To main content

Dropboxordner mit EncFS verschlüsseln

Veröffentlicht von Benjamin Marwell am

Secured BoxSensible Daten sollten bekanntermaßen nicht in der Dropbox abgelegt werden. Wer dies dennoch tun möchte, sollte diese gesondert verschlüsseln. Damit das nicht für jede Datei einzeln per Hand erledigt werden muss, lassen sich verschiedene Tools einsetzen. Um dabei die Synchronisierung nicht ad absurdum zu führen, habe ich mich für EncFS entschieden.


Transparenz statt Handarbeit

Erstes Kriterium für ein Tool ist, dass es transparent arbeiten muss - der User sollte also beim täglichen Arbeiten nicht mit Ver- und Entschlüsselungsaufrufen belästigt werden. Dadurch fallen die »klassischen« Systeme wie etwa GnuPG oder verschlüsselte ZIP-Dateien bereits heraus, denn hierbei müsste jede Datei oder eine Dateimenge jedes Mal wieder durch die Eingabe des Passwortes ver- oder entschlüsselt werden. Zusätzlich liegt die Datei kurzzeitig unverschlüsselt in der Dropbox, so dass eine Kopie online gespeichert wird. Durch die Versionierung wäre sie dauerhaft zugänglich. GnuPG/PGP und verschlüsselte Archive aller Art werden somit im folgenden nicht betrachtet.

EncFS statt TrueCrypt

EncFS hat einen riesigen Vorteil gegenüber anderen Tools, wie etwa TrueCrypt: Es verschlüsselt jede Datei einzeln., während TrueCrypt, LUKS oder auch andere Tools eine Containerdatei nutzen. Containerdateien haben den Nachteil, dass bei Änderungen jedes Mal die z.B. 2 GiB große Containerdatei komplett synchronisiert werden müsste - was natürlich entschieden zu lange dauert. Praktikabel ist also nur ein System, welches die Dateien einzeln verschlüsselt, um den Synchronisationsaufwand gering zu halten. EncFS wird diesem Anspruch gerecht.

Konfiguration unter Linux

Zunächst sollte EncFS installiert werden. Das geschieht unter Ubuntu mit dem Befehl sudo apt-get install encfs . Benutzer von Gentoo Linux nutzen emerge: sudo emerge -avq encfs .

Um nun für den Private-Ordner eine transparente Verschlüsselung einzurichten nutzt man folgenden Befehl:

Der folgende Befehl entfernt möglicherweise bestehende Daten. Wird das Passwort vergessen, ist der Zugriff auf die Daten natürlich nicht mehr möglich.

encfs ~/Dropbox/.encrypted ~/Private

Wer sich wundert: Die Fragen lassen sich nicht mit »j« beantworten, stattdessen wird mit der folgenden Fehlermeldung abgebrochen:

Das Verzeichnis "/home/user/Dropbox/.encrypted/" existiert nicht. Soll es angelegt werden? (j,n) j Kein Verzeichnis angelegt. 19:11:01 (main.cpp:416) Wurzelverzeichnis konnte nicht gefunden werden, Abbruch.

Die Lösung ist einfach: Die angenommene Eingabe wurde nicht ins Deutsche übersetzt, nur die Abfrage (j,n). Gibt man hier ein y (englisch yes) ein, so klappt das Anlegen des Ordners.

Bei der Aufforderung, eine der folgenden Optionen zu wählen, nutzt man den vorgeschlagenen Paranoia-Modus:

Bitte wählen Sie eine der folgenden Optionen: "x" für den Expertenmodus, "p" für den vorkonfigurierten Paranoia-Modus, etwas anderes oder eine Leerzeile wählt den Standard-Modus. ?> p

Der Private-Ordner muss natürlich außerhalb der Dropbox liegen, um nicht ebenfalls hochgeladen zu werden. Der Ordner mit den verschlüsselten Daten liegt aber innerhalb des Dropbox-Ordners und wird daher synchronisiert. Damit ist die Konfiguration auch schon bis zur nächsten Anmeldung fertig.

Dateien verschlüsselt hochladen

Wird nun eine Datei in den Ordner ~/Private im eigenen Homeverzeichnis (nicht aus dem Dropbox-Ordner!) gelegt, so erscheint diese verschlüsselt im Dropbox-Ordner. Auch der Dateiname wird dabei unkenntlich gemacht. Als Beispiel habe ich ein Bildschirmfoto angefügt:

Entschlüsselter Ordner und EncFS-Ordner nebeneinander
Entschlüsselter Ordner und EncFS-Ordner nebeneinander

Erneutes Einbinden des Ordners

Nach einem Neustart oder nach eingabe des Befehls fusermount -u ~/Private  ist der »lesbare« Ordner im lokalen Dateisystem wieder verschwunden, es befinden sich nur noch die verschlüsselten Dateien im Dropbox-Ordner. Erneutes Einbinden ist durch den gleichen Befehl wie zuvor möglich:
encfs ~/Dropbox/.encrypted ~/Dropbox_Encrypted

Wer sich diese »Mühe« aber sparen möchte, nutzt Tools wie etwa kencfs. Auf der verlinkten Seite finden sich Debian-Packages für Ubuntu, unter Gentoo installiert man es gewohnt per emerge. Die Konfiguration sieht dann etwa so wie im folgenden Bild aus:

kEncFS mit Dropbox
kEncFS mit Dropbox

Hier ist aufzupassen, dass die Reihenfolge vom Mountpoint und des verschlüsselten Ordners genau anders herum angegeben wird. Praktisch an dieser GUI ist, dass sie sich in das SystemTray minimieren lässt und einem die Eingabe der Ordnernamen spart. Außerdem kann auf Wunsch auch gleich der entschlüsselte Ordner geöffnet werden.

Windows

Für Windows gibt es die Software BoxCryptor, die ich in einem späteren Artikel vorstellen werde. Sie setzt ebenfalls auf EncFS und ist damit praktischerweise kompatibel.

Fazit

Wer doch einmal bei Dropbox private Dateien ablegen muss, hat mit EncFS eine einfach zu bedienende, sichere Verschlüsselung zur Hand, die zudem auf jedem Betriebssystem verfügbar ist. Der Erstaufwand ist zwar etwas höher, doch lohnt er sich ziemlich schnell - der laufende Betrieb verursacht keinerlei Umstände in der Bedienung, die Verschlüsselung verhält sich - wie gefordert - transparent für den Endnutzer.