{"id":2454,"date":"2011-07-11T11:57:57","date_gmt":"2011-07-11T09:57:57","guid":{"rendered":"https:\/\/nodch.de\/?p=2454"},"modified":"2011-07-11T12:10:51","modified_gmt":"2011-07-11T10:10:51","slug":"sensible-daten-in-der-cloud-teil-1","status":"publish","type":"post","link":"https:\/\/nodch.de\/?p=2454","title":{"rendered":"Sensible Daten in der Cloud – Teil 1"},"content":{"rendered":"

Nicht erst seit Apple die \u201cEi-Cloud\u201d in jedes Medium katapultiert hat, erfreuen sich Clouds einer steigenden Beliebtheit. Neben den Gro\u00dfen wie Amazon und Dropbox gibt es auch kleine Clouds wie die \u201cUbuntu-One\u201d von Canonical (die Firma hinter Ubuntu Linux) und Cloudbox von LaCie.<\/span><\/p>\n

Unter Linux wird man auf jeden Fall Dropbox und speziell unter Ubuntu auch Ubuntu-One finden. Steffen Herrman hat in \u201c<\/span>Dropbox Dateien und Ordner f\u00fcr jeden zug\u00e4nglich machen<\/a><\/span>\u201d schon dar\u00fcber berichtet. Ich m\u00f6chte hier auf einen Aspekt eingehen, den Steffen ausgespart hat. Die Datensicherheit in der Cloud.<\/span><\/p>\n

Alle Anbieter versprechen, dass die Daten auf jeden Fall sicher und vor dem Zugriff durch Unbefugte gesch\u00fctzt sind. Nicht erst seit dem Dauer-Hacking-Opfer SONY sollte jedem klar sein, dass es diese Sicherheit nicht gibt! Dropbox ist der Beweis daf\u00fcr. Am 20. Juni war es durch ein Update m\u00f6glich, sich ohne korrektes Passwort bei ca. 1% der Benutzer einzuloggen. Der Zauber dauerte ganze 5 Stunden. Soviel zum Thema \u201cmeine Daten sind sicher\u201d.<\/span><\/p>\n

Sicherlich kann man es einfach unterlassen, sensible Daten in der Cloud zu speichern. Wenn es einem Cloud-Benutzer aber nicht egal ist, ob die Daten gelesen werden k\u00f6nnen, dann hilft nur die Verschl\u00fcsselung. Hier gibt es verschiedene Ans\u00e4tze, die sich auch je nach Betriebssystem unterscheiden.<\/span><\/p>\n

F\u00fcr Windows und Linux eignet sich der Einsatz des freien TrueCrypt. Allerdings wird hier ein verschl\u00fcsselter \u201cContainer\u201d erzeugt, in dem –\u00e4hnlich einer ZIP-Datei– alle Dateien gespeichert werden. Nach au\u00dfen ist nur eine gro\u00dfe Datei zu sehen. F\u00fcr den Sync bedeutet das dann, dass f\u00fcr jede kleine \u00c4nderung der gesamte Container in die Cloud \u00fcbertragen werden muss. Und das kann ein zeitaufwendiges Unterfangen werden. Der Vollst\u00e4ndigkeit wegen, einen Artikel dazu findet ihr unter \u201c<\/span>Dropbox und TrueCrypt \u2013 verschl\u00fcsselte Daten in der Cloud<\/a><\/span>\u201d.<\/span><\/p>\n

Einfache L\u00f6sungen f\u00fcr Linux<\/span><\/h2>\n

Als Linux-User ist man in der gl\u00fccklichen Lage, unter verschiedenen L\u00f6sungen w\u00e4hlen zu k\u00f6nnen. Ich habe mich f\u00fcr den <\/span>FUSE<\/a><\/span>-Dateisystem <\/span>EncFS<\/a><\/span>\u00a0entschieden. Bei den meisten Distributionen ist dieses kommandozeilenbasierende Programm in ihrem Lieferumfang enthalten. EncFS geht dabei den Weg, dass ein Verzeichniszweig mit verschl\u00fcsselten Daten nach dem Entschl\u00fcsseln einfach in ein leeres Verzeichnis eingeh\u00e4ngt wird (gemountet). Alle Daten und auch die Namen der Verzeichnisse und Dateien sind verschl\u00fcsselt.<\/span><\/p>\n

F\u00fcr die Verwendung in einer Cloud bedeutet das, dass die verschl\u00fcsselten Verzeichnisse einfach in den Sync-Ordner gelegt werden, w\u00e4hrend der entschl\u00fcsselte Teil im normalen Home-Verzeichnis liegt. Zum Beispiel k\u00f6nnte <\/span>~\/Dropbox\/.Privates_encfs<\/em>\u00a0entschl\u00fcsselt als <\/span>~\/Privates<\/em>\u00a0eingebunden werden. Der Punkt am Anfang des Verzeichnisnamens sorgt daf\u00fcr, dass man das verschl\u00fcsselte Verzeichnis in seinem Dropbox-Ordner nicht sieht.<\/span><\/p>\n

Nutzung bei Bedarf<\/span><\/h3>\n

Damit die Handhabung zeitgem\u00e4\u00dfer ist, sollte man eine grafische Oberfl\u00e4che verwenden. Diese richtet sich nach dem Verwendungszweck. Will man die verschl\u00fcsselten Daten nur gelegentlich benutzen, bietet sich der Einsatz von <\/span>Cryptkeeper<\/a><\/span>\u00a0an. Cryptkeeper erlaubt das Anlegen von verschl\u00fcsselten Verzeichnissen, sowie das einfache Einbinden bestehender Verzeichnisse. Das besondere an Cryptkeeper ist, dass er einen Eintrag deaktiviert, wenn das verschl\u00fcsselte Verzeichnis nicht existiert. Dies pr\u00e4destiniert Cryptkeeper f\u00fcr den Einsatz von USB-Sticks mit sensiblen Daten. Und das ist auch genau mein Anwendungsfall. Sobald der USB-Stick eingesteckt ist, aktiviert Cryptkeeper den entsprechenden Eintrag, und man kann ihn einbinden. <\/span><\/p>\n

Zum Einbinden erfragt Cryptkeeper das Passwort f\u00fcr den Zugang zu dem verschl\u00fcsselten Verzeichnis. Man sollte darauf achten, dass niemals das Login-Passwort verwendet wird! Wenn m\u00f6glich sollte man sich die M\u00fche machen, und jedem Eintrag ein eigenes Passwort g\u00f6nnen. Sicher ist sicher.<\/span><\/p>\n

Wenn man durch einen Sync das verschl\u00fcsselte Verzeichnis zum ersten mal auf einen anderen Rechner bekommt, dann muss man das Verzeichnis importieren. Cryptkeeper erfragt dazu einfach das verschl\u00fcsselte und das entschl\u00fcsselte Verzeichnis. Dass Passwort selbst ist im verschl\u00fcsselten Verzeichnis enthalten — nat\u00fcrlich nicht im Klartext. Doch dazu sp\u00e4ter mehr.<\/span><\/p>\n

Automatische Nutzung beim Anmelden<\/span><\/h3>\n

Der zweite m\u00f6gliche Anwendungsfall sieht etwas anders aus. Hier k\u00f6nnen die sensiblen Daten auf einem Rechner liegen, auf den auch andere Personen einen Login haben. Es ist auch denkbar, dass unbefugte den Rechner einfach mit einer Live-CD booten und so Zugriff auf die Festplatte bekommen. Oder der Laptop wird gestohlen. Wie auch immer.<\/span><\/p>\n

Alternativ zu einem komplett verschl\u00fcsseltem Laufwerk bietet sich in einem solchen Fall die L\u00f6sung mit EncFS immer dann an, wenn man nur Teile verschl\u00fcsseln m\u00f6chte. Hierzu gibt es M\u00f6glichkeiten, bei denen diese Verzeichnisse automatisch mit dem Einloggen des Benutzer entschl\u00fcsselt werden. Da das den Umfang des Artikels sprengen w\u00fcrde, werde ich das in einem sp\u00e4teren Artikel vorstellen. F\u00fcr die Neugieren unter den Lesern sei gesagt, dass das Programm <\/span>gnome-encfs<\/a><\/span>\u00a0Gegenstand des Artikel sein wird.<\/span><\/p>\n

Installation von Cryptkeeper<\/span><\/h2>\n

Die Installation von Cryptkeeper unter Ubuntu oder GNU\/Linux gestaltet sich recht einfach. Entweder man installiert es mit Synaptic, oder man nutzt dazu die Kommandozeile:<\/span><\/p>\n

$ <\/span>sudo apt-get install cryptkeeper<\/pre>\n
Der Autostart<\/span><\/h3>\n
Nach der Installation muss man das Programm zu den automatisch gestarteten Programmen hinzuf\u00fcgen. Dies geschieht bei GNOME 2.x \u00fcber das Men\u00fc \u201cSystem\/ Einstellungen\/Startprogramme \u201cund bei Unity \u00fcber den Eintrag \u201cStartprogramme\u201c in den \u201cSystemeinstellungen\u201d.<\/span><\/p>\n
\"\"<\/a><\/span><\/p>\n
Das Bild zeigt, wie der Eintrag in der Autostartliste auszusehen hat. Nach dem Eintragen ist das Programm aber noch nicht gestartet. Dazu muss man sich entweder erneut einloogen, oder man \u00f6ffnet ein Terminal und startet Cryptkeeper von Hand. F\u00fcr Ubuntu-User mit Unity Desktop gibt es zus\u00e4tzlich noch eine Schwierigkeit zu umschiffen. Unity schaltet die Icons des alten Panel (Systray Icons) ab. Um sie trotzdem zuzulassen, muss man sie in eine \u201cwhitelist\u201d eintragen. Das erledigt man am besten wieder \u00fcber das Terminal:<\/span><\/p>\n
$ <\/span>gsettings set com.canonical.Unity.Panel systray-whitelist \"['Cryptkeeper']\"<\/pre>\n
Hinweis:<\/span>\u00a0sind bereits andere Programme in dieser whitelist aufgef\u00fchrt, muss der Eintrag f\u00fcr Cryptkeeper angeh\u00e4ngt werden. Alternativ kann man mit \u2018all\u2019 auch alle Programme zulassen.<\/span><\/p>\n
Jetzt sollte man dem Start im Panel je nach gew\u00e4hlten Icon-Theme ein Sch\u00fcssel zu sehen sein. Mit einem Rechtsklick erscheint das Men\u00fc, und mit einem Linksklick die Liste der verschl\u00fcsselten Verzeichnisse, sowie zwei Eintr\u00e4ge um das Erstellen oder das Importieren anzusto\u00dfen.<\/span><\/p>\n
Anlegen eines verschl\u00fcsselten Verzeichnisses<\/span><\/h3>\n
Will man nur ein verschl\u00fcsseltes Verzeichnis ohne jeglichen Sync, so kann man Cryptkeeper dazu benutzen, ein EncFS-Verzeichnis anzulegen.<\/span><\/p>\n
\"\"<\/a>Das Bild zeigt die vier Schritte zum Anlegen eines Verzeichnisses <\/span>~\\Privates<\/span><\/em>. Cryptkeeper erledigt das voll automatisch. Nur leider liegen das Verschl\u00fcsselte und das entschl\u00fcsselte Verzeichnis im gleichen Basisverzeichnis. Im Bild w\u00e4re das das Home-Verzeichnis. Das ist aber nicht das, was wir hier brauchen.<\/span><\/p>\n
F\u00fcr Dropbox verschl\u00fcsseln<\/span><\/h3>\n
F\u00fcr eine Synchronisation mit Dropbox oder Ubuntu-One muss das verschl\u00fcsselte Verzeichnis ein anderes Basisverzeichnis verwenden. Ziel ist es, dass die verschl\u00fcsselten Daten in <\/span>~\/Dropbox\/.Privates_crypt<\/em>\u00a0landen, w\u00e4hrend die entschl\u00fcsselten Daten z.B. im Home-Verzeichnis als <\/span>~\/Privates<\/em>\u00a0eingeblendet werden. Somit ist wieder etwas Handarbeit an der Kommandozeile gefordert. <\/span><\/p>\n
$ encfs ~\/Dropbox\/.Privat_crypt ~\/Privat<\/strong><\/em>\r\nDas Verzeichnis \"\/home\/gast\/Dropbox\/.Privat_crypt\/\" existiert nicht. Soll es angelegt werden? (y,n) <\/span>y<\/strong>\r\nDas Verzeichnis \"\/home\/gast\/Privat\" existiert nicht. Soll es angelegt werden? (y,n) <\/span>y<\/strong>\r\nNeues verschl\u00fcsselter Datentr\u00e4ger wird angelegt.<\/span>\r\nBitte w\u00e4hlen Sie eine der folgenden Optionen:<\/span>\r\n \"x\" f\u00fcr den Experten-Modus,<\/span>\r\n \"p\" f\u00fcr den vorkonfigurierten Paranoia-Modus,<\/span>\r\n etwas anderes oder eine Leerzeile w\u00e4hlt den Standard-Modus.<\/span>\r\n?><\/span>\r\n\r\nStandard-Konfiguration gew\u00e4hlt.<\/span>\r\n\r\nKonfiguration abgeschlossen. Das angelegte Dateisystem hat die<\/span>\r\nfolgenden Eigenschaften:<\/span>\r\nDateisystem-Verschl\u00fcsselung: \"ssl\/aes\", Version 2:2:1<\/span>\r\nDateinamenkodierung: \"nameio\/block\", Version 3:0:1<\/span>\r\nSchl\u00fcssell\u00e4nge: 192 Bits<\/span>\r\nBlockgr\u00f6\u00dfe: 1024 Bytes<\/span>\r\nJede Datei enth\u00e4lt 8 Bytes Vorspann mit einmaligen IV-Daten.<\/span>\r\nDateinamenkodierung benutzt IV-Verkettungsmodus.<\/span>\r\nFile holes passed through to ciphertext.<\/span>\r\n\r\nNun wird ein Passwort f\u00fcr das Dateisystem ben\u00f6tigt.<\/span>\r\nDa es keinen Mechanismus zur Wiederhestellung gibt, m\u00fcssen Sie<\/span>\r\nsich an das Kennwort erinnern! Das Kennwort kann mit encfsctl<\/span>\r\nn\u00e4chtr\u00e4glich ge\u00e4ndert werden.<\/span>\r\n\r\nNeues EncFS-Passwort: <\/span>**** <\/strong>EncFS-Passwort best\u00e4tigen: <\/span>**** <\/strong>\r\n$ <\/span>fusermount -u ~\/Privat<\/strong><\/em><\/pre>\n
Durch die beiden Befehle <\/span>encfs<\/span> und <\/span>fusermount<\/span> wurde das verschl\u00fcsselte Verzeichnis angelegt und anschlie\u00dfen wieder ausgeh\u00e4ngt. Im Gegensatz zum Anlegen \u00fcber Cryptkeeper konnten die Verzeichnisse frei gew\u00e4hlt werden. Durch die Wahl der Standardkonfiguration geht man Detailfragen aus dem Weg. Wer mehr wissen will, der kann die Hilfeseite (man encfs) befragen.<\/span><\/p>\n
Im n\u00e4chsten Schritt muss man das eben angelegte Verzeichnispaar mit Cryptkeeper importieren. Diese Vorgehensweise ist auf jedem PC zu wiederholen, auf dem das verschl\u00fcsselte Verzeichnis durch den Sync zum ersten mal benutzt werden soll.<\/span><\/p>\n
\"\"<\/a>Die Abbildung zeigt die vier Schritte zum Import. Danach erscheint das Verzeichnis als Eintrag in der Liste von Cryptkeeper. Zum Einbinden muss man jetzt nur noch den Eintrag anklicken. Alle eingebundenen Verzeichnisse bekommen einen Haken vorangestellt.<\/span><\/p>\n
\"\"<\/a>Wenn man ein Verzeichnis einbindet, dann startet Cryptkeeper danach den GNOME Dateimanager Nautilus. Dies l\u00e4\u00dft sich aber in den Einstellungen von Cryptkeeper \u00e4ndern.<\/span><\/p>\n
Hiermit ist der erste Teil des Artikel fertig. Im zweiten Teil werde ich auf das automatische Einbinden der verschl\u00fcsselten Verzeichnisse beim Anmelden eingehen. Bis dahin viel Spass beim Experimentieren.<\/span><\/p>\n
Der Artikel steht unter folgender Lizenz: <\/span>CC BY-SA 3.0<\/a><\/span><\/p>\n
Erste Ver\u00f6ffentlichung auf jdesch.de<\/a><\/span><\/p>\n","protected":false},"excerpt":{"rendered":"
Nicht erst seit Apple die \u201cEi-Cloud\u201d in jedes Medium katapultiert hat, erfreuen sich Clouds einer steigenden Beliebtheit. Neben den Gro\u00dfen wie Amazon und Dropbox gibt es auch kleine Clouds wie die \u201cUbuntu-One\u201d von Canonical (die Firma hinter Ubuntu Linux) und Cloudbox von LaCie. Unter Linux wird man auf jeden Fall Dropbox und speziell unter Ubuntu […]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[682,4,8,142],"tags":[1122,1452,683,1453,333,2480,1451,832],"class_list":["post-2454","post","type-post","status-publish","format-standard","hentry","category-howto","category-netzwelt","category-security","category-ubuntu","tag-cloud","tag-cryptkeeper","tag-dropbox","tag-encfs","tag-linux","tag-security","tag-sensible-daten","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts\/2454","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=2454"}],"version-history":[{"count":0,"href":"https:\/\/nodch.de\/index.php?rest_route=\/wp\/v2\/posts\/2454\/revisions"}],"wp:attachment":[{"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=2454"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=2454"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/nodch.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=2454"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}