Ubuntu: Dropbox Inhalte verschlüsseln

Dropbox ist wirklich eine sehr feine Sache. Leider bleibt immer ein ungutes Gefühl wenn man sensible Daten auf "fremden" Server ablegt. Hier bietet es sich an, die Daten zusätzlich zu verschlüsseln. Eine Möglichkeit ist die Verschlüsselung mit encfs. Damit kann man auch einige Dateien unverschlüsselt lassen (und diese zum Beispiel auf einem Tablet lesen) und andere Daten werden verschlüsselt.

Der Aufbau bei encfs ist so: Ein Verzeichnis in unserem Dropbox Folder wird verschlüsselt und auf ein anderes Schattenverzeichnis gemapt. Änderungen werden immer auf dem entschlüsselten Schattenverzeichnis gemacht und encfs sorgt dafür das die Daten auf dem verschlüsselten Verzeichnis abgelegt werden. Somit sind auf dem Dropbox Server nur verschlüsselte Dateien. Alle Rechner müssen dann encfs installiert haben um diese verschlüsselten Dateien zu entschlüsseln. Am Ende sieht das dann so aus. Rechts das "Arbeits-" oder Shadowverzeichniss - Links das Verzeichnis das nach Dropbox synchronisiert wird.

201107-dropbox-verschluesseln1.png

So geht die Installation von encfs. Ich habe einfach durch "p" die Standardwerte genommen

$ sudo apt-get install encfs
$ encfs /home/hbauer/Daten/Dropbox/.Privat-Dropbox /home/hbauer/Daten/Privat-Dropbox
The directory "/home/hbauer/Daten/Dropbox/.Privat-Dropbox/" does not exist. Should it be created? (y,n) y
The directory "/home/hbauer/Daten/Privat-Dropbox" does not exist. Should it be created? (y,n) y
Creating new encrypted volume.
Please choose from one of the following options:
 enter "x" for expert configuration mode,
 enter "p" for pre-configured paranoia mode,
 anything else, or an empty line will select standard mode.
?> p

Paranoia configuration selected.

Configuration finished.  The filesystem to be created has
the following properties:
Filesystem cipher: "ssl/aes", version 2:2:1
Filename encoding: "nameio/block", version 3:0:1
Key Size: 256 bits
Block Size: 1024 bytes, including 8 byte MAC header
Each file contains 8 byte header with unique IV data.
Filenames encoded using IV chaining mode.
File data IV is chained to filename IV.
File holes passed through to ciphertext.

-------------------------- WARNING --------------------------
The external initialization-vector chaining option has been
enabled.  This option disables the use of hard links on the
filesystem. Without hard links, some programs may not work.
The programs 'mutt' and 'procmail' are known to fail.  For
more information, please see the encfs mailing list.
If you would like to choose another configuration setting,
please press CTRL-C now to abort and start over.

Now you will need to enter a password for your filesystem.
You will need to remember this password, as there is absolutely
no recovery mechanism.  However, the password can be changed
later using encfsctl.

New Encfs Password:
Verify Encfs Password:

Dann ein einfacher Test. Erstelle eine Datei in Privat-Dropbox. In dem eigentlichen Dropboxfolder wird die Datei verschlüsselt abgelegt.

Jetzt müssen wir noch sicherstellen das die Verbindung zwischen dem Privaten Verzeichnis und dem verschlüsseltet Dropboxverzeichnis bei jedem Start wieder hergestellt wird.

sudo apt-get install cryptkeeper

Wenn man cryptkeeper dann aufruft kommt man mit folgenden Angaben weiter (Die Verzeichnisangaben bei mir sind nicht die Standardwerte)

201107-dropbox-verschluesseln2.png201107-dropbox-verschluesseln3.pngJetzt muss man noch dafür sorgen das Cryptkeeper beim Start automatisch gestartet wird201107-dropbox-verschluesseln4.png

Die Installation und die Konfiguration der Schritte wiederhohlt man dann auf allen Rechnern auf denen man die Daten lesen möchte.

Zwei Dinge muß ich noch verbessern

  • Ablösung von cryptkeeper durch libpam-encfs.
  • Einbindung von Mac OSX