Dateiverschlüsselung für Cloud-Sync

[nisob]

Hallo,

ich würde gerne einen Cloud-Dienst nutzen, um Dateien zwischen Laptop und Desktop zu syncen. Allerdings würde ich dies gerne verschlüsseln. Meine bisherigen Versuche waren leider nicht so erfolgreich.
Zuerst hatte ich Cryfs(https://packages.debian.org/stable/utils/cryfs) ausprobiert. Allerdings hatte ich Datei-Konflikte, wenn beide Sync-Stationen online waren. Dies wird auch so in der Doku von Cryfs beschrieben.
Nun habe ich Gocryptfs(https://packages.debian.org/bookworm/gocryptfs) ausprobiert, was die Synchronisation zwischen mehreren Geräten unterstützen soll.
Ich habe dafür den Sync auf beiden Geräten mit dem gleichen Masterkey eingerichtet. Dies hat jedoch auch wieder zu Fehlern geführt.

Gibt es Empfehlungen für client-side file-encryption für cloud-sync. Oder ein howto für gocryptfs, welches den Sync von mehreren Geräten beschreibt?
Wie machen des denn alle anderen User?

[GregorS]

... Dies hat jedoch auch wieder zu Fehlern geführt.

Was für Fehler? War denen schon anzusehen, dass sie nicht behebbar sind?

Gruß

Gregor

[mino23]

Um wieviele 100.000 Tbytes/Tag geht's denn?

Was sagen Amazon, Cloudflare oder Microsoft zu Deinem Problem? Ich denke mal Du hast mit einem dieser Anbieter einen Vertrag.

Wie machen des denn alle anderen User?

Ich mache das mit einem gewöhnlichen USBstick und drei bash Scripten. Alles unverschlüsselt.

[cosinus]

ich würde gerne einen Cloud-Dienst nutzen, um Dateien zwischen Laptop und Desktop zu syncen.

Und warum muss man dafür die Cloud nutzen? Man kann direkt vom Notebook auf den Desktop und andersrum kopieren/syncen geht zB mit rsync.
Wenn man bereits Cloud hat, warum muss da was synchroniersiert werden? Ich dachte man speichert grade deswegen in die Cloud damit man von überall, egal welches Gerät, einen erreichbaren Storage hat und dort alles ablegt was man gerätübergreifend nutzen will.

[HelsAett]

ich nutze noch ganz oldschool encfs mit dropbox (vielleicht reicht dir encfs für deinen Zweck) hat den vorteil, gibts auch noch unter Mac, Android und Hust (das W Wort) ist aber mitlerweile angreifbar. Meine Bankdaten würde ich dem nicht mehr anvertrauen aber wenn es mehr und weniger nicht ganz so kritische dinge geht, noch ganz praktisch. So kommt man dann auch noch unterwegs an die Daten oder auch von einem nicht Linux Rechner.

[cosinus]

auch von einem nicht Linux Rechner.

Mit SSH ist das auch unter Windows kein Problem. Denn sshfs ist nichts anderes als sftp, als FTP über SSH. Das geht auch wunderbar mit FileZilla.

[HelsAett]

Er will doch die Daten im Sync halten, wenn ich es richtig verstanden habe. Mit FTP SSH und Co würde er kopieren und nicht syncronisieren. Ich verstehe das Szenario so, er sucht einen zentralen Ort für die Daten um diese aktuell zu halten, beim FTP besteht ja die Gefahr dass die Daten von einer anderen Quelle aus mit alten Werten überschrieben wird. Daher die Cloud und damit nicht jeder die Daten ließt halt verschlüsselt.

im Beispiel Dropbox, würde er dann mit encfs in seinen Dropbox Ordner ein weiteren z.b. encrypted anlegen, den er nach außerhalb des Dropbox Ordnern zu decrypted mounten kann. Die Daten in dropbox wären verschlüsselt, eine Änderung an den Daten würde entsprechend gesynct werden. Vorteil hier, es werden auch einzelne Änderungen gesynct und nicht Ganze Container, wie bei veracrypt oder der Gleichen. Damit wären dann die Daten von überall abgleichbar. Zwischen mehreren entfernten Rechnern, müsste er bei FTP am Ende ja immer noch irgendwo einen zentralen Speicher verwenden. Daher Cloud. Es muss aber auch nicht Cloud oder Dropbox seien, dass verschlüsselungsszenario ginge auch, wenn man Git verwendet, auch hier wäre ein sync möglich, der müsste dann aber wieder jedesmal auf den einzelnen Rechnern per Hand angestoßen werden

[cosinus]

Er will doch die Daten im Sync halten, wenn ich es richtig verstanden habe. Mit FTP SSH und Co würde er kopieren und nicht syncronisieren.

Unter Linux geht das ja auch, hab ich doch erwähnt: mount.sshfs
Für Windows gibt es da bestimmt auch etwas.

[MSfree]

Unter Linux geht das ja auch, hab ich doch erwähnt: mount.sshfs

Das ist aber nur eine Transportverschlüsselung. Die Dateien selbst liegen im Klartext auf dem Storage.

Wenn ich verschlüsselte Dateien auf dem Storage haben will, nützt sshfs gar nichts, ebenso wenig wie jede andere Transportverschlüsselung wie HTTPS.

[HelsAett]

so aus Neugier heraus, wie synct er damit seine Daten, wenn er unterwegs ist. Ohne da einen eigenen Rechner ins Internet zu stellen, auf den er Rechte für den Zugriff besitzt. Die Cloud kann er damit nicht ansprechen.

[cosinus]

Wenn ich verschlüsselte Dateien auf dem Storage haben will, nützt sshfs gar nichts, ebenso wenig wie jede andere Transportverschlüsselung wie HTTPS.

Ok, ich dachte es geht nur um die Tranportverschlüsselung. Wenn er rysnc mit sshfs nutzt und als Server irgendwas eigenes, dann muss nicht zwingend auf Dateilevel oder so verschlüsselt werden.

[cosinus]

so aus Neugier heraus, wie synct er damit seine Daten, wenn er unterwegs ist. Ohne da einen eigenen Rechner ins Internet zu stellen, auf den er Rechte für den Zugriff besitzt. Die Cloud kann er damit nicht ansprechen.

Wo steht denn dass er seinen Rechner nicht ins Internet stehen will?
Man könnte den Rechner der zu Hause steht über SSH erreichbar machen. Ist sicher genug. Oder man nimmt einen Server im Internet wenn man ein paar Euros dafür über hat.
Oder man richtet Nextcloud ein.
SInd alles Ideen und Vorschläge, ich habe nicht beansprucht die ultimative Lösung gefunden zu haben, v.a. nicht bei der Infolage wo man nicht mehr weiß als "Dateien zwischen Laptop und Desktop syncen"

[Theophil T.]

Moin,

das Vorhaben des TE ist ja erst einmal sinnvoll mit der Verschlüsselung sobald man sensible Daten auf fremden Rechnern speichert. Aber wie schon von anderen geschrieben wird auch mir nicht deutlich, warum zur Synchronisation von Daten auf Rechnern im LAN auf die Cloud zurückgegriffen werden soll.
Ich kann mir vorstellen, dass es grundsätzlich schwierig und fehleranfällig ist, wenn die verschlüsselten Daten gleichzeitig von der Verschlüsselungssoftware und einer Synchronisationssoftware geändert werden.
Als weiteren Nachteil sehe ich, dass je nach Dateigrößen viel Internetbandbreite gebraucht wird, bei gocryptfs werden die Dateien zudem nicht gesplittet.
Wenn man auch mit einem Windows-System auf die Daten zugreifen will, ist die Frage, wie gut gocryptfs unter Windows läuft.

Ich selbst habe für gemeinsame Daten auf verschiedenen Clients ganz unspektakulär einem Samba-Server im LAN laufen, den kann ich über ein VPN auch von unterwegs erreichen. Ich meine, das bietet doch auch alle Funktionen der Cloud-Lösung.
Zur Verschlüsselung von Daten in der Cloud nutze ich Cryptomator, da es unter Linux, Android und Windows läuft. Allerdings nur unter X, auf der Kommandozeile funktionierte es bei mir nicht gut, ist schon länger her, daher sind mir Details nicht mehr in Erinnerung. Verschlüsseltes und entschlüsseltes Verzeichnis liegen beide jeweils lokal, das verschlüsselte wird mit dem Nextcloud-Sync-Client mit dem Cloud-Verzeichnis synchronisiert. Synchronisation zwischen mehreren Rechnern habe ich mit Cryptomator/Nextcloud nicht versucht.

Theophil

[nisob]

Moin,

sorry, war privat etwas verhindert und hatte so viel um die Ohren, dass ich dies erstmal zurückgestellt hatte. Deshalb die späte Antwort.

[nisob]

Um wieviele 100.000 Tbytes/Tag geht's denn?

Was sagen Amazon, Cloudflare oder Microsoft zu Deinem Problem? Ich denke mal Du hast mit einem dieser Anbieter einen Vertrag.

Interessanterweise habe ich sogar mehrere solcher Cloud-Dienste, denen ich allerdings unterschiedlich vertraue.
Bei meinem Internet-Anbieter habe ich 120GB Speicherplatz.
Bei Microsoft-OneDrive, wegen MS Education, auch anscheinend eine ganze Menge, möchte ich aber nicht nutzen.
Bei meinem Studi-Cloud 30GB - diese möchte ich gerne verschlüsseln.

Zitat von deren Website der Studi-Cloud:

Wir verschlüsseln die Kommunikationswege mit SSL. Eine Verschlüsselung der Daten auf den Servern erfolgt nicht, da dies die Funktionen von sciebo einschränken würde. Sie können besonders schützenswerte Daten aber vor dem Upload mit externen Tools wie beispielsweise Boxcryptor oder Cryptomator verschlüsseln.

Ich mache das mit einem gewöhnlichen USBstick und drei bash Scripten. Alles unverschlüsselt.

Verstehe ich auch wiederum und ich habe mir auch schon überlegt, keep it simple. Ein Mittelweg wäre, einfach syncthing daheim aufzusetzen. Ohne Verschlüsselung dann. USBsticks finde in jedoch unpraktisch.
Alle der oben genannten Cloud-Anbieter haben leider keine Clientside-Encryption. Deshalb meine Frage, ob dies anders zu bewerkstelligen ist.

[cosinus]

Du willst die Dateien, die in die Cloud wandern, verschlüsseln?
Welchen Hintergrund hat das, traust du dem Anbieter/Hoster nicht? Wenn das der Fall ist gibt es eigentlich nur eine Lösung: Server mieten oder eigenen bereitstellen und Nextcloud aufsetzen. Dann sind die Dateien auf deinem Server, nur du hast Zugriff. Und transportverschlüsselt ist auch alles wenn du HTTPS einrichtest.

[GregorS]

Du willst die Dateien, die in die Cloud wandern, verschlüsseln?

Genau das schreibt der OP.

Welchen Hintergrund hat das, traust du dem Anbieter/Hoster nicht?

Auch das steht schon da.

Wenn das der Fall ist gibt es eigentlich nur eine Lösung: ...

Nein. IMO ist restlos alles, was der OP möchte, mit dem realisierbar, was zur Verfügung steht.

Du klingst geradezu so, als wolltest Du etwas verkaufen.

Gruß

Gregor

[cosinus]

Du klingst geradezu so, als wolltest Du etwas verkaufen.

Aha. Du glaubst also ich verdiene Geld, wenn er sich kostenlos Nextcloud einrichtet?
Ich hab nur nachgefragt um mich zu vergewissern, ob ich richtig verstanden habe.

[nisob]

Tatsächlich würde ich ganz gerne einen automatischen cloud-dienst nutzen. Wie oben beschrieben, empfiehlt der Anbieter dieser Cloud, die auf Owncloud basiert, Dateien in der Cloud zu verschlüsseln. So kann ich mal in der Bib, mal daheim am PC arbeiten. Ich muss zugeben, dass mein Laptop ein altes klappriges $&%€1**-Teil ist, was für mich einen weiterer Grund für die Syncronisation darstellt.

Ich hatte früher™ auch Dropbox mit encfs am laufen. Hat auch ganz gut funktioniert. Encfs wird allerdings nicht mehr empfohlen.
Meine Motiviation für jetzt war etwas aktuelles zu benutzen, was die gleiche Funktion wie encfs bietet. Meiner Meinung macht es durchaus Sinn die eigenen Daten zu verschlüsseln. Aber ich finde Cloud-Sync auch nützlich.
I'd like to have my cake and eat it!

Deshalb eben meine Versuche mit cryfs und gocryptfs aus dem repo.
cryfs ist tatsächlich ungeeigent dafür, da es die Files in kleinere Chunks splittet, womit beim sync teilweise bis 60000 Files anfallen, für dann nicht mal 100MB. Auch wird empfohlen jedesmal cryfs zu unmounten und den sync auf der einen Seite(Laptop) abzuschließen, bevor dies auf anderen Seite(PC) gemountet wird, da es sonst zu Konflikt kommt.
(siehe: https://www.cryfs.org/tutorial)

gocryptfs scheint dieses Cloud-Sync Scenario, ala Dropbox, jedoch abzuholen.
https://github.com/rfjakob/gocryptfs/issues/489

Ich habe als Doku Arch-Wiki und gocryptfs-mainpage herangezogen:
https://wiki.archlinux.org/title/Gocryptfs
https://nuetzlich.net/gocryptfs/quickstart/

1.) Dabei habe ich auf beiden Geräten die Cloud(owncloud-client) eingerichtet. Normaler Sync funktioniert.
2.) gocryptfs mit dem gleichem Passwort auf beiden Geräten -> dies hat zu Konflikten geführt
3.) gocryptfs nochmals auf beiden Geräten mit gleichem Passwort und gleichem Masterkey(wie beschrieben hier https://github.com/rfjakob/gocryptfs/wi ... -masterkey) -> hat auch zu Konflikten geführt

Ich habe aktuell kein fuse-debug oder andere error-logs. Hat gocrypfs überhaupt error log?
Ich suche also nach einer Erklärung, wie andere User dies umstetzen, da ich immer noch annehme, es sollte relativ einfach umsetzbar sein?
Mein Plan aktuell ist, das Ganze nochmals frisch aufzusetzen. Vielleicht habe ich irgendwo einen Fehler gemacht.

[nisob]

Du willst die Dateien, die in die Cloud wandern, verschlüsseln?

Genau das schreibt der OP.

Welchen Hintergrund hat das, traust du dem Anbieter/Hoster nicht?

Auch das steht schon da.

Wenn das der Fall ist gibt es eigentlich nur eine Lösung: ...

Nein. IMO ist restlos alles, was der OP möchte, mit dem realisierbar, was zur Verfügung steht.

Du klingst geradezu so, als wolltest Du etwas verkaufen.

Gruß

Gregor

Danke, ich bin also nicht ganz verrückt.

[cosinus]

Danke, ich bin also nicht ganz verrückt.

Das hab ich sicher nicht gedacht. Ich meine nur, wenn du einem Anbieter nicht traust, dann wäre es besser sich von diesem zu verabschieden. Ist nur ein Vorschlag. Ich bin nun raus hier...

[GregorS]

Danke, ich bin also nicht ganz verrückt.

Keine Sorge, das kommt noch

Mein Vorschlag: Packe/verschlüssle die Daten lokal und übertrage sie dann mit sftp in den Webspeicher. Wenn Du die richtigen Tools benutzt (ich würde z.B. 'tar cvjf datei.tbz <verzeichnis>', und mc oder rsync benutzen (dazwischen kommt noch das Verschlüsseln).
Wenn Du die Zugangsdaten zum ftp-Server in .netrc ablegst, sparst Du Dir auch die Eingabe von Login/Passwort.

HTH

Gregor