Vorab-Version von ownCloud-Encryption-App erschienen

Der Open-Source Cloud-Service ownCloud hat eine Vorab-Version von ownCloud 5.0.7 inklusive der Möglichkeit zur Verschlüsselung der in der Cloud abgelegten Dateien zum Testen freigegeben. Die serverseitige Verschlüsselung basiert auf OpenSSL und verwendet den AES-Algorithmus.

Die neue App zur Verschlüsselung in ownCloud wurde komplett neu geschrieben, wie dem Blog von Björn Schießle zu entnehmen ist. Der relativ schwache Blowfish-Algorithmus wurde zugunsten von AES aufgegeben. Die Applikation ist nahtlos in ownCloud eingebunden. Das bedeutet, dass die Verschlüsselung transparent geschieht, was dazu führt, dass weitere Funktionen wie Datenaustausch und WebDAV weiterhin genutzt werden können.

Um das zu ermöglichen kommt das Prinzip der serverseitigen Verschlüsselung zum Tragen; die Architektur erlaubt aber hier auch die spätere Integration einer clientseitigen Verschlüsselung. Die serverseitige Variante ist besonders interessant für Anwender, die ownCloud nicht selbst hosten, sondern bei einem öffentlichen Hoster einstellen. So wird verhindert, dass unbefugte Dritte Zugriff auf die Daten haben.

ownCloud verwendet zur Verschlüsselung das Passwort, das der Anwender zum Log-in vergeben hat. Anwender sind also gut beraten, hier eine besonders starke Zeichenkette zu wählen. Wichtig zu wissen: In der Standardeinstellung verliert ein Anwender Zugriff auf seine verschlüsselten Daten, wenn er sein Log-in-Passwort verliert. Der Administrator kann jetzt einen Recovery-Key erstellen, der auch dann noch Zugriff auf die Daten gewährt. Dazu muss zuerst der Admin die Funktion freischalten, woraufhin jeder User diese ebenfalls aktivieren kann.

Die Verschlüsselung der App basiert auf drei verschiedenen Schlüsseln. Zunächst hat jeder Nutzer sein persönliches, asynchron mit 4096-Bit erstelltes Schlüsselpaar mit dem privaten und öffentlichen Schlüssel. Darüber hinaus hat jede Datei einen Datei-Schlüssel. Sollen Dateien zwischen mehreren Personen getauscht werden, so wird pro Datei noch ein Tauschschlüssel erstellt. Der private Schlüssel ist mit dem Log-in-Passwort erstellt und mit AES-128 codiert. Darüber hinaus kann ein Schlüssel erstellt werden, der per öffentlichem Link zum Tausch angebotene Dateien entschlüsselt.

Um große Dateien nicht ständig ent- und wieder verschlüsseln zu müssen, wurde der Datei-Schlüssel als 183 Byte ASCII-Schlüssel erdacht. Mittels des Datei-Schlüssels werden die Dateien eines Users symmetrisch mit AES-128 verschlüsselt. Dann wird der Dateischlüssel mit den privaten Schlüsseln aller User, die Zugriff auf die Datei haben sollen, verschlüsselt. Sollen jetzt Userrechte zu einer Datei hinzugefügt oder entfernt werden, muss lediglich der Datei-Schlüssel neu codiert werden. Jedes Mal wenn ein Datei-Schlüssel für mehrere Nutzer verschlüsselt wird, erstellt OpenSSL automatisch einen Tausch-Schlüssel. Ohne diesen in Kombination mit dem privaten Schlüssel kann der Nutzer die Datei nicht entschlüsseln.

Die Vorab-Version der Community-Edition von ownCloud 5.0.7 inklusive der Verschlüsselungsfunktion steht auf dem Projektserver zum Download bereit. Fehler können an die Mailingliste oder direkt auf GitHub gemeldet werden.