[StartPagina] [IndexVanTitels] [IndexVanWoorden

Uitbreiding nodig: Dit artikel is onvolledig en moet worden uitgebreid. Meer info...

Versleutelde 'Private' Map

Geschikt voor: Ubuntu, GNOME
Versie: 14.04 LTS

Inleiding

Persoonlijke gegevens van Ubuntu-gebruikers worden leesbaar opgeslagen. De bestanden zijn beveiligd tegen onbevoegd gebruik door toegangsrechten (rechtermuisknop op een map of bestand → Eigenschappen → Rechten) in te stellen en een inlogwachtwoord te gebruiken.

Deze beveiliging heeft 2 zwakke punten:

Ubuntu heeft de mogelijkheid om iedere gebruiker een eigen persoonlijke versleutelde map te geven met de naam 'Private'. De versleuteling wordt gedaan met behulp van eCryptfs.

De map 'Private' is een denkbeeldige map, de gegevens in deze map worden 'onder de motorkap' versleuteld opgeslagen in de verborgen map '.Private' (merk de punt op aan het begin van de mapnaam).

Nadeel van deze oplossing is dat gegevens die buiten de 'Private' map worden opgeslagen niet worden versleuteld.

Ubuntu biedt ook een oplossing door de schijf(partitie(s)) te versleutelen (LVM+LUKS encryptie). Om de computer te kunnen staren is dan een extra wachtwoord nodig.

Info (!) Meer informatie hierover in het artikel InstallatieVersleuteldeHardeSchijf

De schijf(partitie) versleutelen heeft ook nadelen:

Installatie

Installeer het softwarepakket ecryptfs-utils uit het Ubuntu Softwarecentrum of met een terminalopdracht:

sudo apt-get install ecryptfs-utils

Om de versleutelde 'Private' map te maken geeft iedere gebruiker zelf (dus zonder sudo) de volgende opdracht in een terminal:

ecryptfs-setup-private

Er wordt eerst gevraagd om het inlogwachtwoord en vervolgens om een wachtwoordzin. Als er geen wachtwoordzin wordt gegeven, wordt een wachtwoordzin gegenereerd.

generate1404.png

Belangrijk
Bewaar de wachtwoordzin goed op een veilige locatie. De wachtwoordzin kan nodig zijn om bij problemen de gegevens alsnog te kunnen lezen.

Deze opdracht heeft de map ~/Private aangemaakt. Log uit en opnieuw in om de bestanden in deze map versleuteld op te slaan.

Gebruik

Om versleuteld op te slaan kunnen deze in de map 'Private' map (~/Private) worden opgeslagen.

bestandsbeheer1404.png

Gegevens van toepassingen in de versleutelde map

Om toepassingen gebruik te laten maken van de versleutelde map kan gebruik worden gemaakt van een zogenaamde 'verwijzing' (link).

In onderstaand voorbeeld wordt de (verborgen) map '.evolution' versleuteld opgeslagen. Deze map bevat persoonlijke e-mailberichten en is een goede kandidaat om versleuteld op te slaan.

  1. Wees er zeker van dat het programma dat de gegevens gebruikt NIET actief is. Open een terminalvenster en geef de volgende opdracht in:
  2. Verplaats de map naar een submap van de map 'Private':

mv ~/.evolution ~/Private
  1. Maak een verwijzing naar de originele naam van de map:

ln -s ~/Private/.evolution ~/.evolution

Dezelfde methode kan ook gebruikt worden voor mappen van andere toepassingen, zoals bijvoorbeeld de map '.ssh' (ssh sleutels) of '.mozilla' (Firefox/SeaMonkey-gegevens).

Automatische aanmelding

Als gebruik wordt gemaakt van de 'Automatische aanmelding' ('Systeem' → 'Beheer' → 'Beveiliging') zal de versleutelde opslag NIET direct beschikbaar zijn. Hiervoor is bewust gekozen om zo de versleutelde gegevens te beschermen met een wachtwoord. De map 'Private' bevat nu een bestand met de naam 'Access Your Private Data'.

geen1404.png

Als op het bestand 'Access Your Private Data' wordt gedubbelklikt, wordt alsnog om het inlogwachtwoord gevraagd. Druk op de knop 'Herladen' en de versleutelde gegevens zijn beschikbaar.

Handmatig

In een uitzonderlijk geval kan het nodig zijn de versleutelde map 'handmatig' te koppelen. Dit kan bijvoorbeeld aan de orde zijn als het inlogwachtwoord is (of moet worden) gewijzigd door een beheerder of als het systeem is gestart vanaf een LiveCD, zoals in onderstaand voorbeeld:

ubuntu@ubuntu:~$ sudo mount /dev/sda1 /mnt
ubuntu@ubuntu:~$ sudo mount -o bind /dev /mnt/dev
ubuntu@ubuntu:~$ sudo mount -o bind /proc /mnt/proc
ubuntu@ubuntu:~$ sudo mount -o bind /sys /mnt/sys
ubuntu@ubuntu:~$ sudo chroot /mnt
root@ubuntu:/# su - naam
keyctl_search: Required key not available
Perhaps try the interactive 'ecryptfs-mount-private'
naam@ubuntu:~$ ecryptfs-mount-private
Enter your login passphrase:

Warning: Using default salt value (undefined in ~/.ecryptfsrc)
Inserted auth tok with sig [f8da57c575199ea8] into the user session keyring

ecryptfs-add-passphrase wachtwoordzin

Terughalen wachtwoordzin

De wachtwoordzin is met het inlog wachtwoord versleuteld opgeslagen in het bestand 'wrapped-passphrase'. Het is van belang deze wachtwoordzin goed en veilig te bewaren. Voor het geval de wachtwoordzin toch niet veilig is bewaard kan deze alsnog worden uitgelezen door gebruik te maken van het inlogwachtwoord.

Voor een '.Private' map met de opdracht:

ecryptfs-unwrap-passphrase ~/.ecryptfs/wrapped-passphrase

De 'Passphrase' vraag moet met het inlogwachtwoord worden beantwoord.

Waarschuwing
Als bestand 'wrapped-passphrase' verloren gaat EN de wachtwoordzin is NIET bekend dan is het NIET MOGELIJK de gegevens te ontcijferen!

Wissen

Om de 'Versleutelde Private Map' functionaliteit te wissen kunnen de volgende stappen worden gebruikt:

  1. Stel alle belangrijke gegevens uit de map 'Private' veilig in een andere map.
  2. Koppel de versleutelde map af met de opdracht:

ecryptfs-umount-private
  1. Maak de map 'Private' beschrijfbaar.

chmod 700 ~/Private
  1. Wis de betrokken mappen. Hierna zijn de versleutelde gegevens definitief gewist!

rm -rf ~/Private ~/.Private ~/.ecryptfs

Eventueel kunnen de software pakketten ook gewist worden:

sudo apt-get remove ecryptfs-utils libecryptfs0

Opmerkingen

Meer informatie


CC-BY-SA

CategoryOverig

Attached Files

 All files | Selected Files: delete move to page copy to page

2022-09-08 16:56