System verschlüsseln unter Ubuntu komplett oder nur Home?

[nightpad]

Hallo.

Nachdem ich mir jetzt mal nach intensiven Tests in einer VM die aktuelle 16.04. auf mein Thinkpad packen will, stellt sich für mich die Frage nach der Verschlüsselung. Vollständig oder nur Home?
Wie haltet Ihr das? Habt Ihr Euer System verschlüsselt? Wenn ja, vollständig oder nur Euren Benutzerordner.

Hab schon bemerkt, daß eine Vollverschlüsselung einen Vorteil (nur am Anfang Passworteingaben notwendig; Hibernation klappt quasi sofort tadellos, wenn aktiviert) hat. Dafür einen Riesennachteil:
Ich sichere mein System zus. zum normalen Backup ab und an als Image mit Image for Linux, um es bei einem Crash komplett schnell wiederherstellen zu können. Bei einem System, bei dem nur der Home-Ordner verschlüsselt ist, wird so ein Image sehr klein (ca. 10GB) und ist ratzfatz in Minuten erstellt und auch wieder hergestellt.
Wenn ich nun z.B. eine 128GB SSD vollverschlüsselt habe und dann image, macht er ein Sektorbasierendes Image wegen dem Container und das ist dann halt 128GB groß - egal, wieviel darin überhaupt belegt ist.
Es dauert also wesentlich länger, ist wesentlich größer und kann dann z.B. nicht mehr auf einen Stick.

Wie handhabt Ihr das?

Habt Ihr vielleicht aus Eurem System und Euren Erfahrungen Infos für mich?

Ich danke Euch.

Viele Grüße aus Franken
nightwing

 

[ds71]

Was alles verschlüsselt werden sollte, hängt ja von deinem persönlichen Empfinden ab. Ich halte es so, dass ich mein Benutzerverzeichnis verschlüssele und die Backups mit dem von Ubuntu mitgelieferten Backup erstelle. Änderungen am System passieren ja überwiegend unter /etc, von daher könnte man das Verzeichnis auch noch mitsichern. Wenn ich mir überlege, wie schnell ein Ubuntu - gerade bei einer SSD - installiert ist, würde ich dem Image-Gedanken nicht soviel Gewicht geben. Wichtige Daten werden verschlüsselt über eine Cloud gesynct, ein Restore sieht dann quasi so aus: Ubuntu installieren, Cloud-Sync-Tool installieren, syncen, während der sync läuft wird Mail (IMAP) wieder eingerichtet, fertig.

 

[Schwartz]

Habe nur /home verschlüsselt. Einfach aus dem Grund, dass ich die Notwendigkeit nicht sehe, Programme von Grund auf zu verschlüsseln. Verbrennt nur extra CPU-Zyklen ohne irgendeinen Nutzen. Die genannten Vorteile hatte ich übrigens auch bei der Verschlüsselung vom /home Verzeichnis von Anfang an. Es wird nur beim Booten einmal nach dem Passwort gefragt, und Hibernation klappt auch ohne Probleme.

Der ganze Browserkram, Banking etc. ist in /home, einzig Sachen wie WLAN-Passwörter und dergleichen könnten wohl noch ausserhalb liegen. Da es beim Verschlüsseln aber um Diebstahlsicherung geht und sonst nix, sehe ich kein Problem darin dem Dieb die Hoffnung zu geben, mal vorbeizukommen und mich persönlich kennenzulernen.

 

[Barbarossa91]

Ich kann Schwartz nur zustimmen - aus den genannten Gründen hab ich auf meinem Laptop nur /home verschlüsselt - falls mir das Ding mal geklaut werden sollte reicht das völlig aus. Außerdem hat das den Vorteil, dass ich bei einer Neuinstallation /home einfach so übernehmen kann, ohne ein Backup einspielen zu müssen - das geht bei einer Vollverschlüsselung so weit ich weiß nicht (oder zumindest nicht so leicht).
Allerdings war ich bisher zu faul, meine Backup-Platte (mittels Back in Time verwendet) zu verschlüsseln, das sollte ich vllt mal machen...

 

[samba]

Irgendwie finde ich den Zusatz "Ist alles nur Panikmache." bei der 1. Antwort-Option fehl am Platze. Es gibt auch andere Gründe. Ich habe mein Linux nicht verschlüsselt, aber aus einem ganz anderen Grund: Sorgen um Datenverlust. Ich mache regelmäßig Backups von meinem Rechner. Automatisiert, wenn mein Rechner im Dock ist. Die Verschlüsselung macht für mich nur Sinn, wenn die Backups genauso verschlüsselt werden. Ich habe keine Lösung dafür gefunden. Des weiteren arbeite ich mit Dual Boot und greife selten, aber es kommt vor auch auf Windows zurück. Ich habe keine Lösung gefunden, die es mir erlaubt, unter Linux zu verschlüsseln, aber weiter unter Windows auf die Daten zugreifen zu können. Darauf könnte ich noch verzichten, aber die eine Verschlüsselungslösung, die automatisiert Backups erstellt, habe ich noch nicht gefunden. Darüber hinaus scheint mir (man möge mich korrigieren) das Risiko eines Datenverlustes in einer verschlüsselten Umgebung besonders hoch. Wenn ich es richtig verstanden habe, werden die verschlüsselten Daten in einer Container-Datei gespeichert. Sprich, wenn der Container beschädigt ist, habe ich gleich vollständigen Datenverlust oder habe ich da etwas falsch verstanden?
Was noch zusätzlich hinzukommt ist das KDE / Ubuntu immer mal wieder Phasen der Instabilität hat. Ich bin da bisher ohne Datenverlust davon gekommen. Wenn da ständig verschlüsselte Container geschrieben werden, befürchte ich, dass dies nicht so bleibt.

 

[fishmac]

Habe nur /home verschlüsselt. Einfach aus dem Grund, dass ich die Notwendigkeit nicht sehe, Programme von Grund auf zu verschlüsseln. Verbrennt nur extra CPU-Zyklen ohne irgendeinen Nutzen. Die genannten Vorteile hatte ich übrigens auch bei der Verschlüsselung vom /home Verzeichnis von Anfang an. Es wird nur beim Booten einmal nach dem Passwort gefragt, und Hibernation klappt auch ohne Probleme.

Themen wie keylogger, UEFI, TPM wurden in der Computer-Bild wohl noch nicht behandelt?

Der ganze Browserkram, Banking etc. ist in /home, einzig Sachen wie WLAN-Passwörter und dergleichen könnten wohl noch ausserhalb liegen. Da es beim Verschlüsseln aber um Diebstahlsicherung geht und sonst nix, sehe ich kein Problem darin dem Dieb die Hoffnung zu geben, mal vorbeizukommen und mich persönlich kennenzulernen.

Da WLAN im Gebäuden etwa 50m weit reicht, nehme ich mal an, Du wohnst auf der Southfork-Ranch, so dass der Dieb auf Dein (streng bewachtes) Grundstück muss, um sich Zugang zu Deinem WLAN zu verschaffen?

VPN hast Du nicht eingericht weil das Thema erst in dem demnächst erscheinen Sonderheft von Computer-Bild erklärt wird?

 

[Schwartz]

Ich nehme deine freundliche Art mal als Aufforderung, hier keinen Dialog zu starten. Nachher muss ich als Bild-Leser noch erklären, warum Keylogger, UEFI und TPM mit Festplattenverschlüsselung nichts zu tun haben und dadurch auch nicht entschärft werden können.

 

[fishmac]

Ich nehme deine freundliche Art mal als Aufforderung, hier keinen Dialog zu starten. Nachher muss ich als Bild-Leser noch erklären, warum Keylogger, UEFI und TPM mit Festplattenverschlüsselung nichts zu tun haben und dadurch auch nicht entschärft werden können.

Erzähl mehr über das Interface, welches Du zur Eingabe des Schlüssels benutzt... und wo Du schon dabei bist: Wie verhinderst oder zumindest erkennst Du, dass der Code mit dem Du auf den verschlüsselten Teil der Platte zugreifst, nicht frisiert wurde?

 

[Barbarossa91]

@fishmac
Das Problem einer möglichen UEFI-Manipulation hast du aber auch bei einer Vollverschlüsselung mit LUKS, und eine Manipulation der Codebasis wäre doch durch eine Malware-Infektion möglich, weil im laufenden Betrieb ja genauso Zugriff auf Systemdateien besteht. Und gegen sowas wie der Angriff auf die LinuxMint-Images bringt dir Vollverschlüsselung auch nix...

Was ich damit sagen will: es kommt einfach auf das Bedrohungsszenario an, und nicht jeder sieht sich der akuten Gefahr eines gezielten Angriffes auf seinen Rechner in Form von UEFI/TPM-/Firmware-Manipulation usw. ausgesetzt; in der freien Wildbahn ist sowas ja auch noch nicht so häufig unter Linux vorgekommen, soweit ich weiß.
Und zu guter Letzt: der Ton macht die Musik... ;-)

 

[MartinMenke]

Ich fürchte mich vor dem Verlust meiner Daten, wenn ich verschlüssele, denn dann müsste ich ja auch die Backups verschlüsseln. Wenn man das Passwort vergisst ist alles weg. Der Zugriff Fremder auf die Daten ist für mich dagegen weniger erschreckend.

 

[cyberjonny]

Ich fürchte mich vor dem Verlust meiner Daten, wenn ich verschlüssele, denn dann müsste ich ja auch die Backups verschlüsseln. Wenn man das Passwort vergisst ist alles weg. Der Zugriff Fremder auf die Daten ist für mich dagegen weniger erschreckend.

Diese Argumentation erschließt sich mir nun überhaupt nicht, zumal das eine mit dem anderen nichts zu tun hat. Verschlüsselung != Backup; Backup != Verschlüsselung.