Kryptographische Dateisysteme

Achim D. Brucker
brucker@freiburg.linux.de


21. April 2000


Inhalt

Zusammenfassung:

Sollen private Daten (sicher) vor fremden Zugriffen geschützt werden, reichen die Zugriffsrechte des Dateisystems meist nicht mehr aus - hier bietet sich der Einsatz (starker) Kryptographie an. In diesem Artikel werden Methoden vorgestellt, die ein möglichst komfortables Arbeiten mit verschlüsselten Daten ermöglichen sollen. Da sich die Arbeitsweise für den Anwender nicht von dem Arbeteiten mit unverschlüsselten Programmen unterscheiden soll, werden diese Verfahren als kryptographische Dateisysteme bezeichnet.

Einführung

Kryptographische Dateisysteme stellen eine Schnittstelle zwischen dem Anwender und dem ,,normalen`` Dateisystem dar. Sie ermöglichen es, auf einfache Weise, Daten verschlüsselt zu sichern.

Gründe für kryptographischen Dateisystemen

  1. Diebstahlschutz (,,offline``)
  2. Schutz der Daten vor Eindringlingen mit root-Rechten
  3. ,,Erweiterte`` Zugriffsrechte
  4. verschlüsselter Netzwerkverkehr

Verschiedenen Implementierungen

Lösungen

Loopback Block device

Anlegen des leeren Dateisystems:
dd if=/dev/zero of=/etc/cryptfile bs=1k count=1000
Einrichten des loop-Devices:
losetup -e idea /dev/loop0 /etc/cryptfile
Datei-System anlegen:
mkfs -t ext2 /dev/loop0 100000
Abmelden des loop-Devices:
umount /dev/loop0
losetup -d /dev/loop0
Arbeiten mit den verschlüsselten Daten:
losetup -e serpent /dev/idea /etc/cryptfile
mount -t ext2 /dev/loop0 /mnt/crypt
Abmelden des Verzeichnisses:
umount /dev/loop0
losetup -d /dev/loop0
Im Verzeichnis /mnt/crypt kann mit den üblichen Befehlen zur Dateiverwaltung gearbeitet werden.

CFS

Das Verzeichnis crypted_data soll die verschlüsselten Daten enthalten. Der Schlüssel muss mindestens 16 Zeichen lang sein:
cmkdir crypted_data
Key:
Das Verzeichnis enthält nun einige interne Dateien:
fujikawa$ ls -la crypted_data
drwxr-xr-x    2 brucker  users        1024 Apr 21 12:52 ./
drwxr-xr-x    3 brucker  users        1024 Apr 21 12:51 ../
-rw-r--r--    1 brucker  users           8 Apr 21 12:51 ...
-rw-r--r--    1 brucker  users           1 Apr 21 12:51 ..c
-rw-r--r--    1 brucker  users          32 Apr 21 12:51 ..k
-rw-r--r--    1 brucker  users           7 Apr 21 12:51 ..s
Um mit den verschlüsselten Daten Arbeiten zu können, muss das Verzeichnis angemeldet werden:
cattach crypted_data brucker
Anschliesend kann im Verzeichnis /crypt/brucker mit den Daten gearbeitet werden. Dateien in diesem Verzeichnis können nicht von anderen Benutzern (auch nicht root) gelesen werden.
Abgemeldet wird das Verzeichnis mit:
cdettach brucker

TCFS

TCFS ist eine ,,Weiterentwicklung`` von CFS der Universität Salerno.

Laufzeitverhalten

Erkentnisse

Kryptographische Dateisysteme ermöglichen es auf einfache Art und Weise mit verschlüsselten Daten zu arbeiten. Sie können aber kein umfassenders Sicherheitskonzept ersetzen.

Referenzen