Hallo Rolf.
Post by Rolf LuciusIch verwende u.a. encfs dafür. Das ist zwar nicht mehr ganz aktuell, so
lange aber niemandem mehrere Versionen deiner verschlüsselten Daten in
die Hände fallen können, sollte es sicher sein.
Bezüglich EncFS gibt es Sicherheitsbedenken. Es wird glaube ich auch nicht
mehr aktiv gepflegt.
Die Plasma-Tresore aka Plasma Vault sind genau für diesen
Anwendungsbereich gedacht und verwenden im Hintergrund CryFS¹, das den
Vorteil hat, dass auch eine Verzeichnisstruktur nicht mehr herleitbar
ist². Wahlweise gibt es auch EncFS und gocryptfs.
[1] https://www.cryfs.org/
[2] https://www.cryfs.org/howitworks
Beim Installieren von EncFS als Paket kommt folgende Warnung:
-----------------------------------------------------------------------
Encfs-Sicherheitsinformation
Gemäß des Sicherheits-Audits durch Taylor Hornby (Defuse Security) ist die
derzeitige Implementierung von Encfs verwundbar oder potentiell für
mehrere Angriffsarten anfällig. Ein Angreifer mit Schreib-/Lesezugriff auf
verschlüsselte Daten könnte zum Beispiel die Komplexität der
Verschlüsselung für nachfolgend verschlüsselte Daten heruntersetzen, ohne
dass ein rechtmäßiger Benutzer dies bemerkt. Er könnte außerdem
Zeitanalysen verwenden, um daraus Informationen abzuleiten.
Bis diese Probleme behoben sind, sollte Encfs nicht in Szenarien, in denen
derartige Angriffe möglich sind, als sicherer Ort für sensible Daten
angesehen werden.
-----------------------------------------------------------------------
Plasma Vault warnt ähnlich, ist jedoch in Bezug auf Empfehlungen etwas
konkreter und enthält einen Link auf den Audit:
-----------------------------------------------------------------------
Sicherheitshinweis: Gemäß eines Sicherheitsaudit von Taylor Hornby (Defuse
Security), ist die aktuelle Implementierung von Encfs anfällig oder
potentiell anfällig für verschiedene Arten von Angriffen. Zum Beispiel kann
ein Angreifer mit Lese-/Schreibrechten zu den verschlüsselten Daten den
Verschlüsselungsgrad herabsetzen ohne dass dies durch einen legitimierten
Benutzer bemerkt werden würde. Informationen können mit Timing-Analysen
ebenfalls abgeleitet werden.
Dies bedeutet, Sie sollten Ihre verschlüsselten Daten nicht mit Cloud-
Diensten abgleichen, oder in anderen Szenarien einsetzen, wo ein Angreifer
regelmäßigen Zugriff auf die verschlüsselten Daten hat.
Siehe defuse.ca/audits/encfs.htm für weitere Informationen.
-----------------------------------------------------------------------
Der Link funktioniert. Ich hab mir aber nicht angeschaut, wie gut das in
der Praxis tatsächlich angreifbar ist. An die Empfehlung die
verschlüsselten Daten nicht auf Cloud-Diensten zu speichern würde ich mich
jedoch aus Vorsicht heraus halten.
LUKS für Daten und Auslagerungsspeicher dürfte immer noch den besten
Schutz bieten. CryFS mag aber für einzelne nur bei Bedarf zu
entschlüsselnde Verzeichnisse eine gute Alternative sein. Angeblich würden
eine Master-Arbeit und ein wissenschaftliches Papier die Sicherheit
nachweisen². Ich bin da nicht tief genug drin in der Materie, um das zu
beurteilen.
Ciao,
--
Martin