eingehängt:

{{{#!vorlage Befehl cryptsetup luksOpen /dev/sdPARTITIONS_NUMMER NAME mount /dev/mapper/NAME /mnt }}}

Anschließend werden alle Dateien von der ursprünglichen Home-Partition auf die neue, verschlüsselte kopiert[8]:

{{{#!vorlage Befehl rsync -avx /home/ /mnt }}}

Nachdem überprüft worden ist, ob alle Daten kopiert wurden, sollte man dort noch eine Test-Datei (z.B. Test.txt) erstellen, um nachher zu sehen, ob wirklich alles funktioniert hat. Abschließend hängt man dann die Partition wieder aus:

{{{#!vorlage Befehl umount /mnt cryptsetup luksClose NAME }}}

pam-mount konfigurieren =

Damit pam-mount weiß, welche Partitionen es bei Anmeldung wohin einhängen soll, werden mit den folgenden Befehlen die entsprechende Zeilen in die allgemeinen Konfigurationsdateien eingetragen, die man dazu mit Root-Rechten öffnet [2]:

Nach demselben Schema kann man auch weitere Partitionen einbinden lassen, insbesondere in Pfade unterhalb von /home. Falls man bestimmte Partitionen nur für bestimmte Nutzer einbinden will, erweitert man entsprechend die Konfiguration:

In /etc/security/pam_mount.conf.xml wird unter der auskommentierten Dokumentation folgende Zeile eingetragen und `UUID` durch die tatsächliche UUID der Partition ersetzt:

{{{#!code xml <volume user="BENUTZERNAME" fstype="crypt" path="/dev/disk/by-uuid/UUID" mountpoint="/ABSOLUTER/PFAD/ZU/EINHÄNGEPUNKT" options="fsck,relatime" /> }}}

In aktuellen Ubuntu-Versionen werden die PAM-Module automatisch verwaltet.

{{{#!vorlage Experten Falls es bei der Benutzung von sudo und cron zu segfaults kommt, sind diese als Bug zu melden. Man kann das Problem beheben, indem man fest vorgibt, welcher Benutzer die verschlüsselte Partition verwenden soll. }}}

Konfiguration überprüfen und neu starten

Nachdem die Konfiguration nochmals geprüft worden ist kann man das System neu starten. Wenn man nach erfolgreicher Anmeldung in /home die entsprechende Test-Datei gefunden hat, arbeitet man mit dem verschlüsselten /home.

Zu erwartende Geschwindigkeiten bei Festplattenverschlüsselung

Aktuell eingesetzte Prozessoren mit [wikipedia:AES_(Befehlssatzerweiterung):AES-NI Befehlssatzerweiterung] erlauben Ver- und Entschlüsselungsvorgänge in Bereichen mehrerer hundert Megabyte bis wenige Gigabyte pro Sekunde. Prozessoren ohne entsprechende Erweiterung hingegen sind ein vielfaches langsamer und erreichen nicht zwangsweise Schreibgeschwindigkeiten von einigen hundert Megabyte pro Sekunde, können also SSDs sowie auch herkömmliche Festplatten nicht unbedingt ausreizen.

Eine Abschätzung der zu erwartenden Geschwindigkeit durch den Prozessor lässt sich folgendermaßen ermitteln: {{{ sudo cryptsetup benchmark }}} Bei der Ausgabe des Befehls sollte man auf die Zeile mit dem aes-xts-Algorithmus achten, da dieser am häufigsten für die Festplattenverschlüsselung eingesetzt wird bzw. werden sollte.

Links

Intern

* [:LUKS/Containerdatei:] - LUKS mit Containerdatei verwenden
* [:Steghide:] -  Informationen in Dateien verstecken
* [:Sicherheit#Datenschutz-und-Privatsphaere:Datenschutz und Privatsphäre] {Übersicht} Artikelübersicht

Extern

* [wikipedia:Dm-crypt:cryptsetup und LUKS] - Wikipedia
* Technischer Datenschutz und Kryptografie {de} - Anleitungen zum Verschlüsseln von Daten und Kommunikation
* UsbCryptFormat {de} - GUI für Linux zum Verschlüsseln externer Datenträger
* Benchmark für Festplattenverschlüsselung {de}
  1. tag: Sicherheit, System, Kryptografie