Verschlüsselung von Schülerdaten auf dem eigenem Rechner mit EncFs

Ich habe als Linux­er, Apple- und Goo­gle­miss­trau­en­der end­lich mit EncFs einen Weg gefun­den, Daten von Schü­le­rin­nen und Schü­lern auf mei­nem Sys­tem so zu ver­schlüs­seln, dass auch Aspek­te des tech­ni­schen Daten­schut­zes gewahrt sind. EncFs arbei­tet datei­ba­siert, d.h. die ein­zel­ne Datei wird ver­schlüs­selt, sodass auch übli­che Linux-Back­up­kon­zep­te (etwa rsync) hier grei­fen. Das ist zwar nicht ganz so per­for­mant, wie eine con­tai­ner- oder volu­men­ba­sier­te Lösung, jedoch ist bei Bit­feh­lern nicht gleich das gan­ze Volu­me gefährdet.

Wiki­pe­dia nennt fol­gen­de Vor- und Nach­tei­le von EncFs:

Auf­grund sei­ner datei­wei­sen Ver­schlüs­se­lung weist EncFS eini­ge Vor­tei­le gegen­über ande­ren Kryp­to­da­tei­sys­te­men auf:

  • Es belegt kei­ne fes­te Grö­ße auf dem Daten­trä­ger. Es wird nur der Platz belegt, der tat­säch­lich für die ver­schlüs­sel­ten Datei­en benö­tigt wird. Daten kön­nen in EncFS gespei­chert wer­den, bis das Datei­sys­tem, in dem es sich befin­det, voll ist.
  • Tei­le des über EncFS-ver­schlüs­sel­ten Datei­sys­tems kön­nen auf ver­schie­de­nen Daten­trä­gern abge­legt sein. Zum Bei­spiel kann ein Ord­ner im (ver­schlüs­sel­ten) Quell­ver­zeich­nis per NFS ein­ge­hängt und ein wei­te­rer lokal vor­han­den sein.
  • Daten­si­che­rungs­pro­gram­me kön­nen gezielt die ein­zel­nen ver­än­der­ten ver­schlüs­sel­ten Datei­en sichern, die sich in der Zwi­schen­zeit geän­dert haben. Es muss nicht jedes Mal die gesam­te Par­ti­ti­on gesi­chert wer­den, wie es bei ver­schlüs­sel­ten Par­ti­tio­nen der Fall ist.

Auf­grund die­ses Ansat­zes erge­ben sich jedoch auch eini­ge Nachteile:

  • Per EncFS abge­spei­cher­te Daten wei­sen die­sel­ben Beschrän­kun­gen auf, wie das Datei­sys­tem, in dem der Quell­ord­ner liegt.
  • Eine Frag­men­tie­rung der ver­schlüs­sel­ten Daten führt zu einer Daten­frag­men­tie­rung im Quellverzeichnis.
  • Die Rech­te­ver­wal­tung wird nicht neu imple­men­tiert, somit kann jeder die Anzahl der Datei­en, ihre Zugriffs­rech­te, Grö­ße und Län­ge des Datei­na­mens (der Datei­na­me sel­ber wird jedoch mit­ver­schlüs­selt) und das Datum der letz­ten Ände­rung sehen.

Quel­le: http://de.wikipedia.org/wiki/EncFS#Vor-_und_Nachteile

Ich ver­lie­re etwas Kom­fort, was ich aber gar nicht ein­mal so schlecht fin­de: Will ich auf mei­ne ver­schlüs­sel­ten Datei­en zugrei­fen, muss ich zuvor noch ein klei­nes Script aus­füh­ren, nähe­res im Ubun­tu-Wiki.

So blei­ben die Datei­en auch im Betrieb ver­schlüs­selt, wenn ich sie nicht benö­ti­ge. Sind die Datei­en entschlüs­selt, so habe ich ein­fach ein Ver­zeich­nis im Datei­baum, in das ich ganz nor­mal spei­chern kann. Sind die Datei­en verschlüs­selt, ist die­ses Ver­zeich­nis schlicht leer. Sie lie­gen eigent­lich in einem ver­steck­ten Ver­zeich­nis – es beginnt mit einem Punkt und wird so in Linux­fi­le­ma­na­gern meist nicht ange­zeigt. Es lässt sich aber zugäng­lich machen – nur lie­gen dar­in eben nur ver­schlüs­sel­te Datei­en, die frei­lich über Meta­da­ten wie Name, letz­tes Zugriff­da­tum, Besit­zer etc. etwas von sich preis­ge­ben – nur an die Inhal­te der Datei­en kommt man halt nicht. EncFs gibt es auch für Win­dows – es kann dort aber nur unter Schmer­zen instal­liert werden.

Der externe VGA-Ausgang…

Nach dem letz­ten K®ampf mit mei­nem Note­book und Win­dows war ich bis zum letz­ten Don­ners­tag sehr glück­lich mit mei­nem Ubun­tu Jaun­ty. Es frisst dank den gstrea­mer-Codec­pa­ke­ten „ugly und bad“ inner­halb von Open­Of­fice nahe­zu jedes Video und Audio­for­mat, sodass man im Gegen­satz zu Klein­weich Fens­ter nun gut Prä­sen­ta­tio­nen gestal­ten kann – so dach­te ich.

1. Plei­te:

Der für die Prä­sen­ta­ti­on ange­schlos­se­ne Bea­mer wur­de nur gefun­den, wenn er bereits beim Boot­pro­zess mit am exter­nen VGA-Aus­gang des Note­books hing. Nahm man das Bea­mer­ka­bel ein­mal ab und steck­te es dann wie­der dar­auf, war es aus mit der Syn­chro­ni­sa­ti­on – bis zum nächs­ten Reboot.

Die Tas­ten zum Umschal­ten der Moni­tor­aus­ga­be funk­tio­nier­ten unter gdm erst gar nicht – mit Win­dows ging das tade­los in der gewohn­ten Art und Wei­se: 1x Fn+F5 => LCD dun­kel, Bea­mer hell / 2x Fn+F5 => LCD und Bea­mer hell / 3x Fn+F5 => LCD hell, Bea­mer dunkel.

Unter Ubun­tu Jaun­ty (gdm): nix – kei­ne Reak­ti­on. Nun gut – damit kommt man not­falls noch klar, indem man Bea­mer und Note­book eben gemein­sam hoch­fährt und bis zur Prä­sen­ta­ti­on war­tet. Nase­rümp­fen von den Inter­face­lern „Und das soll’n Betriebs­sys­tem sein?“ – das muss man dann durch.

2. Plei­te:

Vide­os spiel­ten zwar wun­der­bar auf dem LCD – via Bea­mer gab es nur eine schwar­ze Flä­che zu sehen.

Vie­le inne­re Flü­che und Zwei­fel spä­ter dann die Kampf­an­sa­ge: Das muss doch gehen. Natür­lich ging es auch. Am ein­fachs­ten ließ sich die 2. Plei­te lösen:

gstrea­mer-pro­per­ties

… auf der Kon­so­le getippt und dann die Video­aus­ga­be von „auto­ma­tisch“ auf „X11“ umge­stellt – und alles war hier schon­mal gut.

Und der Rest ward peinlich…

Mein Note­book ist ein gebrauch­tes Busi­ness­note­book mit ein­ge­bau­ter, ech­ter Dual­head-Gra­fik­kar­te, d.h. da sit­zen tat­säch­lich zwei getrenn­te Gra­fik­pro­zes­so­ren drin. Das Bios schal­tet wäh­rend des Boo­tens das glei­che Bild auf bei­de Aus­gän­ge – soweit zu The­ma „es funk­tio­nier­te nach dem Booten“.

Wei­ter­le­sen

Kleinweich Fenster

Ich habe für mich ein Note­book mit „Klein­weich Fens­ter Erleb­nis Pro­fes­sio­nell“ erwor­ben. Dar­auf soll Lern­soft­ware lau­fen – betriebs­sys­tem­un­ab­hän­gig pro­du­ziert ja kaum ein Ver­lag. Es ist ein gutes gebrauch­tes Busi­ness-Note­book mit einem Pen­ti­um 4 mobi­le (2Ghz)  und 512MB RAM. Ich bin der Mei­nung, dass jedes Betriebs­sys­tem sei­ne Berech­ti­gung, sei­ne Vor­zü­ge und sei­nen Platz hat. Ich weiß aber jetzt, dass die­ses Betriebs­sys­tem nicht zu mir passt.

Eigent­lich woll­te ich an die­sem Abend nur mal eben aus­pro­bie­ren, ob Open­Of­fice die unter Ubun­tu Intr­epid erstell­te Prä­sen­ta­ti­on mit Vide­os und ein­ge­bet­te­ten Objek­ten auch unter Win­dows frisst. Dazu kam es nicht.

Erst­mal habe ich das Note­book ein­ge­schal­tet. Nach 30s (nun gut, es ist nicht das neus­te Modell) konn­te ich mich anmel­den. Der Sys­tem­klang erscholl, die Arbeits­flä­che bau­te sich auf. Schön. Ooops – Fest­plat­ten­ge­rat­ter. Ach­ja – der Viren­scan­ner. Oh – Win­dows­up­dates auch noch dazu. 10 Minu­ten spä­ter ver­stumm­te die Fest­plat­te. Oh – ein Neu­start ist erfor­der­lich. Wäh­rend des Her­un­ter­fah­rens wer­den noch­mals Updates instal­liert. 5 Minu­ten Fest­plat­ten­ge­rat­ter. 30s – Anmel­dung. Fünf Minu­ten rat­tert die Fest­plat­te nach dem Auf­bau der Arbeits­flä­che. Nach mehr als 30 Minu­ten war das Gerät dann betriebs­be­reit. Nach dem Anblick diver­ser Sprech­bla­sen, die mir z.B. mit­tei­len woll­ten, dass ein USB-Gerät doch eine höhe­re Geschwin­dig­keit errei­chen kön­ne, oder das der Viren­scan­ner nicht mehr aktu­ell sei – obwohl der gera­de geup­datet wor­den war, ent­fuh­ren mir meh­re­re unschö­ne Lexe­me. Ok, das Gerät war zwei Wochen nicht benutzt wor­den, d.h. bei täg­li­chem Gebrauch wäre es wahr­schein­lich inner­halb von fünf Minu­ten betriebsbereit.

Down­load von Ubun­tu Jaun­ty (Dank Kabel­in­ter­net war das ISO in 10 Minu­ten gezo­gen und gebrannt – mit einem Ubun­tu LTS). Par­al­lel­in­stal­la­ti­on auf dem Note­book – 30 Minu­ten inkl. Updates aus den APT-Sources. Reboot. Note­book nach dem Reboot nach 40s voll ein­satz­be­reit. Es weist mich durch dezen­te Sym­bo­le dar­auf hin, dass es gut wäre, wenn ich aktua­li­sie­re. Kei­ne Sprech­bla­sen. Unnö­tig zu sagen, dass die Prä­sen­ta­ti­on auf Anhieb lief. Ach ja: Open­Of­fice war dann schon installiert.

Wenn ande­re Men­schen so arbei­ten kön­nen – bit­te. Ich kann es nicht. „Klein­weich Fens­ter  Erleb­nis  Zuhau­se“ läuft hier wie­der in einer vir­tu­el­len Maschi­ne neben­bei – z.B. für den Video­schnitt. Mit dem Haupt­sys­tem kann ich dann ganz nor­mal wei­terarbei­ten.