Verschlüsselung von Containers für Linux und Windows

[mzurhorst]

Hallo zusammen.

Ich habe ein Debian 10 laufen, und möchte dort ein Verzeichnis mit (für mich) wichtigen Daten über eine Nextcloud-Lösung mit einem Windows-Rechner teilen.
Nur wäre mir am liebsten, wenn ich diese Daten verschlüsseln würde.

Soweit ich Nextcloud verstehe kann ich den Server nur 100% verschlüsseln, nicht aber partiell nur die Daten eines bestimmten Logins.
Daher würde ich nun gerne die Daten einigermaßen komfortabel verschlüsseln und den Datenbrei hochladen.

Die erwartete Größe der Daten wird im Bereich < 100MB bleiben, schätze ich mal.
Hatte erst überlegt, ob ich nicht einen einzigen Container nehme (truecrypt), und diesen dann immer 100% überschreibe. Allerdings ist unser Internet langsam, und daher nicht die beste Lösung.

Dann fand ich einen Artikel im Ubuntu-Wiki über EncFS, aber die Software scheint Sicherheitslücken zu haben.
Dort wird auf gocryptfs verwiesen, was wiederum keinen Windows-Client zu haben scheint.

Hat jemand eine möglichst komfortable Lösung, wie ich Daten verschlüsselt über die Cloud mit einem Windows-Client teilen könnte?


Als besonderes Zückerli fände ich es noch nett, wenn ich z.B. statt Passphrase die Daten auch automatisch mit einem selbst erstellten Zertifikat entschlüsseln könnte, welches ich auf den Rechnern installieren könnte. Sobald die Daten auf dem korrekten Ziel-System sind wären sie automatisch entschlüsselt, aber wenn sie unterwegs verloren gehen, dann eben nicht im Klartext sondern verschlüsselt.
---> Das ist aber nice-to-have und muss nicht zwingend sein.

Vielen Dank.

Grüße,
Marcus

[Tintom]

Mit Hinblick auf

einem selbst erstellten Zertifikat entschlüsseln

werfe ich mal gnupg in den Raum, hierfür gibt es auch Windows-Versionen. Da gpg auch verschlüsseln kann, kannst du, mit Hinblick auf

Allerdings ist unser Internet langsam

nun jede Datei einzeln komprimieren oder mehrere Dateien als Ordner zusammenfassen und dann komprimieren und anschließend auf dem Nextcloud-Medium ablegen.

[Bullet64]

Vielleicht ist das was für Dich?

https://cryptomator.org/

[TomL]

Ich habe ein Debian 10 laufen, und möchte dort ein Verzeichnis mit (für mich) wichtigen Daten über eine Nextcloud-Lösung mit einem Windows-Rechner teilen. Nur wäre mir am liebsten, wenn ich diese Daten verschlüsseln würde.

Die Schlüsselfrage hierbei ist meines Erachtens "gegen wen verschlüsseln?". Richtet sich die Verschlüsselung gegen den Windows-PC oder richtet sich sich auf dem Debian-PC gegen Zugriffe von allen, ausser Deinen eigenen?

Wenn ich solcherart schutzwerte Daten auf meinem Server speichern würde und ich hätte den Bedarf daran, auch übers Internet dran zu kommen, würde ich das lokal auf dem Debian-Server verschlüsseln und bei Bedarf entschlüsselt zur Verfügung stellen. Was ich garantiert nicht machen würde, wäre die Anbindung an die Cloud. Wenn die Daten so sensibel sind, würde ich den Webserver da ganz außen vor lassen und das schlicht und einfach via Samba-Share anbieten und dann remote mounten....openvpn oder sshfs. Via SSH kann man eben vorher einen Service anstoßen, der den Container (bei so kleiner Menge natürlich ein LUKS-Container) öffnet, dann kann ich remote mounten und mit den Files ganz normal arbeiten. Auf den Windows-PC wird aus dem Container nur das übertragen, was ich ausdrücklich selber geöffnet habe. Soll allerdings auf beiden Systemen entschlüsselt werden können, ist LUKS glaub ich kein Thema... dann brauchts wohl ein von beiden verstandenes Format.

Ich denke, hier muss man die Entscheidung treffen, ob 'sicher' wichtiger ist oder ob 'komfortabel' wichtiger ist.

[mzurhorst]

Hallo zusammen.

Vielen Dank für die Antworten.

Ich verstehe die Einwände und Anmerkungen.
Mir geht es in erster Linie darum, dass die Daten unterwegs nicht unmittelbar sichtbar sind. Ich würde mich ärgern, wenn diese Daten irgendwo offensichtlich rumliegen und dann so für andere zugänglich wären. Ich selbst möchte die Daten entsperren können auf allen meinen an die Nextcloud angeschlossenen Geräten.

Cryptomator funktioniert einwandfrei. Lediglich die 10EUR für die Android-App habe ich mir noch verkniffen. Aber wenn die genau so gut funktioniert wie die Desktop-Tools, dann ist das fair für eine anwenderfreundliche Lösung.

Grüße,
Marcus

[uname]

Wenn du die verschlüsselten Inhalte nicht zu oft ändern musst, könntest du statt eines großen Containers einfach mehrere verschlüsselte ZIP-Dateien nehmen. Am besten du nimmst dann 7-Zip (p7zip-full), da es immer AES-256 verwendet. Du musst nur darauf achten, dass auch die Dateinamen innerhalb des "Containers" verschlüsselt werden. Für die einzelnen Dateien kannst du gleiche oder auch unterschiedliche Passwörter verwenden. Über einen Passwortgenerator z. B. auf Basis des Dateinamens mit einem Standardpasswort könntest du unterschiedliche Passwörter verwenden. Schau z. B. https://myfreeer.github.io/masterkey (https://github.com/myfreeer/masterkey) (statt URL einfach den Dateinamen verwenden).