Ist die Swap Partition verschlüsselt?

Ubuntu bietet bei der Installation und auch beim anlegen neuer Nutzer_innen die Möglichkeit das eigene Home-Verzeichnis zu verschlüsseln. Ein Sicherheitsproblem bei dieser Methode stellt die Swap Partition dar. Dort können während des Betriebs Nutzer_innen Daten ausgelagert werden. Werden diese während dem Herunterfahren nicht verschlüsselt, oder zumindest ‘sicher’ gelöscht, können u.U. (eigentlich verschlüsselte) Daten von dort ausgelesen werden.

Offensichtlich wird die Swap Partition jedoch von Ubuntu mit verschlüsselt, wenn ein verschlüsseltes Home-Verzeichnis angelegt wird (auch wenn die Meinungen dazu auf askubuntu.com/ auseinander gehen).

Mit folgendem Befehl ist es möglich  zu testen ob die eigene Swap Partition verschlüsselt ist

sudo blkid | grep swap

sieht die Ausgabe so aus

/dev/mapper/cryptswap1: UUID="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" TYPE="swap"

(und nicht so:

/dev/sdax: UUID="xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" TYPE="swap")

ist die Swap Partition verschlüsselt. Sollte dies nicht der Fall sein, kann die Verschlüsselung mit

sudo ecryptfs-setup-swap

nachgeholt werden.

Am sichersten ist selbstverständlich die Komplettverschlüsselung des Systems, was beispielsweise während der Alternate Installation möglich ist. Hiermit erübrigen sich die Verschlüsselung von Home-Verzeichnis und Swap Partition. Allerdings wird hierdurch das System verlangsamt und das beim Bootvorgang einzugebende Passwort ist (im Normalfall) immer gleich, was beispielsweise bei Mehrbenutzer_innen Systemen unpraktisch sein kann.

Update Die Verschlüsselung der Swap Partition (nach der obigen Anleitung) hat zur Folge, dass das System nicht mehr in den Ruhezustand versetzt werden kann.

Das Ubuntu Homeverzeichnis Passwort kopieren

Ubuntu bietet die Möglichkeit schon bei der Installation, oder auch beim anlegen einer / eines neuen BenutzerIn das Homeverzeichnis zu verschlüsseln. Macht man von dieser Möglichkeit Gebrauch, geht nach dem ersten Neustart ein Dialog(Fenster) auf, welcher dass Passwort anzeigt, damit es für den Fall das der Computer oder die Installation kaputt gehen extern gespeichert ist, so dass die Daten wieder hergestellt werden können. (siehe Artikel encfs)

Wurde der Dialog verpasst, oder das Passwort im Nachhinein verlegt, kann es mit dem Befehl:

ecryptfs-unwrap-passphrase

auf der Konsole wieder aufgerufen werden.

Dropbox Daten verschlüsseln mit EncFS (aktualisiert)

Eine Möglichkeit die Daten, welche auf den Dropboxserver hochgeladen werden, zu verschlüsseln stellt “Encfs” dar. Gegenüber Truecrypt hat EncFS den Vorteil, dass nur der tatsächlich für die verschlüsselten Dateien benötigte Speicherplatz belegt wird und nicht schon im Vorfeld große (zu synchronisierende) Container angelegt werden müssen. Folgende Pakete müssen dazu installiert werden

encfs

und

cryptkeeper

als grafische Oberfläche.

Um ein verschlüsseltes Verzeichnis anzulegen wird ein “Terminal” geöffnet, der folgende Befehl legt das Verzeichnis (Dropbox_encfs) an.

encfs ~/Dropbox/.Dropbox_encfs ~/Dropbox_encfs

jetzt wird gefragt ob die noch nicht vorhandenen Verzeichnisse angelegt werden sollen

y

und

y

bestätigen das, wer sich nicht mit Verschlüsselungsgeschichten auskennt wählt dann den “Paranoia-Modus”

p

jetzt das Passwort noch zweimal eingeben und jeweils bestätigen und das verschlüsselte Verzeichnis ist angelegt und geöffnet.

Ist das erledigt wird “Crypkeeper” gestartet. “Anwendungen” -> “Systemwerkzeuge” -> “Cryptkeeper“. Im Panel erscheint ein kleines Icon cryptkeeper_icon, ein Linksklick öffnet die Optionen.

Hier wird “Importiere EncFS Ordner” gewählt und das Verzeichnis “.Dropbox_encfs” (die Datei ist versteckt deshalb <Strg>+<H>drücken um die versteckte(n) Datei(n) anzuzeigen) im Ordner “/home/BENUTZERINNENNAME/Dropbox” makiert.

Vor” drücken und es wird nach einem Ort gefragt wo der EncFS Ordner eingebunden werden soll. Hier wird das beispielsweise das “Home“-Verzeichnis gewählt (wichtig: nicht der Dropboxordner!) und ein Name angegeben “Dropbox_encfs” bietet sich an. Nocheinmal “Vor“.

Dann sollte das Verzeichnis erfolgreich in “Cryptkeeper” importiert worden sein.

Jetzt kann es über das Cryptkeeper Icon im Panel ein- und ausgehängt werden.