Im letzten Artikel bin ich auf die Installation und den Betrieb eines OwnCloud-Servers eingegangen. Am Ende blieb die Frage offen, wie sicher ein Datenspeicher auf einem gehosteten Server überhaupt sein kann. Eigentlich müsste die Frage lauten: Wie sicher ist es überhaupt, unverschlüsselte Daten zu hosten? Die Antwort darauf muss wohl jeder für sich selbst finden, wir haben auf jeden Fall einmal getestet, wie gut man seine Daten mit TrueCrypt auf seinem OwnCloud-Server verschlüsseln kann.
TrueCrypt ist dein Freund (Was ist trueCrypt?)
Als Open-Source-Verschlüsselungssoftware für Windows XP erlangte TrueCrypt das erste Mal Aufmerksamkeit. Seitdem entwickelte sich eine Art Hype um die Software. Sie hatte etwas Geheimnisvolles an sich. Die öffentliche Nutzung von TrueCrypt gilt als ein Statement des Widerstands und dass man etwas zu verbergen habe. Dass die Entwickler dieser Software anonym sind und das bei aller Lobpreisung und allen Möglichkeiten auch bleiben wollen, verstärkt den Hype zusätzlich. Seit Kurzem wird TrueCrypt mit einem Verweis auf Microsofts Bitlocker nicht mehr weiterentwickelt. Es sei nicht mehr sicher. Abseits aller Verschwörungstheorien und Gerüchte um das Ende der Entwicklung von TrueCrypt hat dabei weiterhin eines Bestand. TrueCrypt bleibt in Version 7.1a die einzige wirklich als sicher zu betrachtende Verschlüsselungssoftware für Anwender. Es kann nicht nur versteckte Volumen erstellen, sondern auch ganze Festplatten oder sogar Windows-Partitionen verschlüsseln und das auf eine Art und Weise, die bei richtiger Anwendung eine Entschlüsselung ohne Passwort unmöglich macht.
Verschlüsselt arbeiten
Das Anwendungsszenario ist wie folgt. Du hast sensible Daten, welche du in der Cloud lagern möchtest. Mit TrueCrypt erstellst du dir einen Container mit genügend Speicherplatz für die Daten, die du vorhast, zu verschlüsseln. In meinem Beispiel nutzte ich einen 200MB großen Container. Für meine wichtigen Dokumente mehr als genug. Du verschlüsselst das „Standard TrueCrypt Volume“ mit AES-Twofish und nutzt den Hash-Algorithmus RIPEMD-160, um höchste Sicherheit im angemessenen Verhältnis zum Datendurchsatz des Containers zu erreichen. Um den Container in das System einzubinden, wählst du den zuvor erstellten Container aus und drückst auf „Mount“. Die Passwort-Abfrage beantwortest du. Ab jetzt wird deinem Container ein vorher ausgewählter Laufwerksbuchstabe zugewiesen und du kannst ihn ganz normal benutzen. Den Prozess der Einbindung kannst du dir sogar noch verkürzen. Dazu erstellst du dir eine Batch-Datei, die du dir, wenn du wirklich gezielt mit deinem Container arbeiten möchtest, in den Autostart von Windows legen solltest. Der Komfort-Gewinn ist enorm. Eine solche Muster-Batch-Datei habe ich für dich auf Pastebin hochgeladen. In ihr musst du nur noch die Pfade zu deinem Container, den gewünschten Laufwerksbuchstaben und den Pfad zu deiner portablen TrueCrypt 7.1a-Version anpassen. Diese portable Version inklusive der Batch-Datei legst du dir idealerweise auch in dein ownCloud-Verzeichnis. Damit ist gewährleistet, dass du erstens eine nicht korrupte Version von TrueCrypt 7.1a beim Mounten nutzt, zweitens kannst du sie von überall aus nutzen.
Verschlüsselte Übertragung
Geht es um verschlüsseltes Übertragen von Daten im Internet, kommt man irgendwo an den Punkt, wo man ein selbst signiertes SSL(TLS)-Zertifikat einsetzen muss. In ownClouds Administrations-Menü gibt es die Möglichkeit, dafür Sorge zu tragen, dass sämtliche Kommunikation mit dem ownCloud-Server die SSL-Verschlüsselung nutzt. Darum erstellst du dir mit
openssl req -newkey rsa:4096 -sha512 -x509 -days 365 -nodes -keyout /etc/apache2/ssl/owncloud.key -out /etc/apache2/ssl/owncloud.crt
ein Zertifikat. Es gibt dabei nur einen Punkt zu beachten. Der in dem Zertifikat eingetragene Common Name muss dem Namen des Hosts entsprechen, ist dies nicht der Fall, ist es nicht möglich, ownClouds WebDAV-Schnittstelle zu nutzen. Den Hostnamen findest du mit dem Befehl
cat /etc/hosts
heraus.
Fazit
Angenommen, Windows ist sicher und du nutzt ein nicht kompromittiertes Betriebssystem, wird diese Methode der Verschlüsselung wohl die sicherste sein. Bei Weitem aber nicht die komfortabelste. Zwar muss man den Container nur nach jedem Neustart des Computers einbinden, andererseits verschlüsselt zum Beispiel HORNETDRIVE auch deine Dateien und speichert sie in der Cloud. Hornetdrive ist zwar nicht Open Source, aber in der Anwendung wesentlich komfortabler, verliert aber genau wie TrueCrypt den Sicherheitsaspekt durch Verlust des Laptops oder Tablets, sobald man das Passwort speichert. Wer damit leben kann, einmal pro Hochfahren ein Passwort eingeben zu müssen, der erhält eine hochverfügbare und hochsichere Dateiablage auf Open-Source-Basis.