-
-
Notifications
You must be signed in to change notification settings - Fork 6
Etwas wolkige Sicherheit
Leider gibt es für das, was ich in der Cloud mit vertraulichen Daten machen möchte wohl nicht soviele Nutzer, die es genauso halten.
Der gesamte vertrauliche Bestand soll ausreichend sicher verschlüsselt sein und dennoch möchte ich die Daten mit anderen gemeinsam nutzen und jederzeit auf allen meinen genutzen endgeräten zugreifen können - am liebsten auch verändernd und nicht nur betrachtend.
Ich will an einem Linux und evtl. auch Windows-Rechner sitzen, eine Datei bearbeiten und im Hintergrund sollen die Ergebnisse sicher ihren Weg in's Internet und auf meine Mobilgeräte - und für einen Teil der Daten auch auf alle Geräte der Leute finden, denen ich das ermöglichen will...
Damit fallen alle direkten Cloud-Speicherlösungen für Linux, Windows, Android und iOS im Moment des Aussprechens aus. Die Ergänzung mit Werkzeugen, die Dateien per Zugriff im Kontext-Menü und als "Öffnen mit..." ver- oder entschlüsselt bringen mich auch nicht dahin. Daß ich etwas gesichert unterwegs brauche, fällt ja meist spontan auf, sonst hätte man sich ja vorbereitet.
Die Verteilung der Daten bekomme ich ausreichend gut mit einer Reihe von Synchronisations-Diensten hin. Nur leider ist das Thema Verschlüsselung hier ein Problem, das nur iDrive Sync angeht und Teamdrive evtl. löst. Mit beiden habe ich allerdings in ihrem Kernbereich - der Synchronisation - Probleme - mindestens auf Mobilgeräten - gehabt.
Die Tips mit Laufwerks-Containern wie TrueCrypt bzw. nun VeryCrypt finde ich wenig hilfreich für eine gemeinsame Nutzung von Daten. Außerdem muß ich den Container "unmounten", damit er synchronisiert werden kann. Das tue ich aber auf einem Notebook aus Bequemlichkeit nicht, da ich es - Stichwort wieder einmal Mobilität - einfach nur in den Ruhezustand schicke.
Die Idee, daß man einen gesicherten Container braucht, den man mit Daten befüllt, bleibt allerdings konzeptuell richtig. Einige der Container sind nur für mich selbst, andere möchte ich mit anderen gemeinsam nutzen. Für den brauchbaren Datenaustausch und das schnellstmögliche Sichern, müssen die Container jedoch im Ergebnis variabel in der Größe sein und nciht immer im Stück durch die Übertragung zu betrachten. (Letzteres ist mit brauchbaren Klimzügen auch bei VeraCrypt der Fall, nur bleibt das Problem mit dem Unmounten.)
Als nächstes wollte ich schlicht meine Daten lokal auf dem Rechner mit einer verschlüsselten Kopie synchronisieren und diese dann mit dem Dienst meiner Zahl synchronisieren. So sieht man auch die verschlüsselten Verzeichnisse, wie sie dann bei ggf. nicht vertrauenswürdigen Speicherdiensten gespiegelt abgelegt werden vorher.
Da ich dazu keine Werkzeug fand, das mir gefiel, habe ich JFileSync von Jens Heidrich (http://jfilesync.sourceforge.net/) aufgebohrt (https://github.com/mgoellnitz/JFileSync3).
Damit kann ich immerhin ein sicheres Backup im Netz erstellen. - Leider kann so weder ich noch andere vom Mobilgerät aus zugreifen.
Zu der Zeit fand ich endlich Artikel, die sich mit dem Problem beschäftigten. Werkeuge wie Cloudfogger und SecretSync nehmen sich der Frage Datei für Datei an und kooperieren gleich mit den Synchronisations-Diensten. Leider sind diese Werkzeuge ein großes "#fail". Die Dateinamen werden nicht verschlüsselt - und es ist doch erstaunlich wieviel Information über sinnhaft gewählte Dateinamen transportiert wird und wieviel "Known Plaintext" man dadurch für die Dateien produziert.
Am Ende bleibt hier nur noch encfs mit seinen Implementierung und Nutzungen übrig:
http://de.wikipedia.org/wiki/EncFS
http://members.ferrara.linux.it/freddy77/encfs.html
https://code.google.com/p/cryptonite/
http://encdroid.wordpress.com/
Und unter iOS der kompatible Boxcryptor (Classic, also Version 1.x)
So kann ich nun in einem - optional auch mit anderen gemeinsam genutztn - Bereich eines Online-Speichers aus der Liste
Dropbox, WebDAV systemunabhängig wählen. (Die übrigen Dienste entfallen, da sie zwar unter Boxcryptor classic nicht jedoch unter Linux verfügbar sind) Wenn man iOS aus der Liste "Windows, Linux, Android, iOS" streicht, wird sie noch etwas länger: Dropbox, Box.Net, WebDAV (oder ein dann unter Android lokaler Ordner, der mit einem anderen Tool wie Folder Sync lite synchronisiert wird).
Windows:
Das verschlüsselte encfs Volume wird per Boxcryptor oder encfs4win gemountet. Zugriff werden verschlüsselt im Online-Speicher durchgeführt. Der Klartext ist auf einem Speziellen Laufwerk zu sehen.
Alternativ kann ich direkt Dateien nutzen und sie dann mit JFileSync3 in den Online-Speicehr synchronisieren. Diese Betriebsart empfiehlt sich eher nicht für häufig geänderte gemeinsam genutzt Dateien.
Linux:
Das verschlüsselte Volumen wird mit cryptkeeper eingebunden.
Alternativ kann ich direkt Dateien nutzen und sie dann mit JFileSync3 in den Online-Speicehr synchronisieren. Diese Betriebsart empfiehlt sich eher nicht für häufig geänderte gemeinsam genutzt Dateien.
Android:
Hier kann man die Daten mit dem entsprechenden Online-Speicher auf das Gerät synchronisieren und dort mit encdroid oder cryptonite nutzen. Auch der Boxcryptor kann hierfür eingesetzt werden.
Wenn man darauf verzichten kann, daß die Dateien auf dem mobilen Gerät vorhanden sind, kann man auch direkt mit dem Boxcryptor auf eine Reihe von Diensten (s.o.) verschlüsselt zugreifen.
iOS:
Unter iOS gibt es nur den Boxcryptor und dieser kann hier auch weniger Backends ansprechen als unter Android.
Einrichten:
Die Erstellung des encfs Volumes erfolgt für alle hier genannten Programme kompatibel mit Boxcryptor oder wahlweise mit der Version von encfs-java, die mit JFileSync3 verpackt ist. Hier sind kompatible Basisparameter eingesetzt und die Schlüssellänge ist mit 256 Bit eingestellt.
Da die Volume-Beschreibung nur aus der .encfs6.xml Datei besteht, kann diese einfach kopiert werden, falls man jetzt noch etwas verschieben muß. Verschlüsselte Daten sind ggf. mitzukopieren.
So zeigt nun mein iPad mit einem Boxcryptor auf einen Ordner in der Dropbox, den mir jemand anders zur Verfügung stellt. Denselben Ordner habe ich auf meinem Rechner als Laufwerk zu Verfügung.
Eine Fotosammlung synchronisiere ich seltener - weil sie sich seltener Ändert und zu groß ist für meine Dropbox - mit JFileSync3 in einen Ordner, den ich mit Sugarsync synchronisieren. Diesen Bereich nutze ich per Encdroid von meinem Handy aus.
Die Verschlüsselung taugt mit AES und teilweise ohne verschlüsselte Namen nicht für alle Vertraulichkeitsstufen, wie weit man sich hier selbst schützen will oder muß, muß eh jeder selbst für sich entscheiden. Für wirklich vertrauliches würde ich einen anderen Algorithmus, eine andere Schlüsselgenerierung und eine andere Kodierung der Namen plädieren, wie ich es in JFileSync3 umgesetzt habe. - Nur komme ich da mobil gar nicht mehr ran und die Daten sind sicher - auch vor mir.