Hallo,

Bei OpenVZ oder Xen ist es ja nicht wirklich schwer sich als Admin mal das Filesystem der vServer anzuschauen. Mal ganz davon abgesehn das ich nicht der einzige Kunde bin der auf dem Hostsystem liegt - wer weis schon wie der Anbieter z.B. den Dump von einem vServer ablegt oder wie er die Daten sichert.

Das Problem ist: Sobald der Server *selbst* alles verschlüsselt und jemand sich "hardwareseitig" Kontrolle über den Server verschafft (und da das virtualisiert wird ist hardwareseitig halt gleich softwareseitig hier), dann hast Du sowieso verloren.

Stell Dir vor, das Dateisystem wird komplett verschlüsselt. Dann hast Du jedoch das Problem, das der Schlüssel für das Dateisystem zumindest im RAM des vServers sein muss. Und wenn er automatisch booten soll, muss der Schlüssel auch auf der Platte selbst vorhanden sein, was den Sinn der Verschlüsselung dann wieder kaputtmacht. Und wenn Du den Schlüssel bei jedem Booten eingeben willst, musst Du dennoch eine Möglichkeit haben, während des Bootvorgangs Dich mit dem Rechner zu verbinden und den Schlüssel zu übermitteln - d.h. es muss mindestens ein minimales System mit SSH o.ä. unverschlüsselt vorhanden sein - und das kann ein Angreifer im Zweifel auch manipulieren und dann einen Reboot erzwingen.

Sobald ein Rechner unter fremder Kontrolle ist, kannst Du ihm grundsätzlich nicht mehr vertrauen.

Wenn Du daher also nicht willst, dass jemand die Daten auf dem Server abgreifen kann, musst Du sie bereits auf dem Client verschlüsseln - was dann jedoch SVN ziemlich nutzlos macht (im Sinne: Du kannst zwar noch versionieren und so - aber automatisches Mergen / Diffen geht nicht mehr).

Viele Grüße,
Christian

Moin!

Wenn du aber mal erklärst, was du genau erreichen willst, gibt es vielleicht andere Lösungen um das Problem anzugehen.

Das Repo soll auf einen vServer, ich möchte mit der Verschlüsselung verhindern das jemand direkten Zugriff auf das Image hat und die Daten klauen kann.

Solange der Server läuft, und das Betriebssystem Zugriff auf die unverschlüsselten Rohdaten erlaubt (selbst wenn sie verschlüsselt auf der Platte liegen), solange kann man angreifen und die Dateien auslesen. Denn die Tatsache, dass verschlüsselt wird, steht ja nachlesbar im RAM durch Anwesenheit entsprechender Software, und der zu benutzende Schlüssel steckt ebenfalls im RAM.

Deshalb dürfte es bei einem vServer extrem schwierig werden, dort etwas geheim halten zu wollen - zumindest gegenüber dem Betreiber des Servers.

Bei OpenVZ oder Xen ist es ja nicht wirklich schwer sich als Admin mal das Filesystem der vServer anzuschauen. Mal ganz davon abgesehn das ich nicht der einzige Kunde bin der auf dem Hostsystem liegt - wer weis schon wie der Anbieter z.B. den Dump von einem vServer ablegt oder wie er die Daten sichert.

Wenn du den Administratoren deines Providers nicht vertraust, dann hoste dort, wo du den Admins vertraust. Denn es gibt tausend Wege, dass man an den Inhalt der Dateien rankommt. Der Provider kann ja einfach an der Leitung lauschen (auch "hinter" der Ansatzstelle für SSL), er kann sämtliche deiner Tastatureingaben (für das Verschlüsselungspasswort) abfangen, er kann dir ein beliebig manipuliertes Serverimage zur Nutzung unterschieben, von dessen Vorhandensein du absolut nichts bemerkst. Nichts ist sicher. Dagegen hilft nur, dass du ausschließlich verschlüsselte Daten in das SVN spielst. Dann wiederum wird's schwieriger mit der gemeinsamen Arbeit, und außerdem wäre es in so einem Fall vermutlich deutlich einfacher, das Repository einfach zuhause zu hosten, und nicht auf dem Server.

- Sven Rautenberg