Schlagwort-Archiv: EncFs

Andi vs. Die Cloud — Vortrag & Sicherheitsremix


Anfang des Jahres berichtete ich hier im Blog davon, wie ich gegen die Cloud kämpfte. Wie ihr wisst, erzählte ich davon gestern auf der Webcon, einer Social-Media-Internetkonferenz hier in Aachen.
Den Vortrag seht ihr da oben, hier das PDF (35 MB!) inkl. anklickbarer Links1.

Es folgen ein paar Notizen darüber, was ich im Vergleich zur Blog-Artikel-Serie Neues erzählt habe — insbesondere zum Sicherheits- und Verschlüsselungsaspekt von cloudisierten Daten.
Nur, falls ihr gestern von Außerirdischen entführt wurdet, deswegen nicht bei der Webcon sein konntet und euch trotzdem für das Thema interessiert. Andere Gründe zählen nicht.

Dropbox

SicherheitsadlerDropbox verschlüsselt den Datentransfer auf seine Amazon-S3-Cloud-Ziel-Server per SSL und speichert dort 256-bit-AES-verschlüsselt ab (Quelle). Allerdings wird nicht mit einem Schlüssel des Benutzers verschlüsselt, sondern mit einem Dropbox-Schlüssel. Heißt: Amazon kann eure dort gespeicherten Daten nicht entschlüsselt an die NSA weitergeben, Dropbox aber sehr wohl.2

Bitcasa

Bitcasa benutzt ebenfalls SSL zum verschlüsselten Dateiübertragen und AES 256 bit zum verschlüsselten Speichern. Anders als Dropbox sagt Bitcasa allerdings, dass die Daten vor dem Upload auf ihre Cloud-Server beim User, klientenseitig, verschlüsselt werden. Bitcasa könne die Daten nicht entschlüsseln. Das wirft natürlich die Frage auf, wie die Daten dann beim Zugang über’s Webinterface entschlüsselt werden und wie gut dann die Verschlüsselung (/der Schlüssel) ist. Darüber habe ich nichts gefunden. Auch, immer noch, ein fanciger Begriff in der Bitcasa-Begriffswolke: Convergent Encryption.

Neue europäische Cloud-Dienste

Folie aus der PräsentationKleinere Cloud-Dienste, die seit der Internet-NSA-isierung an Relevanz gewonnen haben:

  • Mega.co.nz, der neue und zugleich ehemalige Dienst von Kim Dotcom. Irgendwas zwischen One-Click-Hoser und Cloud, läuft komplett im Browser und verschlüsselt ebenfalls klientenseitig. Aus Neuseeland. 50 GB umsonst, 500 GB für 10 US-Dollar pro Monat.3
  • Wuala. Gar nicht so neu, aber Dank europäischen Wurzeln auf einmal tatsächlich irgendwie interessant. Ein ziemlicher Dropbox-Klon aus der Schweiz, mit Servern dort, in Deutschland und in Frankreich. Verschlüsselt, 5 GB frei, 20 GB für 29 Euro pro Jahr. Nicht sooo günstig.
  • Jottacloud, ein neuer Dienst aus Norwegen. Auch komplett verschlüsselt, 5 GB umsonst. Interessant: Man hat u.A. die Möglichkeit, einen Tarif zu wählen, bei dem man pro Computer bezahlt. Unlimitierter Platz pro Computer pro Monat = 6 US-Dollar.

Randnotiz: Seit Mavericks setzt OS X jetzt als Standard-Netzwerk-Übertragungsprotokoll auf SMB2. Wer weiß, wie lange uns noch AFP erhalten bleibt.

Cloud-Eigenbau: ownCloud

ownCloudEigenbaulösung ownCloud wird immer besser. Beeindruckend, was die Open-Source-Entwickler da allein im letzten halben Jahr alles eingebaut haben. In der frisch, letzte Woche, beta-erschienen Version 6 von ownCloud gibt’s jetzt sogar einen Google-Docs-esken Editor für Office-Dateien. Cool. Wenn ihr in ownCloud reinschnuppern wollt, tut das unter demo.owncloud.org
ownCloud ist immer noch, und mehr als noch vor sechs Monaten, das fertigste Paket zum Aufsetzen seiner eigenen, privaten Cloud. Dank Benutzerverwaltung auch für eure Freunde — also gehet hin, kaufet einen Server und nehmt die Cloud-Dinge wieder selbst in die Hand!

Cloud-Eigenbau: git-annex

Repositories in git-annex assistantNeu in meiner Liste: git-annex. Auf das Tool bin ich irgendwann in den letzten paar Monaten aufmerksam geworden. Und finde es ziemlich spannend.
Joey Hess programmiert eine Erweiterung für das Quelltext-Verwaltungstool Git, die mehr auf die Verwaltung großer Dateien abzielt. Dabei lässt er sich über Crowd Funding finanzieren4. Neben git-annex programmiert er auch noch git-annex assistant, eine Webseite als GUI für git-annex.
git-annex verwaltet nicht die Dateien selbst mit Git sondern Meta-Informationen der Dateien. Das ganze findet trickreich mit key-value-Paaren statt.
Das tollste an git-annex allerdings: Man kann verschiedene Ziele, Repositories, angeben, in die seine lokal im annex-Ordner gespeicherten Daten hingespiegelt werden (siehe rechtes Bild). Das können lokale oder entfernte Computer sein (Kommunikation via Jabber), Cloud-Dienste à la Dropbox oder Amazon S3, SSH- oder FTP-Server, USB-Sticks oder Archiv-Server, wie Amazon Glacier einer ist (da gibt’s für 0,01 $/GB/Monat langsam-zugänglichen Speicherplatz). Wenn möglich, verschlüsselt git-annex die Dateien auch auf dem Ziel.
In der Präsentation habe ich ein paar Screenshots, geht mal durch. Ist spannend. Sagte ich das schon?

Cloud-P2P-Hybrid: BitTorrent Sync

BitTorrent SyncAuch neu: BitTorrent Sync. Leider Closed Source.
Ein kleines Programm von den Machern von BitTorrent, das die Torrent-Technologie dazu benutzt, Dateien in einem Sync-Ordner P2P auszutauschen. Das ganze funktioniert mit Schlüsseln, die man auf seinem Zweitrechner einträgt oder seinem Kumpel gibt. Dateiübertragung ist verschlüsselt.

Cloud-Backup: Backblaze & Crashplan

Backblaze wenn das zu sichernde Laufwerk nicht da istNach meinem »Andi vs. Die Cloud« hatte ich Backblaze als Backup-in-der-Cloud-Lösung ausprobiert. Das Programm ist hübsch und äußerst straight forward. Simpel zu bedienen und macht die eine Aufgabe, die es machen soll, hervorragend. Allerdings ist mein Internet immer noch furchtbar lahm im Upload, so dass ich kein gesamtes Backup gemacht habe. Nach den 30 Tagen Testen habe ich Backblaze nicht weiter benutzt.
In Benutzung habe ich allerdings CrashPlan. Nicht mit der kostenpflichtigen CrashPlan-Cloud als Backup-Ziel, sondern als Tool um die Fotos meiner externen Festplatte auf meinen Server zu sichern. Allerdings ist CrashPlan nicht wirklich allzu zuverlässig, vielleicht werde ich mir dafür doch mal etwas anderes anschaffen. Aloha, rsync.

Verschlüsselung: BoxCryptor Classic

BoxCryptor habe ich mittlerweile viel im Einsatz. Meine Dropbox hat einen Dokumente.bc-Ordner, der sensible5 Dateien von mir enthält. BoxCryptor entschlüsselt den Inhalt dann in /Volumes/Dokumente, so dass drauf zugreifen kann.
BoxCryptor hat sich im Mai in BoxCryptor Classic umbenannt — mittlerweile gibt es eine neue, zweite BoxCryptor-Version. Die ist leider nicht mehr EncFS kompatibel6, weil man ein Datei-Sharing-Feature eingebaut hat — und das ging nicht mehr mit der alten Struktur. Dafür liegen manche Schlüssel jetzt auf dem BoxCryptor-Server.
Wenn ihr also verschlüsselte Dateien gerne mit euren Freunden austauschen wollt: Wechselt zur neuen BoxCryptor-Version. Ich bleibe bei BoxCryptor Classic, so lange ich noch kann.

Verschlüsselung: EncFS

EncFS SetupWeil ich das Gefühl habe, dass die BoxCryptor-Classic-Tage langsam gezählt sind und EncFS wirklich super einfach zu bedienen ist, habe ich im Vortrag kurz gezeigt, wie man seinen eigenen, mit EncFS-verschlüsselten Dropbox-Ordner erstellt. Schaut kurz auf Folie 37 / PDF-Seite 129 vorbei.
Die wichtigste Kommandozeile: encfs ~/Dropbox/encryptedFiles/ ~/Desktop/decryptedCloudFiles/. Danach könnt ihr wichtige Dokumente auf eurem Desktop ablegen und findet sie verschlüsselt dann in der Dropbox. That’s it. Gehet hin und verschlüsselt eure Cloud-Dateien!
EncFS kann man übrigens wunderbar über brew installieren.
Weil die Frage während des Vortrags aufkam: So etwas wie der öffentliche Schlüssel des EncFS-Ordners ist wohl die Datei .encfs6.xml. Darin ist alles notwendige gespeichert. Ich werde mir das bei Zeiten noch mal genauer anschauen. Hier sind ein paar EncFS-Hints.

Verschlüsselung: TrueCrypt

EDIT: Benutzt nicht TrueCrypt! TrueCrypt ist nicht sicher.
TrueCrypt ist eigentlich nicht Cloud-geeignet, weil das Tool einen ganzen Container voller Dateien verschlüsselt. In der Präsentation wies man mich allerdings drauf hin, dass TrueCrypt sehrwohl mit Dropbox funktioniert. Gut!
Trotzdem werde ich kein TrueCrypt für Cloud-Krams benutzen. Warum ich’s dennoch erwähne? Weil ich desletzt für ein TrueCrypt Audit gespendet habe — und ihr solltet das auch tun: istruecryptauditedyet.com.

Zum Ende noch eine Übersicht über die verschiedenen, im Vortrag besprochenen Cloud-Dienste samt ein paar Einordnungen.

Ergänzungen? Kritik?
AB IN DIE KOMMENTARE!

aherten-cloudkram-mastertable.040

  1. Außerdem: Bei Scribd. []
  2. Theoretisch. Ob sie das tun kann ich euch nicht sagen. []
  3. Es gibt auch irgendwelche Traffic-Beschränkungen, aber die sind hoch gewählt. []
  4. Ich habe gespendet! Ihr solltet auch. []
  5. So sensibel es bei einem Promotionsstudenten eben wird: OCR’te Rechnungen, Kontoauszüge. []
  6. Wie mir der Twitter-Austausch mit @boxcryptor zeigte, war BoxCrypter direkt ab Version 1.1 kein einfacher Wrapper um EncFS mehr, sondern machte sein eigenes Ding. War allerdings immer noch kompatibel zu EncFs. []

Andi vs. Die Cloud: Epilog

cloudheaderMein neues MacBook hat nur eine kleine SSD. Die Daten will ich gerne in die Cloud schieben. Aber es gibt so viele!

Für mein Problem der Cloud-Auslagerung ist Bitcasa also der Heiland. Alles ist gut und wir können nach Hause zu unseren Lieblings-Advice-Animals surfen1?
Nee.
Denn Bitcasa ist nur ein Teil meines persönlichen Speicherplatzbewältigungsmechanismus.
In diesem Epilog möchte ich vom Rest berichten, einzwei nützliche Tools erwähnen und schließlich ein Fazit ziehen.

Alternativdatenträgerspeicherung

Als ich mein MacBook letztes Jahr bekam, hatte ich erstmal keine Zeit, großartig herum zu experimentieren. Not macht langweilig und so besorgte ich mir als kurzfristige und mittlerweile zusätzliche Lösung eine externe Festplatte.
Cool wäre es gewesen, eine Platte mit Apples neuem Thunderbolt-Anschluss zu bekommen. Aber davon gibt’s weder viele, noch sind die besonders günstig.
Ich hab das Nächstbeste genommen: USB 3.0. Eine Toshiba-1-TB-Platte beherbergt jetzt meine Daten. Und ist außerdem zweites Time-Machine-Ziel beim Backup. Wir könnten ja von einem Asteroiden… ihr wisst schon.

Nifty Mini DriveSchon bevor ich mein Notebook bekam, gab es ein Kickstarter-Projekt, das ich interessant fand. Das Nifty Mini Drive ist ein microSD→SD-Adapter, extra für MacBooks. Der Adapter verschwindet ohne Überstand im SD-Port des Geräts und ist dafür gedacht, längere Zeit im Gehäuse zu bleiben. Die momentane größte microSD-Karte liefert 64 GB, immerhin zusätzliche 25% meines internen MacBook-Speichers.
Ich backte unterstützte das Projekt und bestellte ein Drive. Wie das so ist bei Kickstarter-Kampagnen: Das dauert alles etwas. Es gab einen Haufen Verzögerungen. Aber tatsächlich liegt seit letzter Woche das Nifty Mini Drive bei mir zu Hause und wartet auf das Ankommen der microSD-Karte. Damit ich das Ding endlich benutzen kann.

Musik-Vercloudung

Musik besitzt man mittlerweile nicht mehr. Man mietet sie. Gestreamt aus der Cloud.
Spotify ist synonym mit dem Modell. Für 10 Euro greift man über das Programm auf einen Musikkatalog zu, der größer ist, als alles, was man zu Lebzeiten hören kann. Für jeden gehörten Track zahlt dann Spotify dem Künstler eine Gebühr aus, die ungefähr so hoch ist wie der Wirkstoffanteil in Globuli.
Für mobile Geräte gibt’s ebenfalls Anwendungen, die dann auch das Speichern von Musik zur Offlinehörung erlauben.2

Mein RdioNeben Spotify gibt’s noch Rdio, das im wesentlichen den selben Service anbietet. Der Katalog ist fast gleich, die Monatsgebühr ebenso, es gibt Desktop- und Mobilapps, die Facebook-Integration ist nicht ganz so tief wie bei Spotify. Mir gefiel bei Rdio die Desktop-App allerdings besser als bei Spotify3, so dass ich nun seit ein paar Monaten Rdio zum Musikhören nutze. Ein kleines schlechtes Gewissen wegen der schlechten Künstlerbezahlung habe ich allerdings immer noch.
Abgesehen davon bin ich mit Rdio auch ganz zufrieden. Hier und da hakt’s noch etwas (manche Ansichten sind nicht so, wie erwartet; das Handling manchmal unintuitiv; wenn das Playlist-nächste Lied nicht auf dem Handy ist wird es ungefragt gestreamt, auch aus dem mobilen Datennetz; die mobile App setzt ein Lied nach längerer Pause nicht an der alten Stelle fort) aber damit kann ich leben.
Rdio zu benutzen passte auch gut zu meinem neuen Handy. Seit Oktober habe ich ein iPhone 5 — allerdings in der Ausführung mit geringstem Speicherplatz. Da kam die Musik-Cloud wie gerufen.

Bild-Vercloudung

Google-Speicherplatz - meinen Tarif gibt's nicht mehrBilder lade ich schon seit einiger Zeit bei Picasa hoch. Allerdings nicht primär, um die Daten dort abzulegen, sondern hauptsächlich, um sie dort zu teilen. Ich habe sogar Extraspeicher dort gekauft.
Natürlich könnte man Picasa auch als Bilder-Cloud benutzen4, aber das ist schon eine wirklich weite Uminterpretation des Dienstes. Qualitätsverlust und Informationsverlust integriert. Sharen: ja; Cloud: nein.

EncFS / BoxCryptor

Wir alle wissen, dass die Leute beim FBI nur darauf warten, die Hausarbeiten der Deutschen auszuspionieren. Deswegen, aus ernsthafteren Gründen, oder weil man es schlichtweg kann, macht es vielleicht Sinn, seine Daten in der Cloud zu verschlüsseln. Entweder direkt alles, oder nur einzelne Ordner.

Allerdings ist nicht jede Art der Dateiverschlüsselung für die Cloud geeignet, etwa weil viele einzelne verschlüsselte Dateien in einer großen Gesamtdatei verwaltet werden (TrueCrypt, z.B.).
EncFS allerdings verschlüsselt jede Datei einzeln — und ist damit wie geschaffen für die Cloud. Ein cloudgespeicherter Ordner ist mountbar im lokalen System und von da an als ganz normaler Ordner zu benutzen. Ziemlich bequem.

BoxCryptorUm’s noch bequemer zu machen, gibt’s BoxCryptor. Eine Art Endbenutzerumsetzung für EncFS. In bunt. Gibt es für (fast) sämtliche Betriebssysteme und ersetzt die Kommandozeilenhandhabung von EncFS durch hübsche, klickbare Dialogfenster. Macht die Verschlüsselung super einfach zu benutzen.
BoxCryptor benutzt unter der Haube vollständig EncFS, so dass es überhaupt nicht schlimm ist, dass eine Linux-Version davon fehlt. Die Macher haben sogar eine Anleitung gepostet, wie man seinen BoxCryptor-verschlüsselten Ordner in Linux mountet.5
BoxCryptor erlaubt in seiner freien Version das gleichzeitige Mounten eines einzigen Geräts. Möchte man mehr, muss man bezahlen.6
Ich speichere mittlerweile verschlüsselt Rechnungen und Kontoauszüge in der Dropbox. Außerdem habe ich damit begonnen, die bei Bitcasa hochgeladenen Bilder zu verschlüsseln — aber von dessen Sinnhaftigkeit bin ich noch nicht überzeugt.

Backup in der Cloud

Systemsteuerungsdialog von Backblaze - Initales Backup bei mir will 100 GB hochladenImmer wieder habe ich das Bedürfnis, ein Backup meiner Dateien in die Cloud zu jagen. Dann fällt mir ein, dass mein Upstream scheiße ist und ich lasse es sein.
Hätte ich schnelleren Upload, oder wäre ich geduldiger, ich würde Backblaze benutzen. Der Dienst ist super sympathisch7, kostet mit 4 bis 5 US-Dollar pro Monat nicht die Welt und hat ein Tool, das allen Backup-Aufwand abnimmt — für Windows und Mac.
Der Martin benutzt das, vielleicht will er uns ja von seinen Erfahrungen berichten…?

Es gibt noch viel mehr Cloud-Backup-Anbieter da draußen, aber irgendwie führt mich meine Recherche dann doch immer wieder zu Backblaze.

Fazit

Ich habe mittlerweile meinen modus operandi cloudus gefunden.

  • Wichtige Dateien und Dateien, die ich mit anderen kollaborativ bearbeiten möchte, kommen in die Dropbox.
  • Gekaufte Musik, Musik-Mixe, Fotos und vielleicht in Zukunft noch mehr lade ich zu Bitcasa und streame ich von dort.
  • Musik-Alben und einzelne Tracks höre ich über Rdio.
  • Damit ich auch offline alle meine Daten habe, habe ich eine externe Festplatte und eine SD-Karte.
  • Backups landen auf meinem Fileserver im LAN und auf der externen Festplatte, vielleicht auch irgendwann mal bei Backblaze. Wichtige, sensible undoder arg persönliche Daten werden mit EncFS/BoxCryptor verschlüsselt.
  • Der Vollständigkeit halber: Der Fileserver läuft mit Ubuntu und AFP, die Dateien von der Arbeit mounte ich via SSHFS.

Das funktioniert für mich hervorragend, setzt aber natürlich an vielen Stellen ein Onlinesein voraus.

Das war’s mit »Andi vs. Die Cloud«. Danke für’s zulesen.
Ich hoffe, ich konnte euch etwas beim Cloud-Kram inspirieren und unterhalten — und vielleicht habt ihr ja sogar etwas Neues gelernt.

Wie ist denn eigentlich eure Cloud-Nutzung?

  1. So doof! Von den Advice Animals sind nur ein Bruchteil tatsächlich Tiere. Tzes. []
  2. Und wenn man bei der Telekom ist, dann kann man auf sämtliche Netzneutralität scheißen und Spotify sogar mobil Flatrate-ig nutzen. []
  3. Im wesentlichen ist sie weiß. Außerdem ist der Katalog nach Alben geordnet. []
  4. Es scheint sogar FUSE-Umsetzungen zu geben: GDataFs und picasafuse — aber beide sehen unfertig aus. []
  5. Ich musste in meiner Ubuntu-Version allerdings noch diesen Fix anwenden. []
  6. Alternativ könnt ihr natürlich auch auf dem Mac EncFS benutzen.

    $ encfs "/Volumes/Bitcasa Infinite Drive/My Infinite/Pictures.bc/" /Users/Andi/Desktop/tempMount/

    — Vorausgesetzt, ihr habt encfs vorher installiert. Über Homebrew oder Port z.B. Aber ihr solltet euch fragen, ob ihr die Programmierer von guter Software nicht unterstützen wollt. Soviel ist das bei BoxCryptor jetzt auch nicht. []

  7. Die letzte Frage, ganz unten auf der Startseite. []