Andi vs. Die Cloud — Vortrag & Sicherheitsremix


Anfang des Jahres berichtete ich hier im Blog davon, wie ich gegen die Cloud kämpfte. Wie ihr wisst, erzählte ich davon gestern auf der Webcon, einer Social-Media-Internetkonferenz hier in Aachen.
Den Vortrag seht ihr da oben, hier das PDF (35 MB!) inkl. anklickbarer Links1.

Es folgen ein paar Notizen darüber, was ich im Vergleich zur Blog-Artikel-Serie Neues erzählt habe — insbesondere zum Sicherheits- und Verschlüsselungsaspekt von cloudisierten Daten.
Nur, falls ihr gestern von Außerirdischen entführt wurdet, deswegen nicht bei der Webcon sein konntet und euch trotzdem für das Thema interessiert. Andere Gründe zählen nicht.

Dropbox

SicherheitsadlerDropbox verschlüsselt den Datentransfer auf seine Amazon-S3-Cloud-Ziel-Server per SSL und speichert dort 256-bit-AES-verschlüsselt ab (Quelle). Allerdings wird nicht mit einem Schlüssel des Benutzers verschlüsselt, sondern mit einem Dropbox-Schlüssel. Heißt: Amazon kann eure dort gespeicherten Daten nicht entschlüsselt an die NSA weitergeben, Dropbox aber sehr wohl.2

Bitcasa

Bitcasa benutzt ebenfalls SSL zum verschlüsselten Dateiübertragen und AES 256 bit zum verschlüsselten Speichern. Anders als Dropbox sagt Bitcasa allerdings, dass die Daten vor dem Upload auf ihre Cloud-Server beim User, klientenseitig, verschlüsselt werden. Bitcasa könne die Daten nicht entschlüsseln. Das wirft natürlich die Frage auf, wie die Daten dann beim Zugang über’s Webinterface entschlüsselt werden und wie gut dann die Verschlüsselung (/der Schlüssel) ist. Darüber habe ich nichts gefunden. Auch, immer noch, ein fanciger Begriff in der Bitcasa-Begriffswolke: Convergent Encryption.

Neue europäische Cloud-Dienste

Folie aus der PräsentationKleinere Cloud-Dienste, die seit der Internet-NSA-isierung an Relevanz gewonnen haben:

  • Mega.co.nz, der neue und zugleich ehemalige Dienst von Kim Dotcom. Irgendwas zwischen One-Click-Hoser und Cloud, läuft komplett im Browser und verschlüsselt ebenfalls klientenseitig. Aus Neuseeland. 50 GB umsonst, 500 GB für 10 US-Dollar pro Monat.3
  • Wuala. Gar nicht so neu, aber Dank europäischen Wurzeln auf einmal tatsächlich irgendwie interessant. Ein ziemlicher Dropbox-Klon aus der Schweiz, mit Servern dort, in Deutschland und in Frankreich. Verschlüsselt, 5 GB frei, 20 GB für 29 Euro pro Jahr. Nicht sooo günstig.
  • Jottacloud, ein neuer Dienst aus Norwegen. Auch komplett verschlüsselt, 5 GB umsonst. Interessant: Man hat u.A. die Möglichkeit, einen Tarif zu wählen, bei dem man pro Computer bezahlt. Unlimitierter Platz pro Computer pro Monat = 6 US-Dollar.

Randnotiz: Seit Mavericks setzt OS X jetzt als Standard-Netzwerk-Übertragungsprotokoll auf SMB2. Wer weiß, wie lange uns noch AFP erhalten bleibt.

Cloud-Eigenbau: ownCloud

ownCloudEigenbaulösung ownCloud wird immer besser. Beeindruckend, was die Open-Source-Entwickler da allein im letzten halben Jahr alles eingebaut haben. In der frisch, letzte Woche, beta-erschienen Version 6 von ownCloud gibt’s jetzt sogar einen Google-Docs-esken Editor für Office-Dateien. Cool. Wenn ihr in ownCloud reinschnuppern wollt, tut das unter demo.owncloud.org
ownCloud ist immer noch, und mehr als noch vor sechs Monaten, das fertigste Paket zum Aufsetzen seiner eigenen, privaten Cloud. Dank Benutzerverwaltung auch für eure Freunde — also gehet hin, kaufet einen Server und nehmt die Cloud-Dinge wieder selbst in die Hand!

Cloud-Eigenbau: git-annex

Repositories in git-annex assistantNeu in meiner Liste: git-annex. Auf das Tool bin ich irgendwann in den letzten paar Monaten aufmerksam geworden. Und finde es ziemlich spannend.
Joey Hess programmiert eine Erweiterung für das Quelltext-Verwaltungstool Git, die mehr auf die Verwaltung großer Dateien abzielt. Dabei lässt er sich über Crowd Funding finanzieren4. Neben git-annex programmiert er auch noch git-annex assistant, eine Webseite als GUI für git-annex.
git-annex verwaltet nicht die Dateien selbst mit Git sondern Meta-Informationen der Dateien. Das ganze findet trickreich mit key-value-Paaren statt.
Das tollste an git-annex allerdings: Man kann verschiedene Ziele, Repositories, angeben, in die seine lokal im annex-Ordner gespeicherten Daten hingespiegelt werden (siehe rechtes Bild). Das können lokale oder entfernte Computer sein (Kommunikation via Jabber), Cloud-Dienste à la Dropbox oder Amazon S3, SSH- oder FTP-Server, USB-Sticks oder Archiv-Server, wie Amazon Glacier einer ist (da gibt’s für 0,01 $/GB/Monat langsam-zugänglichen Speicherplatz). Wenn möglich, verschlüsselt git-annex die Dateien auch auf dem Ziel.
In der Präsentation habe ich ein paar Screenshots, geht mal durch. Ist spannend. Sagte ich das schon?

Cloud-P2P-Hybrid: BitTorrent Sync

BitTorrent SyncAuch neu: BitTorrent Sync. Leider Closed Source.
Ein kleines Programm von den Machern von BitTorrent, das die Torrent-Technologie dazu benutzt, Dateien in einem Sync-Ordner P2P auszutauschen. Das ganze funktioniert mit Schlüsseln, die man auf seinem Zweitrechner einträgt oder seinem Kumpel gibt. Dateiübertragung ist verschlüsselt.

Cloud-Backup: Backblaze & Crashplan

Backblaze wenn das zu sichernde Laufwerk nicht da istNach meinem »Andi vs. Die Cloud« hatte ich Backblaze als Backup-in-der-Cloud-Lösung ausprobiert. Das Programm ist hübsch und äußerst straight forward. Simpel zu bedienen und macht die eine Aufgabe, die es machen soll, hervorragend. Allerdings ist mein Internet immer noch furchtbar lahm im Upload, so dass ich kein gesamtes Backup gemacht habe. Nach den 30 Tagen Testen habe ich Backblaze nicht weiter benutzt.
In Benutzung habe ich allerdings CrashPlan. Nicht mit der kostenpflichtigen CrashPlan-Cloud als Backup-Ziel, sondern als Tool um die Fotos meiner externen Festplatte auf meinen Server zu sichern. Allerdings ist CrashPlan nicht wirklich allzu zuverlässig, vielleicht werde ich mir dafür doch mal etwas anderes anschaffen. Aloha, rsync.

Verschlüsselung: BoxCryptor Classic

BoxCryptor habe ich mittlerweile viel im Einsatz. Meine Dropbox hat einen Dokumente.bc-Ordner, der sensible5 Dateien von mir enthält. BoxCryptor entschlüsselt den Inhalt dann in /Volumes/Dokumente, so dass drauf zugreifen kann.
BoxCryptor hat sich im Mai in BoxCryptor Classic umbenannt — mittlerweile gibt es eine neue, zweite BoxCryptor-Version. Die ist leider nicht mehr EncFS kompatibel6, weil man ein Datei-Sharing-Feature eingebaut hat — und das ging nicht mehr mit der alten Struktur. Dafür liegen manche Schlüssel jetzt auf dem BoxCryptor-Server.
Wenn ihr also verschlüsselte Dateien gerne mit euren Freunden austauschen wollt: Wechselt zur neuen BoxCryptor-Version. Ich bleibe bei BoxCryptor Classic, so lange ich noch kann.

Verschlüsselung: EncFS

EncFS SetupWeil ich das Gefühl habe, dass die BoxCryptor-Classic-Tage langsam gezählt sind und EncFS wirklich super einfach zu bedienen ist, habe ich im Vortrag kurz gezeigt, wie man seinen eigenen, mit EncFS-verschlüsselten Dropbox-Ordner erstellt. Schaut kurz auf Folie 37 / PDF-Seite 129 vorbei.
Die wichtigste Kommandozeile: encfs ~/Dropbox/encryptedFiles/ ~/Desktop/decryptedCloudFiles/. Danach könnt ihr wichtige Dokumente auf eurem Desktop ablegen und findet sie verschlüsselt dann in der Dropbox. That’s it. Gehet hin und verschlüsselt eure Cloud-Dateien!
EncFS kann man übrigens wunderbar über brew installieren.
Weil die Frage während des Vortrags aufkam: So etwas wie der öffentliche Schlüssel des EncFS-Ordners ist wohl die Datei .encfs6.xml. Darin ist alles notwendige gespeichert. Ich werde mir das bei Zeiten noch mal genauer anschauen. Hier sind ein paar EncFS-Hints.

Verschlüsselung: TrueCrypt

EDIT: Benutzt nicht TrueCrypt! TrueCrypt ist nicht sicher.
TrueCrypt ist eigentlich nicht Cloud-geeignet, weil das Tool einen ganzen Container voller Dateien verschlüsselt. In der Präsentation wies man mich allerdings drauf hin, dass TrueCrypt sehrwohl mit Dropbox funktioniert. Gut!
Trotzdem werde ich kein TrueCrypt für Cloud-Krams benutzen. Warum ich’s dennoch erwähne? Weil ich desletzt für ein TrueCrypt Audit gespendet habe — und ihr solltet das auch tun: istruecryptauditedyet.com.

Zum Ende noch eine Übersicht über die verschiedenen, im Vortrag besprochenen Cloud-Dienste samt ein paar Einordnungen.

Ergänzungen? Kritik?
AB IN DIE KOMMENTARE!

aherten-cloudkram-mastertable.040

  1. Außerdem: Bei Scribd. []
  2. Theoretisch. Ob sie das tun kann ich euch nicht sagen. []
  3. Es gibt auch irgendwelche Traffic-Beschränkungen, aber die sind hoch gewählt. []
  4. Ich habe gespendet! Ihr solltet auch. []
  5. So sensibel es bei einem Promotionsstudenten eben wird: OCR’te Rechnungen, Kontoauszüge. []
  6. Wie mir der Twitter-Austausch mit @boxcryptor zeigte, war BoxCrypter direkt ab Version 1.1 kein einfacher Wrapper um EncFS mehr, sondern machte sein eigenes Ding. War allerdings immer noch kompatibel zu EncFs. []

8 Gedanken zu „Andi vs. Die Cloud — Vortrag & Sicherheitsremix

  1. Woohooo! Ganz schön viele Informationen, die du hier versammelt hast. Ich glaube, ich werde mir EncFS irgendwann mal genauer anschauen. Da ich das ja nur beim Starten einmal entschlüsseln muss, sollte das recht bequem per Script gehen. Und dann brauch ich da ja nicht mehr drauf zugreifen.

    @ownCloud: cool, das geht ja so langsam ein bisschen in Richtung Groupware. Muss ich mal im Auge behalten.

    1. @EncFS: Ja, genau. Das ist was, da kann man sich einfach ein Startup-Script machen und dann fertig. Es gibt btw auch GUIs für Ubuntu etc., allzu weit sollte dann ein OS-X-GUI für EncFS auch nicht sein (ich habe aber bei der fixen Suche nichts gefunden)…

Kommentare sind geschlossen.