Faustregeln

DMCrypt und TrueCrypt funktionieren auf die gleiche Weise: Sie verschlüsseln alle Daten auf einem verschlüsselten Dateisystem, beispielsweise »/home« , automatisch. Solange es eingehängt und entschlüsselt ist, haben alle Benutzer darauf Zugriff. Erst wenn das Dateisystem ausgehängt wird, beispielsweise beim Systemneustart, ist das Passwort wieder vonnöten.

Andere Wartungsarbeiten funktionieren bei den verschlüsselten Dateisystemen genauso wie bei unverschlüsselten, beispielsweise der Dateisystem-Check mit »fsck« und Snapshot-Backups. Die Sicherheitskopie bleibt ebenfalls verschlüsselt, sodass die Wiederherstellung dasselbe Entschlüsselungsverfahren voraussetzt.

Abschließend stellt sich die Frage, an welcher Stelle die Verschlüsselung der eigenen Daten am besten stattfindet: Bei der Hardware – wie bei selbstverschlüsselnden Geräten (SEDs) –, direkt auf der Ebene des Dateisystems oder für einzelne Verzeichnisse oder Dateien?

SEDs und Dateisystemverschlüsselung auf Geräteebene mit DMCrypt oder Truecrypt bieten sich an, wenn ein großer Teil der Daten verschlüsselt werden soll. In der Handhabung unterscheiden sich die beiden Techniken kaum; sie erfordern beim Einhängen die Eingabe eines Passworts zur Entschlüsselung und sind anschließend transparent benutzbar.

Genügt hingegen die Verschlüsselung einer oder mehrerer einzelner Dateien, bietet sich die Verwendung eines passwortgeschützten ZIP-Archivs oder von GnuPG an. Für ganze Verzeichnisbäume hingegen empfehlen sich verschlüsselte Userspace-Dateisysteme wie EncFS [6] oder eCryptFS [7], das beispielsweise Ubuntu für verschlüsselte Benutzerverzeichnisse einsetzt.