Gocryptfs Howto


Von Frank


Wer auf Linux ein Verzeichnis mit besonders vertraulichen Daten hat, sollte es verschlüsseln. Das kann man ab jetzt auf trash.net komfortabel mit gocryptfs machen.

Dazu verwendet gocryptfs eine transparente Verschlüsselung und verschlüsselt Dateien/Verzeichnisse inklusive der Dateinamen.

Der User und auch Anwendungen können wie bisher auf den üblichen Dateipfad und Directories zugreifen. Alles wird von Modulen mit den notwendigen Rechten automatisch erledigt, ohne dass der User dazu root oder sudo Rechte benötigt.

Eine Verschlüsselung ist aber CPU intensiv und ein Verzeichnis auf Trash das sehr viele Schreib und Lesezugriffe hat, ist dazu ungeeignet! Bitte Rücksicht nehmen auf alle User und mit Bedacht die Daten wählen!

Anleitung

Weil unsere User-Home Verzeichnisse über NFS auf zwei Systemen syncrhonisiert werden, und sich Gocryptfs mit NFS nicht verträgt, musst du dich zuerst bei techstaff melden, damit dir ein 2. Home unter /usr/home angelegt wird.

Im 2. Home kannst du dann 2 Verzeichnisse anlegen (sind nur Beispiel-Namen):

cd /usr/home/<dein Login>
mkdir -p encrypted decrypted
encrypted ist das Verzeichnis in dem die verschlüsselten Dateien sind
decrypted ist das Verzeichnis in das, wenn alles angelegt ist, man die unverschlüsselten Dateien reinkopiert

Das danach verschlüsselte Verzeichnis vorbereiten mit:

gocryptfs -init /usr/home/<dein Login>/encrypted

Choose a password for protecting your files.
Password: 
Repeat:

Your master key is
    ....
    ....

If the gocryptfs.conf file becomes corrupted or you ever forget your password,
there is only one hope for recovery: The master key. Print it to a piece of
paper and store it in a drawer. This message is only printed once.
The gocryptfs filesystem has been created successfully.

WICHTIG: Den Master Key unbedingt in einem Password-Safe speichern oder ausdrucken. Wenn man das Password und den Master Key vergisst, können die Daten nicht wiederhergestellt werden! Selbst die Admins von trash.net haben keinen Zugriff auf die verschlüsselten Daten und können nicht helfen!

Verzeichnis entschlüsseln

cd /usr/home/<dein Login>
gocryptfs encrypted decrypted
Dann kann man Dateien nach decrypted kopieren und die werden automatisch im Verzeichnis encrypted verschlüsselt.

Zum Beenden (Daten liegen dann nur noch in verschlüsselter Form vor und sind nicht mehr lesbar)

fusermount -u decrypted

HINWEIS: Um Fehler zu vermeiden, immer vollen Pfad angeben beim fusermount -u /usr/home/<dein Login>/decrypted