Kernel 4.1 ext4 Verschlüsselung

[Dogge]

Man hört ja überall, dass ab Kernel 4.1 ext4 Verschlüsselung unterstützt aber leider habe ich keine Informationen gefunden wie diese genutzt wird.
Kennt sich jemand damit aus oder kann ein HowTo verlinken? Ich habe in den bekannten Suchmaschinen nur Ankündigungen gefunden, dass es diese Funktion gibt aber keine Informationen wie man sie nutzt.

Fragen die ich mir stelle:

Kann ich ein bestehendes Dateisystem mit Daten einfach umstellen/verschlüsseln? (Ich befürchte das geht nicht so einfach)
Wie richte ich die Verschlüsselung ein? Beim Anlegen des Dateisystems, per mount Option in der /etc/fstab, ...?

Mein Hauptrechner ist eh verschlüsselt (LUKS/dm-crypt vom Debian-Installer), aber mein Chromebook ist dies nicht, da ich dort auch einen Gastzugang habe damit Besucher etwas surfen können. Eine Textkonsole beim Booten, die ein Passwort abfragt ist für die meisten Leute irritierend deshalbe fände ich ein verschlüsseltes Dateisystem für mein Chromebook recht interessant.

[smutbert]

[…]

Ext4-Verschlüsselung lässt sich starten, indem man für ein leeres Verzeichnis eine Verschlüsselungsmethode angibt. Danach kann man das Verzeichnis mit Daten füllen, die automatisch verschlüsselt gespeichert werden. Dabei beschränkt sich das System darauf, Dateinamen und Inhalte zu verschlüsseln. Für erstere wird der Algorithmus AES-256-CBC+CTS verwendet, für die Inhalte AES-256-XTS.
[…]

Quelle

Ich stell mir das so vor, dass es eine Art Verzeichnisattribut "verschlüsselt" geben soll, mit dem man ext4 mitteilt, dass der Inhalt dieses Verzeichnisses verschlüsselt werden soll.
Howto kenne ich keines, aber vielleicht liegt das auch daran, dass es nicht genügt, wenn der Kernel/ext4 das kann, es müssen ja auch die Dateisystem- oder Dateiverwaltungstools mitspielen.

[owl102]

http://man7.org/linux/man-pages/man8/e4crypt.8.html

[Dogge]

Danke für eure Infos.

e4crypt ist dann Teil der e2fsprogs? Davon gibt es ja die aktuelle Version in experimental. Dann werde ich bei Gelegenheit mal etwas damit experimentieren.

Interessanter Artikel zum Thema: https://lwn.net/Articles/639427/

[Profbunny]

hast du das mal probiert? so richtig viel findet man dazu nicht. mich würde auch interessieren,
ob die Geschwindigkeit gegenüber dmcrypt höher ist.

ich überlege momentan, ob ich mir eine SSD zulege. in diesem zugfe würde sich dann meine plattenlandschaft ändern und da könnte man gleich auf das neue umrüsten.
falls es denn was bringt. der verschlüsslungsalgorythmus scheint mir zu reichen, ohne mich da jetzt groß auszukennen.

[Dogge]

Ich habe etwas rumexperimentiert aber habe keinen Erfolg gehabt. Die Doku war aber auch recht spärlich. Sollte ich mal etwas Zeit und Langeweile haben werde ich mal schauen ob man dazu mittlerweile mehr findet.

[rendegast]

Code: Alles auswählen

# cat /boot/config-4.1.0-1-686-pae | grep -i ext4 -C2
...
CONFIG_EXT4_FS=m
CONFIG_EXT4_USE_FOR_EXT23=y
CONFIG_EXT4_FS_POSIX_ACL=y
CONFIG_EXT4_FS_SECURITY=y
# CONFIG_EXT4_ENCRYPTION is not set
# CONFIG_EXT4_DEBUG is not set
...

e2fsprogs 1.43 / experimental sind wohl nötig, siehe changelog.

[Profbunny]

guter Hinweis, werde ich zuerst mal prüfen

[Profbunny]

was man hier so ließt, deutet eher in die Richtung sich die ganze Sache noch ein wenig entwickeln zu lassen. Siehe vor allem
Remarks. Das ist wahrscheinlich auch der Grund warum die Option im Kernel nicht gesetzt ist. Anscheinend bietet noch keine Distro den Kernel mit der Option an.