nicht angemeldet encoder
TS
encoder
Der Martin
TS
encoder
Der Martin
encoder
Hallo ihr da draußen
Ich möchte aus Backupgründen wichtige Dateien verschlüsselt auf meinem Webspace ablegen. Natürlich in einem nicht öffentlich zugänglichen Bereich, aber eben trotzdem verschlüsselt.
Da ich noch nie über Software gestolpert bin die das möglichst komfortabel übernimmt, wäre es hilfreich eure Erfahrungen zu kennen.
Schön wäre
Mir ist TrayBackup bekannt. Dem fehlt nur noch die Verschlüsselung und das kopieren der Dateien über FTP/SFTP.
Nach was such ich denn da am besten?
Seit dem Skandal um die Crypto AG gibt es hier keine Paranoia mehr: Unbedingt quelloffene Software! Für Dateien, die man auf fremden Servern ablegt sollte man wohl sogar an einer doppelten Verschlüsselung mit zwei verschiedenen Programmen überlegen.
Für einzelne Dateien nehme ich gern: ccencrypt, ccdecrypt, ccat und ccless. Da bleiben aber die Dateinamen erhalten.
Für ganze Ordner nehme ich ecryptfs bzw. FNEK. Das ist die Standardverschlüsselung für Home-Ordner von Ubuntu 18.04.
Ansonsten fällt mir aus dem Stegreif veraCrypt ein.
Meine Passwörter und andere wichtige Daten sind z.B. einmal in einem verschlüsselten Ordner (wird bei Anmeldung automatisch geladen und frt Inhalt „on the fly“ ver- und entschlüsselt, dann nochmal mit ccrypt verschlüsselt.
Hello,
spätestens
Seit dem Skandal um die Crypto AG gibt es hier keine Paranoia mehr: Unbedingt quelloffene Software! Für Dateien, die man auf fremden Servern ablegt sollte man wohl sogar an einer doppelten Verschlüsselung mit zwei verschiedenen Programmen überlegen.
Habe ich neulich auch drüber nachgedacht. Aber ist das nicht einfach äquivalent mit einer Verlängerung des Schlüssels?
Die Programme verwenden doch ohnehin meistens die gleichen Verfahren.
Glück Auf
Tom vom Berg
Wenn zwei verschiedene und sich nicht freundlich gesinnte Geheimdienste die Verschlüsselungssoftware so bauen, dass diese gezielt geschwächt wird (Die Geräte der Crypto AG lieferten Informationen zum Entschlüsseln im Output mit…) - dann bracht es zum Entschlüsseln (hoffentlich) die Tätigkeit beider Geheimdienste.
Hello,
Wenn zwei verschiedene und sich nicht freundlich gesinnte Geheimdienste die Verschlüsselungssoftware so bauen, dass diese gezielt geschwächt wird (Die Geräte der Crypto AG lieferten Informationen zum Entschlüsseln im Outüut mit…) - dann bracht es zum Entschlüsseln (hoffentlich) die Tätigkeit beider Geheimdienste.
Das habe ich schon verstanden.
Wenn man jetzt aber von intakten Verschlüsselungsalgorithmen ausgehen dürfte, dann wäre doch eine doppelte Verschlüsselung nichts anderes, als eine Verlängerung des Schlüssels?
Anders könnte es aussehen, wenn man aktive Verschlüsselung vornehmen würde, bei der das verschlüsselte Objekt nach Teilentschlüsselung einen Teil des Algorithmus zur vollständigen Entschlüsselung selber beisteuert.
Dabei können dann total spannende unterschiedliche vermeintliche Ergebnisse herauskommen [btw: wo sind hier Kommata angebracht? ;-)].
Glück Auf
Tom vom Berg
Wenn man jetzt aber von intakten Verschlüsselungsalgorithmen ausgehen dürfte, dann wäre doch eine doppelte Verschlüsselung nichts anderes, als eine Verlängerung des Schlüssels?
Kommt drauf an.
(Nein)
Es müsste, bei zweifacher Verschlüsselung, (bei einem „brute-force“-Angriff) nur doppelter Aufwand für die Entschlüsselung getrieben werden - bei der Verlängerung des Schlüssels steigt der Aufwand mit der Länge des Schlüssels expotentiell an.
(Ja)
Fragt sich, wie der Angreifer erkennt, dass die erste Entschlüsselung erfolgreich war. Wenn da nur nicht unterscheidbarer „binärer Müll“ herauskommt, dann müsste er jeweils jedes Ergebnis des Angriffs auf den ersten Schlüssel nochmals per „brute force“ untersuchen. Das käme dann - vom Effekt her - wohl doch der Verlängerung des Schlüssels gleich.
Aber, wie Du so schön ausführst, gilt das nur für ungeschwächte Verfahren. Bei den Schwächungen a la Crypto AG kann der Geheimdienst B den zweiten Schlüssel leicht knacken, aber den ersten nicht. Geheimdienst A braucht also dessen Ergebnis (er kann ja die zweite Stufe nicht, jedenfalls nicht in kurzer Zeit, knacken).
Wenn die jetzt aber zusammenarbeiten (wie BND und NSA), dann sieht es schlecht aus…
Das „nicht unterscheidbarer "binärer Müll" meint tatsächlich „etwas ohne erkennbare Daten“. Manche Programme schreiben ja Metadaten mit heraus - die leicht erkennbar sind. Ähnlich wie das „Heil Ihrwisstschonwer“ in den Nachrichten von und an die teutoarischen U-Boote.
Hello,
als Paranoiker gäbe es verschiedene Probleme, die man beachten sollte:
symmetrische oder asymmetrische Verschlüsselung? Ich plädiete immer für zweitere.
Schlüssellänge >= 4096 !
Keinesfalls DSA!
möglichst unterschiedliche Schlüssel für die Dateien bzw. Container
über Dateinamen, Suffixe, o. ä. sollte keinesfalls erkennbar sein, was sie enthalten
Honeypots dazwischenmischen, die Dir möglicht als Indikator dienen können
da gibts bestimmt noch mehr lustige Ideen ;-)
Glück Auf
Tom vom Berg
Hmm
Ich möchte aus Backupgründen wichtige Dateien verschlüsselt auf meinem Webspace ablegen. Natürlich in einem nicht öffentlich zugänglichen Bereich, aber eben trotzdem verschlüsselt.
Egal ob verschlüsselt oder nicht, ist das ganz bestimmt nicht der richtige Ort für ein Backup. Das merkt man spätestens dann wenn man nicht mehr rankommt oder wenn es weg ist.
MFG
Es sollte natürlich schon ein gescheiter Server sein. Also nichts was es mal eben für umsonst irgendwo gibt, wofür man seine Seele verkauft und von heute auf morgen ist es entweder für die ganze Welt freigegeben oder gelöscht.
Aber wenns eigener Webspace ist den man für eine handvoll Euro im Jahr bekommt und das dann dort verschlüsselt und nicht öffentlich zugreifbar liegt, regelmäßig gesichert wird usw, dann erscheint mir das als eine intereessantere Option als eine zweite Backupplatte die zuhause neben der ersten im Regal liegt.
Hallo,
Aber wenns eigener Webspace ist den man für eine handvoll Euro im Jahr bekommt und das dann dort verschlüsselt und nicht öffentlich zugreifbar liegt, regelmäßig gesichert wird usw ...
dann ist immer noch das potentielle Problem, dass du an dein Backup nicht mehr rankommst, weil deine heimische Internet-Anbindung Zicken macht.
dann erscheint mir das als eine intereessantere Option als eine zweite Backupplatte die zuhause neben der ersten im Regal liegt.
Bei mir ist das Sekundär-Backup eine externe 1TB-Platte, die bei meinem Eltern liegt (etwa 7km entfernt). Und die wird alle paar Wochen gegen die primäre Backup-Platte getauscht, die bei mir zuhause liegt. So habe ich sogar dann, wenn meine Infrastruktur samt Primär-Backup z.B. durch einen Wohnungsbrand über die Wupper geht, noch ein zweites Backup der wichtigen Daten, das selten älter als etwa 3..4 Wochen ist. Und: Ich weiß, dass ich (fast) jederzeit darauf zugreifen kann.
Das ist mir jedenfalls wohler, als wenn meine Daten in irgendeinem Rechenzentrum lagern, auf das ich keinen Einfluss habe.
So long,
Martin
Hallo Martin,
Bei mir ist das Sekundär-Backup eine externe 1TB-Platte, die bei meinem Eltern liegt (etwa 7km entfernt). Und die wird alle paar Wochen gegen die primäre Backup-Platte getauscht, die bei mir zuhause liegt. So habe ich sogar dann, wenn meine Infrastruktur samt Primär-Backup z.B. durch einen Wohnungsbrand über die Wupper geht, noch ein zweites Backup der wichtigen Daten, das selten älter als etwa 3..4 Wochen ist. Und: Ich weiß, dass ich (fast) jederzeit darauf zugreifen kann.
Ja, das mache ich auch so mit meinen sehr wichtigen Daten.
Mein selbstgebasteltes Cloud-Backup dient eigentlich nur dazu, ein paar semi-wichtige Daten auf einem Raspberry Pi täglich wegzusichern. Das ist mir lieber, als die Daten manuell zu sichern oder ein NAS oder einen PC ständig laufen zu lassen oder ständig dran zu denken, eine USB-Platte zu tauschen. War außerdem eine nette Übung 😉
Gruß
Patrick
Hallo Patrick,
Bei mir ist das Sekundär-Backup eine externe 1TB-Platte, die bei meinem Eltern liegt (etwa 7km entfernt). Und die wird alle paar Wochen gegen die primäre Backup-Platte getauscht, die bei mir zuhause liegt. [...]
Ja, das mache ich auch so mit meinen sehr wichtigen Daten.
natürlich, damit sichere ich auch nicht meinen kompletten Datenbestand. Obwohl, wenn ich so an die mittlerweile über 3TB Video, Audio und Fotos denke, von denen kein Backup existiert ...
Mein selbstgebasteltes Cloud-Backup dient eigentlich nur dazu, ein paar semi-wichtige Daten auf einem Raspberry Pi täglich wegzusichern.
Ich hatte eine Weile einen Raspi als NAS im Einsatz. Hat auch ganz gut funktioniert, aber mit "nur" 100Mbit Bandbreite macht das nicht so richtig viel Spaß. Schreiben ging mit etwa 8..9MB/s, Lesen kurioserweise deutlich langsamer (etwa 3..4MB/s).
Das ist mir lieber, als die Daten manuell zu sichern oder ein NAS oder einen PC ständig laufen zu lassen oder ständig dran zu denken, eine USB-Platte zu tauschen. War außerdem eine nette Übung 😉
Naja, bei mir läuft sowieso ein Mini-PC (Leistungsaufnahme 25..30W) 24/7 für ein paar andere Aufgaben, da kann der darau laufende Samba-Server auch die Backup-Platte mit bedienen. Den Aufwand, diese Backup-Platte ab und zu am Wochenende zu "unmounten", akzeptiere ich gern.
Ciao,
Martin
Hello,
Es sollte natürlich schon ein gescheiter Server sein. Also nichts was es mal eben für umsonst irgendwo gibt, wofür man seine Seele verkauft und von heute auf morgen ist es entweder für die ganze Welt freigegeben oder gelöscht.
Aber wenns eigener Webspace ist den man für eine handvoll Euro im Jahr bekommt und das dann dort verschlüsselt und nicht öffentlich zugreifbar liegt, regelmäßig gesichert wird usw, dann erscheint mir das als eine intereessantere Option als eine zweite Backupplatte die zuhause neben der ersten im Regal liegt.
Naja, zwei Terabytes über deutsches Internet schieben zu müssen, würde mich schon etwas demotivieren :-(
Und wenn ich dann sowieso ständig den USB-Stick bzw. das SD-Drive mit den 760.089 Dateinamen-Schlüsselwert-Paaren und den zugehörigen Keys mit mir rumschleppen müsste, dann könnte ich doch da auch gleich die Daten drauf ablegen ... ;-p
Glück Auf
Tom vom Berg
Naja, zwei Terabytes über deutsches Internet schieben zu müssen, würde mich schon etwas demotivieren :-(
Mich auch. Mir geht es nicht um sämtliche Bilder und Videos und was auch immer riesiges irgendwo liegt von dem ich kaum mehr was weiß. Es geht um ausgewählte Dinge, behördliches, Konto, Scans von Dokumenten die ich anlege usw, auch ein paar Dokumente die sich alle paar Tage ändern.
Ich schätze ich komme zunächst nicht über < 10 GB an Daten die mir wirklich wichtig sind. Davon ändert sich das wenigste.
Ein sozusagen externes Backup wie @Der Martin vorschlägt hab ich auch in Erwägung gezogen. Allerdings steht der Aufwand sehr wahrscheinlich der regelmäßigen Ausführung im Weg.
Hallo,
hatte mich neulich mit dem Thema beschäftigt. Ich bin dabei auf rclone gestoßen. Das ist ein Programm ähnlich zu rsync, ist aber darauf optimiert, mit Cloud-Speicher genutzt zu werden (bspw. versagt rsync oft in Zusammenarbeit mit WebDAV, weil man damit oftmals das Datei-Änderungsdatum nicht setzen kann).
Es gibt hier auch das crypt-Modul, mit dem man die Dateien verschlüsseln kann. Es werden dabei auch Dateinamen verschlüsselt.
Gruß
Patrick
Moin,
Ich bin dabei auf rclone gestoßen. Das ist ein Programm ähnlich zu rsync, ist aber darauf optimiert, mit Cloud-Speicher genutzt zu werden (bspw. versagt rsync oft in Zusammenarbeit mit WebDAV, weil man damit oftmals das Datei-Änderungsdatum nicht setzen kann).
ich nutze rclone, um damit nach der Anleitung von Jamie Phillips von zuhause (Linux) auf das vom Arbeitgeber zur Verfügung gestellte OneDrive for Business zuzugreifen. Das funktioniert so leidlich, ist aber so langsam, dass z.B. LO Calc beim Öffnen einer Datei direkt vom OneDrive einen Netzwerkfehler meldet. Kopiere ich die Datei erst in ein lokales Verzeichnis, ist alles gut.
Das Datei-Änderungsdatum geht aber auch immer verloren; ich denke aber, das hat weniger mit rclone zu tun, als vielmehr mit dem OneDrive-Client von Windows. Der verpasst den Dateien immer wieder den Timestamp der letzten Synchronisierung.
Ciao,
Martin
Hallo Martin,
ich nutze rclone, um damit nach der Anleitung von Jamie Phillips von zuhause (Linux) auf das vom Arbeitgeber zur Verfügung gestellte OneDrive for Business zuzugreifen. Das funktioniert so leidlich, ist aber so langsam, dass z.B. LO Calc beim Öffnen einer Datei direkt vom OneDrive einen Netzwerkfehler meldet. Kopiere ich die Datei erst in ein lokales Verzeichnis, ist alles gut.
Ich kann zumindest bestätigen, dass mein Versuch, den durch rclone verschlüsselten Cloud-Speicher zu mounten, ewig gedauert hat. Ich hatte es dann auch irgendwann abgebrochen.
Optimal ist das nicht und mir kommt dieses Feature eher unausgereift vor.
Gruß
Patrick
OneDrive for Business ... ist aber so langsam
... den durch rclone verschlüsselten Cloud-Speicher
Derlei ist aber zu erwarten, wenn die Dateien nach umfangreichen Austausch über Metadaten via WebDAV übertragen werden.
Für Linux:
Mit ecryptfs lokal verschlüsseln und dann den gesamtem Ordner '/home/.ecryptfs' mit rsync (also Standard-SSH) zu „schubsen“ funktioniert super. Wenn man ausagelose Massendaten (bei mir: ~/Bilder, ~/Downloads, ~/Musik, ~/Videos) also auf einer weiteren, unverschlüsselten Partition liegen hat (und nur in $HOMEDIR verlinkt) und nicht mit (auf dem Server sondern nur lokal) sichert, dann wird auch der Umfang beträchtlich (auf echte Dokumente) beschränkt.
Hallo,
OneDrive for Business ... ist aber so langsam
... den durch rclone verschlüsselten Cloud-Speicher
Derlei ist aber zu erwarten, wenn die Dateien nach umfangreichen Austausch über Metadaten via WebDAV übertragen werden.
ja, aber bei dem von mir beschriebenen Szenario ist keine Verschlüsselung im Spiel. Trotzdem ist der Zugriff sehr, sehr langsam.
Also ist nicht (nur) die Verschlüsselung, sondern auch der Zugriff über rclone an sich ein Flaschenhals.
Ciao,
Martin
Also ist nicht (nur) die Verschlüsselung, sondern auch der Zugriff über rclone an sich ein Flaschenhals.
Ist der Zugriff über rclone das Problem, oder vielleicht vielmehr der Zugriff auf den Webdienst allgemein? Es macht ja einen Unterschied ob das Programm das die Daten schiebt bremst, oder ob der Server bremst.
Hallo,
Also ist nicht (nur) die Verschlüsselung, sondern auch der Zugriff über rclone an sich ein Flaschenhals.
Ist der Zugriff über rclone das Problem, oder vielleicht vielmehr der Zugriff auf den Webdienst allgemein?
das ist eine interessante Frage, die ich gar nicht wirklich beantworten kann. Ich weiß nur, dass beim Zugriff auf eine Datei/ein Verzeichnis in der OneDrive-Cloud über Linux/rclone eine relativ lange Verzögerung auftritt, bis endlich die Antwort kommt, meist mehrere Sekunden. Die Transferrate danach ist dann völlig okay - was mein DSL-Anschluss halt hergibt (üblicherweise so um 1.25MB/s downstream).
Es macht ja einen Unterschied ob das Programm das die Daten schiebt bremst, oder ob der Server bremst.
Naja, aus Anwendersicht macht das eigentlich keinen Unterschied. ;-)
Ciao,
Martin
Hello,
Hallo,
Also ist nicht (nur) die Verschlüsselung, sondern auch der Zugriff über rclone an sich ein Flaschenhals.
Ist der Zugriff über rclone das Problem, oder vielleicht vielmehr der Zugriff auf den Webdienst allgemein?
das ist eine interessante Frage, die ich gar nicht wirklich beantworten kann. Ich weiß nur, dass beim Zugriff auf eine Datei/ein Verzeichnis in der OneDrive-Cloud über Linux/rclone eine relativ lange Verzögerung auftritt, bis endlich die Antwort kommt, meist mehrere Sekunden. Die Transferrate danach ist dann völlig okay - was mein DSL-Anschluss halt hergibt (üblicherweise so um 1.25MB/s downstream).
Der MitM benötigt solange, um eine virtuell sichere Verbindung aufzubauen.
Glück Auf
Tom vom Berg
Naja, aus Anwendersicht macht das eigentlich keinen Unterschied. ;-)
Ja, erst mal nicht. Aber es beeinflusst die Suche nach einer schnelleren Lösung 😀
Hallo,
Naja, aus Anwendersicht macht das eigentlich keinen Unterschied. ;-)
Ja, erst mal nicht. Aber es beeinflusst die Suche nach einer schnelleren Lösung 😀
im Allgemeinen ja. in diesem speziellen Fall nicht, da die meisten Faktoren vorgegeben sind:
Also ist der Client auf der Linux-Seite (rclone) die einzige Variable, an der ich drehen kann. Falls ich überhaupt etwas Besseres finde, was in der Lage ist, den Cloud-Speicherplatz transparent ins Filesystem einzubinden (ja, ich möchte den direkten Filezugriff, keine sync-hin-und-her-Lösung wie auf der Windows-Seite).
Schönen Sonntag,
Martin
Lieber Raketenmann,
Mit ecryptfs lokal verschlüsseln und dann den gesamtem Ordner '/home/.ecryptfs' mit rsync (also Standard-SSH) zu „schubsen“ funktioniert super.
Guter Tipp.
Welche Verschlüsselung wird da benutzt, wie lang kann der Schlüssel werden und wie stellt man ihn zur Verfügung? USB-Stick?
Spirituelle Grüße
Robert
Die (als Standard) eingesetzte Passphrase ist ein 128-bit-AES-Schlüssel, der in der Datei ~/.ecryptfs/wrapped-passphrase abgelegt wird. Diese Passphrase wiederum wird mit dem Anmelde-Passwort verschlüsselt ("salted") und ist somit vor einem einfachen Zugriff geschützt. Für den Datenzugriff durch die Kernel-Routinen wird die entschlüsselte Passphrase im RAM-Bereich an geeigneter Stelle und Form nach dem Einloggen abgelegt und beim Ausloggen unbrauchbar unkenntlich überschrieben.
https://wiki.ubuntuusers.de/ecryptfs/
Es funktioniert bei mir sehr gut, auch nach der Installation von Ubuntu 18.04 konnte ich meine Daten einfach übernehmen. Allerdings sehe ich gerade, die Entwicklung ist im Mai 2016 „verstorben“:
Bleibt Luks,das verschlüsselt aber ganze Partitionen (was für das Vorhaben eines Backups eher ungünstig ist). Veracrypt dito.
Und duplicity. Das verschlüsselt die zu schubsenden Dateien mit GnuPG und zum Transport die rsync-lib. Allerdings befürchte ich hier das bekannte Geschwindigkeitsproblem.
Ich würde deshalb ein lokal verschlüsseltes Backup erzeugen und dieses alsdann komplett auf den Server schubsen.
Ich bin gerade am ausprobieren mit rclone.
Die Readme Datei hat knapp 25.000 Zeilen. Das schreckt schon ein bisschen ab.
Jetzt hoffe ich auf die verlinkte Anleitung, dass die übersichtlicher ist 😀
Hallo,
Ich bin gerade am ausprobieren mit rclone.
Die Readme Datei hat knapp 25.000 Zeilen. Das schreckt schon ein bisschen ab.
das habe ich entgegen meiner sonstigen Gewohnheit nicht getan. Stattdessen habe ich mich sofort auf die Schritt-für-Schritt-Anleitung gestürzt, ohne rclone erst in allen Einzelheiten verstehen zu wollen.
Jetzt hoffe ich auf die verlinkte Anleitung, dass die übersichtlicher ist 😀
Ich denke schon. Nur an einer Stelle habe ich mich erst vertan, weil Jamie da nicht eindeutig ist: Beim Erstellen der Config für den Onedrive-Service habe ich als User zunächst den Onedrive-Usernamen eingetragen. Das ist aber falsch, hier muss der lokale Unix-Benutzername hin (hinterher war's mir klar, Linux will hier wissen, unter welchem Benutzernamen der Dienst laufen soll).
Davon abgesehen hat es bei mir "out of the box" funktioniert.
Ciao,
Martin
Ich frage mal: Ist das für Linux?
Ich bin gerade am herumspielen mit
Die Namen der verschlüsselten Dateien (inklusive Pfad) könnte man auch (ungesalzen) verschlüsseln und base64-kodieren.
Verschlüsseln würde ich lokal, senden und empfangen mit rsync. Denkbar wäre auch ein cgi oder PHP-Skript für Listen (mit Klarnamen!) auf dem Server...
Was ich bis jetzt habe:
robertrothecho "SupergutesPassword" | openssl aes-256-cfb -pbkdf2 -in /tmp/file.txt -out /tmp/file.enc -pass stdin
echo "SupergutesPassword" | openssl aes-256-cfb -pbkdf2 -in /tmp/file.enc -out /tmp/file.txt -pass stdin
stat -c "chmod %a '/tmp/file.enc'; touch -c -t %x '/tmp/file.enc'; touch -m -t %y '/tmp/file.enc'; touch -a -t %z '/tmp/file.enc';" /tmp/file.txt | sed -E 's/([0-9]{4})-([0-9]{2})-([0-9]{2}) ([0-9]{2}):([0-9]{2}):([0-9]{2})\.[0-9]{2}[0-9]* \+[0-9]*/\1\2\3\4\5.\6/g' | bash