Versleutelde Private map

[testcees]

Persoonlijke gegevens van Ubuntu-gebruikers worden leesbaar opgeslagen. De bestanden zijn (aleen) beveiligd tegen onbevoegd gebruik door toegangsrechten (rechtermuisknop op een map of bestand → Eigenschappen → Rechten) in te stellen en een inlogwachtwoord te gebruiken.
 * Standaard zijn persoonlijke gegevens door andere gebruikers van de (dezelfde) Ubuntu computer (niet de gastsessie) te lezen (niet te wijzigen). Wees daarvan bewust bij opslaan van vertrouwelijke gegevens of stel andere toegangsrechten in.

Deze beveiliging heeft 2 zwakke punten:
 * In de 'recovery mode' kan zonder wachtwoord worden ingelogd.
 * Als de schijf in een andere computer wordt geplaatst kunnen de gegevens zonder wachtwoordworden gelezen. Denk hierbij aan de harde schijf van een gestolen laptop.

Ubuntu heeft de mogelijkheid een 'Private' map te maken. De gegevens in deze map worden automagisch versleuteld opgeslagen. Een hele mooie optie.

Als je gebruik maakt van een inlogwachtwoord is het zo in te regelen dat je er niets van merkt. De 'Private' map wordt automagisch versleuteld opgeslagen.

Het bestaat als sinds Ubuntu 8.04 en vanaf 9.10 kon tijdens installatie worden gekozen om de hele thuismap van de gebruiker versleuteld op te slaan. Vanaf 11.10 (^?) is deze optie weer vervangen door een optie de gehele schijf te versleutelen.

De wiki pagina voor het gebruik van een 'Private' map was van de wiki “verdwenen” omdat dit geen installatieoptie meer was. Geheel onterecht want deze functie kan ook zelf  worden geïnstalleerd.

Vandaar dat de pagina weer is toegevoegd aan de pagina Veiligheid en nagelopen voor 14.04 LTS (de afbeeldingen zijn nog van een vorige Ubuntu maar feitelijk niet anders). Iemand nog aanvullingen of verbeteringen?

http://wiki.ubuntu-nl.org/community/VersleuteldePrivateMap

[markba]

Heb dit ooit eens op een laptop toegepast. Dat was nav diefstal van 2 laptops in korte tijd achter elkaar. In het kader van als het kalf verdronken is......  ga je dan pas goed nadenken over hoe je gegevens beschermd zijn (lees: niet). En met name laptops zijn 'gevoelig' voor ongeautoriseerde fysieke toegang heb ik gemerkt. 

Op zich werkte de versleuteling goed, ware het niet dat de accuduur zo ongeveer halveerde. Wat op zich niet zo heel raar was omdat de machine/processor continu bezig was om te ontsleutelen (bij openen van bestanden) en weer versleutelen (bij het opslaan). Om die reden (de verminderde accuduur) zag ik er verder vanaf.

Mijn ervaring is overigens wel van heel wat jaar geleden, dus mss is er het eea verbeterd. Maar dit is wel een punt van aandacht, dus zou het ook in de wiki opgenomen moeten worden (ivm verwachtingsmanagement......).

[testcees]

Hier gebruik ik het ook op een laptop maar ervaar niet dat de accu sneller leeg is. Natuurlijk kost versleutelen en ontsleutelen energie maar juist met de Private map oplossing verwacht ik dat dit minder is dan de hele laptop versleutelen (installatie-optie in 14.04 LTS).

Het zal er ook van afhangen welke bestanden je in de Private map stopt. Omdat je ervaring van een paar jaar geleden is, heb je misschien de gehele home map versleuteld (sudo adduser--encrypt-home) zoals tijdens installatie van Ubuntu 9.10 mogelijk was?

Meer gebruikers met de ervaring dat de accuduur duidelijk korter wordt (met ecryptfs-setup-private)?

[MKe]

Wat is het voordeel boven encfs?  Ik gebruik die laatste nu met dropbox en copy.com. Is encryptfs ook crossplatform (maw werkt het ook op windows)?

[wowo]

Zelf maak ik ook al lange tijd gebruik van de versleutelde private map optie. Hierin zet ik alleen de echte privé zaken zoals scans van belangrijke documenten.

Normaal blijft de private map als je hem geopend hebtzichtbaar zoalang de computer niet afgesloten wordt.

Ik vind dat wel een probleem omdat ik na gebruik van de private map deze weer op slot wil hebben.

Dat heb ik opgelost door een launcher in mijn persoonlijke map te maken met als naam:
Lock-Your-Private-Data
en als opdracht:
/usr/bin/ecryptfs-umount-private
Verder heb ik een leuk slotje als pictogram ingesteld.

[Paul Matthijsse]

Half off-topic misschien. Als er enkele sectors op je schijf onbruikbaar worden heb je kans dat in één keer alle gegevens niet meer benaderbaar zijn vanwege die versleuteling. Ik heb dat ooit eens gehad met een LVM-systeem (op Fedora nog), dat is standaard ook versleuteld (en RAID ook als ik het me goed herinner). Op een steeds vaker haperende schijf (duidt dus ook einde levensduur, heb ik toen geleerd) waren op een gegeven moment alle data onleesbaar. Sindsdien maatregelen genomen om zoiets nooit meer mee te hoeven maken. Ik versleutel niet meer, ook omdat versleuteling voor mij geen prioriteit heeft.

[testcees]

Wat is het voordeel boven encfs?  Ik gebruik die laatste nu met dropbox en copy.com.

Kan ook. Voor Ubuntu One gebruikte ik ECryptfs maar dat werkte inderdaad niet in Windows. Van encfs is een Windows port (“encfs4win”). Er zijn meer voor- en nadelen.

Waarschijnlijk is ECryptfs sneller (en zuiniger) omdat het in de Linux Kernel  (vanaf 2.6.19) zit. Encfs is gebaseerd op FUSE.

Normaal blijft de private map als je hem geopend hebtzichtbaar zoalang de computer niet afgesloten wordt.

Half waar, de Private map blijft open zolang je bent aangemeld. Bij het afmelden wordt de Private map automatisch ontkoppeld. Handig als er meerdere gebruikers (met sudo beheerrechten) van de computer zijn.

Handmatig aan- en afkoppelen met ecryptfs-mount-private en ecryptfs-umount-private is ook een mogelijkheid, zeker als je de Private map maar weinig gebruikt (leuk icoon ). 

Als er enkele sectors op je schijf onbruikbaar worden heb je kans dat in één keer alle gegevens niet meer benaderbaar zijn vanwege die versleuteling.

Nee, die kans is er (dan) altijd en het is juist een voordeel dat ECryptfs per bestand versleuteld in tegenstelling tot de hele partitie(s) versleutelen. Het originele bestandssysteem (bijvoorbeeld ext4) blijft in gebruik inclusief bijbehorende reparatietools.

http://wiki.ubuntu-nl.org/community/VersleuteldePrivateMap

[Paul Matthijsse]

Nee, die kans is er (dan) altijd en het is juist een voordeel dat ECryptfs per bestand versleuteld in tegenstelling tot de hele partitie(s) versleutelen. Het originele bestandssysteem (bijvoorbeeld ext4) blijft in gebruik inclusief bijbehorende reparatietools.

Ah, dat wist ik niet, deze aanpak lijkt beter, vooruitgang... 

[testcees]

De wiki pagina voor het gebruik van een 'Private' map was van de wiki “verdwenen” omdat dit geen installatieoptie meer was. Geheel onterecht want deze functie kan ook zelf  worden geïnstalleerd.

Ook geheel onjuist omdat dit wel een installatieoptie is.  In het scherm waarop de gebruikersnaam en wachtwoord worden ingevuld kan worden gekozen de persoonlijke map te versleutelen.

Dit zal dan met ecryptfs worden gedaan. De persoonlijke map wordt dan geheel versleuteld en "verstopt" in de verborgen .Private map.

Het kan dan van belang zijn de (gegenereerde) wachtwoordzin te noteren (en op een veilige locatie te noteren).
DirectDoen → Wachtwoordzin

[maikelonline]

Wat is de meerwaarde hiervan t.a.v. een dm-crypt loopbackdevice? Werkt perfect.