Linux: Verschlüsselung für Dateisystem Ext4 und Android

Ferdinand Thommes
34 Kommentare
Linux: Verschlüsselung für Dateisystem Ext4 und Android
Bild: Christian Schnettelker | CC BY 2.0

Das Ext4-Dateisystem wird eine Verschlüsselung erhalten, die direkt auf eine leere Partition angewendet werden kann. Es werden keine Plugins benötigt. Das gab Theodore Ts'o, der Entwickler des Ext-Dateisystems, bekannt. Zusammen mit Michael Halcro hat er die Verschlüsselung für ihren Arbeitgeber Google entwickelt.

Google möchte in der Version „M“ von Android, die auf das derzeit aktuelle „L“ wie Lollipop folgt, eine Verschlüsselung der Daten auf Smartphones und Tablets anbieten. Ein erster Versuch mit der Software eCryptfs wurde wegen Problemen mit der Leistung abgebrochen. Nun haben Ts'o und Halcro einen Patch auf Kernel.org eingestellt, der mittlerweile auch im öffentlichen AOSP-Entwicklungszweig von Android gelandet ist. Ts'o hat mit dem Entwickler des auch bei Android eingesetzten und auf Flashspeicher ausgelegten Dateisystems F2FS geklärt, dass dieser die gleiche Schnittstelle zur Verschlüsselung anwendet, sodass beide Systeme quasi austauschbar sind wenn es um Verschlüsselung geht.

Damit wird Ext4 das erste Dateisystem mit eingebauter Verschlüsselung, was gegenüber herkömmlichen externen Verschlüsselungsmethoden wie eCryptfs oder dm-crypt/LUKS einen nicht zu vernachlässigenden Geschwindigkeitsvorteil bringt. Ist ein Verzeichnis durch Auswahl einer Methode für Verschlüsselung vorbereitet, werden die Dateinamen und Inhalte der Daten darin künftig beim Speichern verschlüsselt. Dateinamen werden dabei mit AES-256-CBC+CTS, die Inhalte mit AES-256-XTS verschlüsselt. Die Verzeichnisstruktur samt Attributen bleibt weiterhin sichtbar. Hier bieten die externen Verschlüsselungsmethoden von eCryptfs und dm-crypt mehr.

Wenn es keine unvorhergesehenen Probleme gibt, kann die interne Verschlüsselung sowohl in Android M als auch in den Kernel 4.1 einziehen, der in rund zwei Monaten erscheinen wird. An diesem Wochenende wird Linus Torvalds vermutlich erst einmal Kernel 4.0 freigeben.