Eigenverschlüsseltes Backup auf Cloud (Strato o.ä.)

[Schorsch]

Moin,

ich würde gerne meine Shares verschlüsselt in die Cloud sichern. Crashplan ist mir bekannt, ich möchte es aber nicht nutzen - die Schlüssel hat Crashplan und könnte meine Daten entschlüsseln. Da kann ich auch gleich ungesichert per rsync z.B. zu Strato sichern. Lösungen wie Bacula scheinen nur vernünftig mit Bandlaufwerken zu laufen, sonst wäre sowas sicher hilfreich.

Wie stelle ich es am Besten an, dass ich die Daten eigenverschlüsselt sichere? Dachte daran, erst ein verschlüsseltes .tgz zu erstellen und die dann per rsync in die Cloud zu schieben. Aber dann müsste ich immer recht große Dateien verschieben und kann nicht inkrementell zwischensichern, oder?

Danke für Eure Ideen!
Schorsch

P.S. Den Strato Thread unten habe ich gesehen, aber da geht es ja um DynDNS. Habe eine feste IP aber dafür ein anderes Problem...

 

[Spacemarine]

die Schlüssel hat Crashplan und könnte meine Daten entschlüsseln.

Das stimmt nicht, zumindest wenn man der Dokumentation glauben kann. Man kann einen eigenen 448-Bit Schlüssel angeben, der sich ausschließlich auf deinem Computer befindet, diesen niemals verlässt und schon gar nicht bei Crashplan landet. Theoretisch die perfekte Lösung, es sei denn man unterstellt dass Crashplan die User bewusst belügt und den Key überträgt. Dieses Risiko geht man halt bei jeder Closed-Source Software ein.

 

[Schorsch]

...448-Bit Schlüssel ... ausschließlich auf deinem Computer ... es sei denn ... Crashplan ... überträgt. Dieses Risiko geht man halt bei jeder Closed-Source Software ein.

Naja, das finde ich schon etwas pauschal. Man kann seine Lösung z.B. extern zertifizieren lassen, was Crashplan aber nicht für nötig hält. Merkwürdig für eine kommerzielle Sicherheitslösung. Die nutzen lediglich ISO 27001 und/oder SSAE 16 zertifizierte Rechenzentren und das sagt mal rein gar nichts über ihre Verschlüsselungslösung. Code42 hat nicht mal Safe Harbor und das ist schon lasch. Die Möglichkeit des angeblich nur auf dem eigenen Rechner installierten Keys kenne ich - aber leider ist der eben eine reine Glaubensfrage und das reicht mir für die zu sichernden (teils sensitiven) Daten nicht. Das Whitepaper hier http://essentials.code42.com/rs/code42software/images/TS011302_CrashPlanPROe_TechSpecs_Security.pdf habe ich gelesen. Auch danach wäre mir eine selbst kontrollierte Verschlüsselung und anschließendes Backup der verschlüsselten Dateien in einem meinetwegen ISO 27001 zertifizierten RZ für Offsite Backup definitiv lieber... wenn jeder meine Daten lesen dürfte, bräuchte ich schon kein Inhouse-Storage ;-)

 

[Spacemarine]

Ok, wenn du es so genau nimmst, dann hast du natürlich Recht, das konnte ich deinem Post nicht entnehmen. Bloß folgende Aussage würde ich trotzdem nicht so stehen lassen:

Da kann ich auch gleich ungesichert per rsync z.B. zu Strato sichern.

Wenn du natürlich von dem theoretischen Ansatz ausgehst, dass jede Sicherheitslösung die nicht von dir selbst bis ins letzte Detail nachvollzogen werden kann, wertlos ist, dann hättest du auch mit dieser Aussage recht. In dem Fall dürftest du aber auch keinem Zertifizierter trauen, denn man weiß auch bei denen nicht, wie sie arbeiten.

Ich habe mich entschieden, dass mit der eigene 448-bit Crashplan Key ausreicht, aber das ist wie gesagt Glaubenssache.

Was vielleicht in der Praxis funktionieren würde:
Du verwendest Crashplan (ohne Internetzugang, z.B. in einem entsprechenden Jail) um ein On-Site Backup zu erstellen, welches auf einer EncFS-Partition eines anderen Computers (oder Jails) liegt. Von den verschlüsselten Daten erstellt dann ein zweites Crashplan oder ein beliebiges anderes Programm ein Backup in die Cloud.

 

[rhdd]

Ich verwende duplicity (http://duplicity.nongnu.org/) für externe Backups. Zur Verschlüsselung verwendet es gpg. Beim Backup-Ziel kann man unter sehr vielen Möglichkeiten wählen.

 

[warri]

Hi, ich verwende Backup (http://meskyanichi.github.io/backup/v4/) basierend auf Ruby.
Unterstützt Backups von Dateien/Ordnern sowie Datenbanken, Komprimierung, Verschlüsselung und relativ viele externe Services.