Verschlüsselung in der Cloud

[Mini-Mi]

Ich möchte Kopien wichtiger Dokumente (Ausweis, Geburtsurkunde, Führerschein, Mietvertrag etc.) für den Worst Case wie z.B. Wohnungsbrand in der Cloud lagern. So komme ich zumindest an sowas ohne größere Probleme wieder dran.

Nur möchte ich das aus wohl nachvollziehbaren Gründen nicht unverschlüsselt tun. Im Prinzip habe ich auf 2 Methoden eingeschränkt: VeraCrypt und 7Zip.

Frage: Ist die Verschlüsselung von 7Zip brauchbar? Im Fall der Fälle wäre es nach meinem Dafürhalten deutlich einfacher eine *.zip zu öffnen als einen VeraCrypt Container. Das geht Notfalls auch mit einem 08/15 Telefon.

 

[benneq]

Du brauchst sowohl für 7Zip als auch VeraCrypt separate Programme, die separat organisiert werden müssen. Gibt's beides für alle Betriebssysteme. Für Mobile gibt's VeraCrypt allerdings nur als Third Party App.

Grundsätzlich sehe ich da kein Pro / Contra für oder gegen die beiden Varianten.

Bei großen Containern hast du in beiden Fällen allerdings den Nachteil, dass kein (?) Cloud Hoster einen Delta Upload bietet. D.h. jedes mal muss der gesamte Container hochgeladen werden - egal wie klein die Änderung ist.

Als Alternative für diesen Fall oft Cryptomator genannt. Habe es selbst aber nie ausprobiert.

 

[BFF]

Dafürhalten deutlich einfacher eine *.zip zu öffnen als einen VeraCrypt Container. Das geht Notfalls auch mit einem 08/15 Telefon.

Das das Oeffnen einer *zip einfacher ist als eines VC-Containers ja ok. Das Du das mit einem 0815-Telefon schaffst. Nope.

Mein wirklich wichtiger Krams in der Cloud ist in einem Ordner (archiv) der mittels 7zip gepackt wurde (AES-256, 48-Stellen Passwort, Dateinamen verschluesseln). Diese archiv.7z kommt dann ein einen neuen Ordner (backup-archiv) welcher nochmals per 7zip gepackt wird ((AES-256, anderes 48-Stellen Passwort, Dateinamen verschluesseln) und wird zusaetzlich in 100MByte Happen zerlegt. Sind bei mir im Moment 30 Dateien.

Ich hatte, als ich das angefangen habe dran gedacht diese Dateien verschluesselt per Duplicati, Cryptomator oder BoxCryptor mehrfach zu verteilen. Bin ich von abgekommen. Ein Programm (7zip) und Ablage bei 3 Cloudanbietern reicht fuer mich.

 

[Mini-Mi]

in 100MByte Happen zerlegt. Sind bei mir im Moment 30 Dateien.

3 GB? Was zur Hölle hast du da alles drin? Bei mir geht es um ein paar JPEGs von den Dokumenten und meiner Passwortliste. Da bin ich mit max. 50 MB dabei.

 

[yxman]

https://rclone.org/

 

[D1rty]

Dir ist bewusst dass alle Cloudanbieter at rest and in transit verschlüsseln? Vor was willst du dich mit der Verschlüsselung konkret schützen?

 

[Roesi]

Es gibt doch im OneDrive den Persönlichen Tresor.

 

[maloz]

meiner Passwortliste.

Verstehe ich das richtig, dass du deine Passwörter im Klartext in einem File stehen hast? Dafür gibt es natürlich wesentlich bessere, sicherere und komfortablere Lösungen wie z.B. Bitwarden.

Dir ist bewusst dass alle Cloudanbieter at rest and in transit verschlüsseln? Vor was willst du dich mit der Verschlüsselung konkret schützen?

This.
Also ich weiß ja nicht welche Staatsgeheimnisse ihr bei euch habt, dass ihr einen mega Aufwand mit 7zip und aufgeteilten Archiven inkl. verschlüsselten Dateinamen betreibt, aber mir wäre der Aufwand dafür zu groß.

edit
Wenn es die Angst ist, dass unbefugte Zugriff auf die Daten erhalten (also mal der Hoster selbst und evtl. Geheimdienste außen vorgenommen), würde ich immer noch eine MFA Lösung bevorzugen anstelle von verschlüsselten Containern.

 

[Qarrr³]

Vor was willst du dich mit der Verschlüsselung konkret schützen?

würde ich immer noch eine MFA Lösung bevorzugen anstelle von verschlüsselten Containern.

Geht einfach darum, dass wenn der Cloud Anbieter gehackt wird, die Angreifer deine Daten nicht für Bankbetrug oder falsche Identitäten nutzen können. Da alle Cloud Anbieter in den USA sitzen, müssen sie der Regierung theoretisch Zugriff auf die Daten gewähren können, dh es ist in sich schon keine sichere Verschlüsselung gewährleistet, die Hacker im Zweifel auch nutzen könnten. Die Zeit fürs knacken von aes256 Containern werden die sich wohl eher nicht nehmen.

 

[D1rty]

+1 für Bitwarden. Opensource und einfach super

@Qarrr³: Naja, Microsoft investiert z.B. jährlich eine Milliarde in ihre Cybersecurity. Von einer Wahrscheinlichkeitsperspektive sehe ich das Risiko als eher gering an. Ok, nun gut nehmen wir mal an die US Regierung liest all deine Daten mit. 1) Ist ja hinreichend bekannt wie sehr die Geheimdienste in Daten ertrinken ohne damit viel anfangen zu können und 2) die werden wohl kaum Bankbetrug oder Identitätsdiebstahl betreiben.

 

[maloz]

Habe mir mal ein paar Infos zu Boxcryptor und Cryptomator angeschaut. Vor allem ersteres schaut sehr gut aus, zumal es auch eine vernünftige App dafür gibt, womit man sein Zeugs verschlüsseln kann und beim Thema Komfort nur wenig Abstriche macht - im Gegensatz zu irgendwelchen 7zip/VeraCrypt Lösungen.
Vielleicht wäre das was für den TE.

 

[M@rsupil@mi]

Es gibt doch im OneDrive den Persönlichen Tresor.

Klingt nett, aber bietet wenig Sicherheit und Datenschutz. Ist nur eine PIN-Abfrage für einen Ordner. Die Daten liegen bei MS im Klartext.

 

[Qarrr³]

@D1rty ich gehe auch davon aus, dass die recht sicher sind und dass die Mitarbeiter der Regierung normalerweise keinen Schabernack treiben. Es gibt dann nur leider immer den einen Fall, mit dem keiner rechnete. Sobald die Daten einmal auf einem Marktplatz im dark net gehandelt werden, ist es schwierig die wieder weg zu bekommen. Und der Aufwand eine verschlüsselte ZIP zu machen, ist effektiv nahe Null.

 

[snaxilian]

alle Cloudanbieter at rest and in transit

Einigen wir uns auf "die meisten" statt alle und ja auch wenn sie dies machen, verbleiben bei den allermeisten dieser Angebote die privaten Schlüssel beim Anbieter.
Solange die Architektur und das Crypto-Konzept nicht reproduzierbar oder mindestens öffentlich vorliegen, muss man auf die Aussagen der Anbieter vertrauen.
Das Vertrauen ist halt spätestens seit Snowden dahin, denn ein NSL steht über den Aussagen der Hersteller. Da hilft auch kein Hochglanzmarketing mit "die Server stehen aber doch in DE". Leider völlig irrelevant, da der Firmensitz zählt.
Ja, geht man von der einzelnen Person aus wird Microsoft oder noch 2-3 andere Anbieter solche Produkte sicherer und stabiler anbieten können als es der Einzelne kann.
Ändert aber nix an der Tatsache, dass man die eigenen Daten aus der Hand gibt. Da kommt es dann eben darauf an ob man es im worstcase verkraften kann wenn diese Daten publik werden (random Urlaubsfotos) oder ob dies eher nicht gewünscht ist (Kennwörter, Finanz- oder Gesundheitsdaten, etc).

 

[Autokiller677]

@D1rty ich gehe auch davon aus, dass die recht sicher sind und dass die Mitarbeiter der Regierung normalerweise keinen Schabernack treiben.

So wie hier in D, wo von der Polizei Adressen für Drohschreiben an die NSU2.0 geflossen sind? Ja, die Daten stammten nicht aus irgendwelchen Cloud-Backups sondern aus Meldedaten, die der Staat eh hat. Zeigt aber, dass solche Probleme durchaus vorkommen und ich daher auch dem Staat nicht mehr Daten als nötig überlasse.

@Mini-Mi
Ich benutze für mein Cloud-Backup rclone. Läuft Windows, Linux und Mac, zum Entschlüsseln braucht man 2 Passwörter aus dem Config File. In meinem Fall habe ich den Config-File einfach mit in meinem Passwort-Manager gespeichert (Bitwarden), sowie auf einem USB-Stick. Bitwarden cacht mein Passwort-Archiv (verschlüsselt) auf dem Smartphone, so dass ich eigentlich den Schlüssel immer gesichert bei mir habe. Dann brauche ich nur noch einen PC und komme an meine Daten.

Ich hab da auch nicht groß gegeizt und einfach alle Daten in die Cloud geschoben, sind etwas über 2TB. Kostet bei Scaleway 3-4€ / Monat.

 

[Qarrr³]

So wie hier in D, wo von der Polizei Adressen für Drohschreiben an die NSU2.0 geflossen sind? Ja, die Daten stammten nicht aus irgendwelchen Cloud-Backups sondern aus Meldedaten, die der Staat eh hat. Zeigt aber, dass solche Probleme durchaus vorkommen und ich daher auch dem Staat nicht mehr Daten als nötig überlasse.

Deswegen sage ich ja normalerweise und verschlüssele meine Daten in meiner NextCloud.

 

[AGB-Leser]

Du musst damit rechnen: In der "Cloud" ist erstmal garnichts verschlüsselt. Und vorm Staat verstecken sich hier die wenigsten. Aber wir wissen ja alle, wie gut die Dienste und Firmen auf Daten aufpassen können... Da muss man den Datendieben das Leben nicht soooo leicht machen. Dickes Passwort reicht, mehr nicht. Wenn der Aufwand zu hoch ist, nehem die den nächsten. Denn Deine verschlüsselten Daten können sich nicht gegen einen Bruteforceangriff wehren. Also kannste nur mit guten Passwörtern die Zeit zum knacken möglichst groß halten.

 

[calippo]

Ich kann Cryptomator in Kombination mit dem Onedrive Client (ein anderer ginge wohl auch) sehr empfehlen. Es werden nur Dateien gesync, die auch verändert wurden und nicht der gesamte Container, wie bei Veracrypt.

Wenn man mit der Free-Variante von Boxcryptor auskommt, dann ist das auch eine Option, wobei da die Dateinnamen nicht verschlüsselt werden. Das geht wohl nur in der kostenpflichtigen Version

 

[BeBur]

+1 cryptomator, die Container kann man beim Computer Start automatisch öffnen lassen und dann nahezu ganz normal wie sonst auch arbeiten.
BoxCryptor hingegen verwendet ein eigenes Programm um mehr Funktionen zur Verfügung zu stellen. Muss man mögen. Ich persönlich eine ganz normal mit den Dateien weiter arbeiten, das bietet cryptomator.


Passwörter gehören in einem Passwort Safe.

 

[Kausu]

Ich kann Cryptomator in Kombination mit dem Onedrive Client (ein anderer ginge wohl auch) sehr empfehlen. Es werden nur Dateien gesync, die auch verändert wurden und nicht der gesamte Container, wie bei Veracrypt.

Ich will jetzt nicht in die Diskussion Verschlüsselung einsteigen, nur weil microsoft evtl. einen Masterkey hat bedeutet, dass nicht das jeder Hobbyhacker an diesen rankommt. Man muss am Ende wissen wovor man sich schützt. Nach mehreren US Reisen haben die eh schon alle Biometriedaten von mir ABER worum es mir ging.

Vorsicht mit Magentacloud die kommt mit Cryptomatorformat mit den Milliardenunterordnern mit komischen Bezeichnungen nicht klar. Ich würde tatsächlich auch zu Onedrive oder Gdrive raten. Von der Handhabung kommt da wenig ran
https://community.cryptomator.org/t/verzeichnisname-zu-lang-synchronisationsfehler/4404
Der Workourand funktioniert bei mir aktuell gar nicht mehr.

Ergänzung (29. März 2021)

Passwörter gehören in einem Passwort Safe.

Da stimme ich zu aber bitte dran denken, dass man ein sicheres Masterkenntwort wählt... kenne selbst ein paar, die sich alle möglichen Passwörter zusammenstellen lassen haben it Keepass... dann aber NameWohnortGeburtsjahr als Passwort haben^^