Dropbox und TrueCrypt – verschlüsselte Daten in der Cloud
von caschy | 110 Kommentare
Einige von euch nutzen Dropbox – und sicherlich auch TrueCrypt, oder? Beide Programme gibt es für Windows portabel (Portable TrueCrypt / Portable Dropbox). Sowohl Dropbox als auch TrueCrypt kann man unter Windows, Linux und Mac OS X nutzen. Vorhin habe ich ein wenig rumexperimentiert. Folgendes ist interessant: Dropbox synchronisiert alle veränderten Dateien – was bei einem TrueCrypt-Container kompliziert sein könnte. Dieser würde dann ja immer vollständig synchronisiert, da es sich quasi nur um eine Datei handelt. Wäre also albern einen 100 Megabyte großen Container jedes Mal hoch- und runterzuladen, nur weil man eine Textdatei im Container geändert hat.
Ich führte einen kleinen Testlauf durch: ich erstellte in meiner Dropbox (die ja lokal als auch online in der Cloud vorhanden ist) einen verschlüsselten Container. Die Dropbox-Software begann sofort mit dem Upload des Containers. In meinem Testlauf spielte ich erst einmal mit einem 10-Megabyte-Container herum. Ich mountete den Container und schob einige Daten hinein – wieder begann die Software mit der Aktualisierung des ganzen Containers – schließlich hatte sich der Zeitstempel geändert.
Nun habe ich TrueCrypt gesagt, dass er in Zukunft nicht den Zeitstempel ändern soll:
Diese Einstellungsmöglichkeit findet ihr unter Mac OS X in den Einstellungen im Security-Tab. Unter Windows ändert ihr dieses in den TrueCrypt-Voreinstellungen unter dem Punkt „Windows“ – „Zeiteinstellungen von Containerdateien behalten“.
Jetzt wurde nicht der komplette Container synchronisiert – sondern tatsächlich nur die Dateien, die innerhalb des Containers geändert wurden.
Wie es nun funktioniert, dass die Dropbox erkennt, dass sich neue und / oder veränderte Daten im Container befinden – keine Ahnung. Aber es funktioniert. Es werden immer nur die Änderungen im Container abgeglichen. Nicht der ganze Container. Klingt komisch – ist aber so.
Natürlich sollte man beachten, dass die Änderungen am Container erst vorgenommen werden, wenn dieser via TrueCrypt ausgehangen wird.
Ihr könnt nun also gefahrlos Daten online in der Cloud speichern. Ihr könnt zum Beispiel auf eurem USB-Stick einen Container anlegen und diesen immer mittels Portable Dropbox mit euch herumtragen. Selbst wenn ihr diesen verliert – kein Problem – einfach via Webinterface in die Dropbox – da habt ihr ja noch eine Kopie eurer verschlüsselten Daten.
Coole Lösung – und hier noch einmal der Fotobeweis, dass nur geänderte Daten abgeglichen werden (und nicht der komplette Container):
Vielleicht kann ja jemand was mit meiner Lösung anfangen =) Falls jemand Schwierigkeiten mit TrueCrypt hat – hier hatte ich eine Anleitung verfasst – alternativ sollte die Blogsuche weiterhelfen.
Wird geladen ...
Ich habe das ganze bei mir jetzt mal installiert, aber ich habe das Problem, dass Dropbox den Container immer nur dann synchronisiert, nachdem ich den Container unmounted habe.
GEht das auch anders?
Zweite Frage, anders als bei Caschy kann ich bei Dropbox nicht sehen, welche Dateien im COntainer geändert wurden, es zeigt mir immer nur an, dass die Datei meines Truecrypt-Containers geändert wurde.
@jw
Du hast in beiden Punkten etwas nicht gelesen bzw. falsch verstanden.
1. Im Posting steht deutlich geschrieben, dass der Container erst dann gesynct wird, wenn man den den Container unmouted („Natürlich sollte man beachten, dass die Änderungen am Container erst vorgenommen werden, wenn dieser via TrueCrypt ausgehangen wird.“).
2. Es gibt _keine_ Möglichkeit, dass man die innerhalb des Containers geänderten Dateien in der Dropbox angezeigt bekommt. Das würde auch dem Sinn von Truecrypt widersprechen, dass der Inhalt des Inhalt des Containers _geheim_ ist.
Es wird im Posting nur beschrieben, dass Dropbox nicht den gesamten Container, sondern nur Teile des Containers synct (nämlich die geänderten Bytes).
Der Screenshot zeigt auch nur, dass bei den verschiedenen Versionen der 10MB-Container-Datei nur kleine Teile gesynct wurde. mehr nicht.
@thomas
danke für die Antwort. Ich hab das mittlerweile auch bemerkt und verstehe jetzt auch deinen Blogeintrag, warum du von Truecrypt und Dropbox abrätst.
Da ich Dropbox auf zwei verschiedenen Rechnern benutze, werde ich wohl genau darauf achten müssen, dass der Container voll gesynct ist, bevor ich den Container auf einem anderen Computer mounte.
du empfiehlst als Alternative ja EncFS, sehe ich das richtig, dass wenn ich EncFS nutzen würde, meine Dateien zwar vor „neugierigen Augen“ geschützt würden, aber Dropbox Zugriff auf die Dateien hätte.
(Disclaim: Ich bin eigentlich kein Anhänger der großen Verschwörungstheorie, aber es gibt da ein paar Dateien, bei denen ich mich verpflichtet habe, wenn ich sie auf laptop, usbstick oder in der cloud lege, sie via truecrypt zu verschlüsseln.)
@jw
Anders als bei Truecryt, wo es nur einem großen Container gibt und man von außen nicht erkennen kann, ob und wie viel Daten darin stecken, kann man bei EncFS einzelne Dateien sehen, aber Dateiname und Dateiinhalt sind verschlüsselt (und damit natürlich auch für Dropbox nicht einsehbar). Man kann aber sehr wohl sehen,
– wie viele Dateien es sind,
– wie die interne Ornderstruktur aussieht,
– wie groß die Dateien sind und
– wann sie zuletzt geändert wurden.
Ob einen das stört, muss man selber wissen. Der Aussagewert des Dateinamen „SwPqJDEE0WgNqRrd-WfS3RVWyizTg5ryGE,E9G8zJ,mJh5C6fuwmoDT7lAmf3iifx,B“ oder des Verzeichnisnamens „hjhSHy4XLIHAEScrPod1PHyzrBW1j2gPlJOp3gh1nHUTj1“ ist IMHO aber wohl sehr eingeschränkt. Die Dateiinhalte selbst sind – wie schon geschrieben – verschlüsselt.
Wenn man eine ausgeprägte Paranoia hat, kann man ja die entsprechenden Verzeichnisse mit zusätzlichen Dummydatei befüllen und diese regelmäßig ändern, um für den Beobachter ein gewisses „Rauschen“ zu erzeugen.
Truecrypt bietet hier weniger Einblick, aber in der Dropbox überwiegen IMHO die Nachteile.
In der Dropbox-History wird der Truecryptcontainer auch als geändert angezeit, wenn sein Inhalt nicht verändert wurde.
Z.B. habe ich ihn gemounted, einen CMD-Link darin aufgerufen, auf der Kommandozeile ein Script ausgeführt, was eine Datei aus dem Container öffnet, diese nicht verändert und alles wieder geschlossen und ungemounted. Es wurden zwar keine Änderungen hochgeladen – das Tooltip des DB-Trayicons hat nur eine Datei als indiziert angzeigt – aber in der History auf der DB-Webseite ist der TC-Container als geändert aufgeführt.
@Bill:
Kann es sein, dass das im TrueCrypt-Container eingesetzte Dateisystem das Datum des letzten Zugriffs auf die Datei (atime) in die Meta-Daten der Datei speichert und damit doch den Inhalt des Containers verändert? Das ist z.B. bei NTFS (Windows) und ext3/4 (Linux) der Fall.
atime: http://de.wikipedia.org/wiki/Atime#Access_Stempel_.28atime.29
Wirklich eine tolle Lösung.
Ich werde es jetzt direkt ausprobieren, nett wäre noch gewesen wenn du eine Aussage dazu getroffen hättest: wie sicher TrueCrypt ist!
Dass Dropbox hier einen bitweisen Abgleich macht ist löblich und nötig aus Trafficgründen.
Anzunehmen, dass sich (von außen) der komplette Container ändert, wenn sich eine Datei darin ändert, hingegen ist falsch. So müsste bei jeder Änderung der Container komplett neu auf die Festplatte geschrieben werden. Halleluja.
Ein TC-Container darf sich also (von außen betrachtet) nur in gewissen Speicherbereichen ändern. Das OS „aktualisiert“ die Container-Datei anschließend, ohne sie komplett neu zu schreiben. Genau dieses Delta wird wohl auch von Dropbox erkannt und übertragen.
Ein technologisch ausgereifter Cloud Speicher. +1, Like, #gehtab
für wirklich sichere daten würde ich das so nicht machen. da beim runterfahren des rechners die sync unterbrochen wird, kann es gut passieren, dass temporär fehler im truecrypt container sind. das syncen an nem anderen rechner kann ich dann erstmal vergessen. insofern isses nur bedingt praktikabel.
vollständiges hochladen ist da besser geeignet. insofern lohnt es sich dann aber nur für everyday-life dokumente (text, ein paar mp3s etc.), aber nicht, um komplette platteninhalte zu syncen. abgesehen davon, dass wir auf den meisten kram auf unseren festplatten genau genommen verzichten könnten…
4 Jahre später…
…hatte ich die Idee, genau das zu versuchen, aber….
der kleine Trick klappt nicht mehr…..
es wäre schön, wenn man sich hier diesem Thema noch mal annehmen kann.
Danke
W.Tobler