@JimSim warum meinst, dass der Keyfile Vorteil flöten geht, wenn ich ihn in einer anderen Cloud speichere? Ich hab da eher Angst, das der Keyfile korrupt wird, wenn irgendein Speichervorgang beim Cloudhoster durchgeführt wird.
Naja, man nutzt ein Keyfile damit ein Angreifer nicht nur das Passwort eingeben muss um an die Daten zu kommen, sondern zusätzlich noch das Keyfile besitzen muss um Zugriff zum Container zu gelangen. Damit das Keyfile also was bringt, ist es zwingend notwendig, dass du allein (bzw. jeder der Zugriff auf den Container haben soll) Zugriff auf das Keyfile hast. So, jetzt lagerst du das Keyfile aber im Internet... Du hast ja bereits festgestellt das es mit der Sicherheit und der Vertraulichkeit bei Betreibern von Internet-Diensten so ne Sache ist... Wenn man es auf die Spitze treibt kann man sagen: Alles was ins Internet gestellt wird ist öffentlich und jeder hat Zugriff darauf. Beim Container ist das nicht weiter wild, denn der ist ja verschlüsselt. Wenn du das Keyfile aber nicht nochmal extra verschlüsselst (und das wäre irgendwie unsinnig bzw. ein ewiger Kreislauf...) dann hat jeder Zugriff auf dein Keyfile... Und das widerspricht ja irgendwie der Prämisse, dass ein Keyfile nur sinnvoll ist, wenn du allein Zugriff darauf hast.
Was kann man also machen? A) Keyfile auf nem USB-Stick mit sich tragen. C) Kopie des Keyfiles auf jedem benutzten Gerät aufbewahren. B) Auf Keyfile verzichten.
A) macht nur Sinn, wenn die Daten in der Cloud die sinnvolle Größe eines USB-Sticks überschreiten. Denn ansonsten kann man den Container ja auch gleich auf den USB-Stick schreiben. (Wenn der USB-Stick für die Daten aus anderen Gründen nicht anfrage kommen, fällt diese Alternative wahrscheinlich auch für das Keyfile aus...)
B) schränkt die Mobilität ein wenig ein, denn es kommen nur eigene Gerät für das entschlüsseln des Containers in Frage. Die Frage ist hier, ob das nicht ohnehin ratsam ist, denn das entschlüsseln sollte nur auf Geräten stattfinden die man selbst (zumindest im gewissen Maße) kontrollieren kann und vertrauenswürdig sind. Oft sind das ohnehin nur die eigenen...
C) Auch immer ne Lösung... Two-Factor-Authentification ist zwar immer zu erwünschen, aber nen gutes Passwort mit ausreichender Länge kann in diesem Fall auch durchaus ausreichend sein. Brute Force gegen ne ordentliche AES-Verschlüsselung ist ohnehin zwecklos und bei allen mir bekannten Angriffsvektoren gegen TrueCrypt ist ein Keyfile ohnehin praktisch sinnlos...
Dass das Keyfile in der Cloud korrupt wird ist natürlich auch immer ne Möglichkeit. Ich halte die Wahrscheinlichkeit dafür aber für relativ gering. (Solange es kein gezielter Angriff auf deine Dateien war... )
@Jimini
Richtig, die meisten Versuche die Verschlüsselung zu knacken geschehen über Side-Channel-Angriffe. Also über Lücken in der Implementation des Verschlüsselungsalgorithmus (bsp. weil man den Schlüssel einfach aus dem Speicher auslesen kann oder man die Schlüsselgeneration gezielt manipulieren kann). Das spielt in diesem Fall wiederum keine, bzw. nur eine untergeordnete Rolle, denn verschlüsselt wird nicht auf Seiten des Betreibers oder in zusammenarbeit mit einem Internetdienst, bzw. für eine Übertragung ins Internet, sondern lokal. Ob ich hier also für eine lokale Festplatte oder für eine online Festplatte verschlüssel wird ist beliebig, denn für beide ist der Prozess vollkommen gleich. Man kann höchsten zwischen einem PC, der noch nie mit dem Internet-Verbunden war und zu dem niemals Fremde Zugriff hatten, und einem PC mit Internet / Fremd-Zugriff unterscheiden. Also ganz nach dem BSI Prinzip: Unter jedem Schreibtisch gibt's zwei PCs, einer der ausschließlich ins Internet kann und einer der mit dem lokalen Netzwerk verbunden ist und auf dem gearbeitet wird. Aber das macht (fast) niemand so...
Aber ja, im Prinzip hast du recht, aber in diesem Szenario und im praktischen Umfeld halt nicht.
Falls jemand einen Online-Speicherdienst (und allgemeines collaboration-tool) mit eingebauter Verschlüsselung sucht dem man wirklich vertrauen kann, weil der Betreiber selbst keinen Zugriff auf die Daten hat:
https://www.idgard.de/
Ich hab mir mal deren wissenschaftlichen Artikel durchgelesen, das Konzept kann man besser nicht machen. (Meiner Meinung nach.) Dafür kostet der Dienst ein wenig... bzw. bietet nicht allzu viel Speicherplatz.
Zuletzt bearbeitet: