Cloud: VeraCrypt, Cryptomator, Boxcryptor oder?

[Mickey Mouse]

ich hasse es ja, das Rad ständig neu erfinden zu müssen

welches Tool ist für sensible Daten, auf die man von verschiedenen Geräten zugreifen können möchte, am geeignetsten?
ich bin da nicht komplett bei Null, habe aber etwas den Überblick verloren.

ich setze normalerweise True- bzw. jetzt natürlich Verycrypt ein, um z.B. USB Sticks (teilweise) zu verschlüsseln, einige Container liegen auch auf OneDrive, Google Drive oder Dropbox, das "hakt" aber manchmal.
die Tools dazu für Mac und Windows gefallen mir sehr gut.
allerdings hat VeryCrypt aus meiner Sicht zwei riesige Nachteile:
1) man muss die Größe des Containers beim Erstellen angeben und die lässt sich auch nicht mehr ändern, oder?
2) die fehlende Android Unterstützung! Ich habe es mit ESD (lite) ausprobiert, aber damit ist kein "seamless" Zugriff von Verycrypt aus möglich. Man muss den Container mit ESD erst auf das lokale Gerät kopieren und wenn man etwas geändert hat natürlich auch wieder zurück. Das macht die Sache unbrauchbar. Ob das mit ESD-Full besser ist, kann man erst nach Geld Einwurf ausprobieren.

Cryptomator sieht auf den ersten Blick sehr gut aus und hat z.B. nicht die Einschränkung der "statischen" Größe. Hier kann man Android aber gar nicht ausprobieren, ohne vorher 10€ einzuwerfen.

boxcryptor ist schön und gut aber in der freien Version auf zwei Geräte beschränkt. Ich würde natürlich für ein gutes Programm auch zahlen, aber dann bitte möglichst einmalig und kein Abo Dienst wie hier 36€/Jahr.

Klar, es handelt sich hier (in meinem Fall) über eher geringe Datenmengen (1GB werde ich kaum zusammen bekommen) und die könnte ich natürlich auch Zuhause in der Nextcloud speichern. Dann ist aber wieder die Frage: falls man doch mal VPN "vergisst" oder es aus welchen Gründen auch immer nicht möglich ist, dann schießt man sich so richtig selber in die Füße.

hat mal jemand gute Vergleiche gefunden, wie sich die verschiedenen Lösungen speziell beim Handling (Komfort) und Geschwindigkeit unterscheiden?
ich stelle mir etwas vor, bei dem ich einen Container einmal "mounte" und der dann als "Netzlaufwerk" transparent zur Verfügung steht. Das ganze muss (in meinem Fall) unter Mac OS-X, Windows 10 und Android (10) funktionieren, Linux/BSD und iOS wären nett.

wichtig ist vor allem auch, wie sich diese Tools bei "parallelem Zugriff" verhalten!
ich werde als einzelne Person zwar selten von zwei verschiedenen Rechnern "tatsächlich gleichzeitig" auf die Daten zugreifen, aber es ist ja gang und gäbe, dass man mal schnell etwas dort ablegt, den Container nicht explizit "unmounted" und dann von unterwegs oder auch nur vom Laptop im Nebenraum Änderungen daran vornimmt (z.B. weiter arbeitet).

 

[Knoops]

Wofür würdest du den VPN bei Nextcloud brauchen? DynDNS und gut ist. 2 Faktor Auth kann Nextcloud ebenfalls wie Client end-to-end encryption. Ich würde da auf Nextcloud (entweder lokal bei dir oder auf nem vServer) setzen an deiner Stelle.
https://nextcloud.com/blog/encryption-in-nextcloud/

Users can activate the Nextcloud end-to-end encryption feature for one or more folders. The content of each of these folders will be fully hidden from the server, including file names and directory structure. To sync the data with other devices, users have to enter a code created by the first device. Once that is done, end-to-end encrypted folders are seamlessly synced between devices. Users can share encrypted folders with other users on their server without any need for re-encrypting and re-uploading the data or having to enter passwords for either sender or recipient.

 

[calippo]

@Mickey Mouse

Mit Truecrypt/Veracrypt habe ich das auch probiert, neben dem unbrauchbaren EDS(Lite) hatte ich auch immer wieder Probleme bei der Containersynchronisierung, da wurde dann doch immer wieder der komplette Container neu gesynct, obwohl z.B. das mit Dropbox auch nur für die Änderungen gehen soll.

Boxcryptor sieht gut aus, aber Accountbindung und jährliche Kosten sind bei mir raus.

Ich bin aktuell bei Cryptomator in Kombination mit Onedrive und kenne auch keine vergleichbare Alternative.
Die 10€ sind den Test allemal wert, kann man nicht auch Rückerstattung bei google play beantragen?

Da jede Datei einzeln abgelegt wird, sind auch gleichzeitige Mehrfachzugriffe nicht so problematisch und im Zweifelsfall hat man immer noch die Versionierung von Onedrive

 

[G-Red]

Nutze auf einem VPS die Nextcloud, deren Data-Ordner eine mit rclone gemountetes und verschlüsseltes Google Drive account ist.

Das rclone funktioniert nicht auf Kontainerbasis sondern verschlüsselt jede einzelne Datei und entschlüsselt diese zu laufzeit. Also es wird die native Verschlüsselung der modernen CPUs genutzt, sprich AES256.

Ergänzung (3. März 2020)

Ich bin aktuell bei Cryptomator in Kombination mit Onedrive und kenne auch keine vergleichbare Alternative.

Das rclone ist eine alternative zudem kostenlos und bietet enterprise verschlüsselungsfeatures.
So sieht z.B. Google meine Fotos und Dateien, falls die sich entschließen mein Account zu durchwüllen

 

[Nutzerkennwort]

Werfe die 10 Euro ein. Crypromator ist die einzige, günstigste Alternative zu Veracrypt und den statischen Containern.

Manchmal gibt es auch Aktionen, wo du nur 5 Euro für Android-Cryptomator zahlst.

 

[calippo]

@G-Red

Für mich wären die Einbindung/Clients unter Windows, Android und MacOS wichtig. Da ich zigtausend Dateien synce, brauche ich den Klartext Dateinamen und Ordner.

Das kann Cryptomator, wie würde das mit rclone funktionieren?

 

[G-Red]

rclone läuft nur auf dem Server wo die Nextcloud ist und schiebt die Daten in den google drive. Da es für die Nextcloud Apps sowohl für Desktop als auch für Mobile Geräte gibt, die deine Daten mit der Nextcloud syncen, hast du kein Problem mit

Wegen der Sichtbarkeit der Daten habe ich ja bereits gesagt, die Entschlüsselung passiert zur laufzeit. D.h. wenn du deien app aufmachst siehts du die daten gleich unverschlüsselt und kannst damit normal arbeiten.

 

[calippo]

Ah ok, verstanden. Bei Onedrive habe ich 1TB für ca. 30€ im Jahr und kann auch 5TB für 50€ pro Jahr upgraden (O365 Angebote), das wird mit einem V-Server wahrscheinlich nicht so leicht preislich zu realisieren sein.

Für den TE ist das aber vielleicht wirklich eine gute Lösung, bei Strato gibt es 10GB 1CPU ab 1€ pro Monat.
Ich werde das bei Gelegenheit mal testen. Im Heimnetz hatte ich mal eine Seafile Server auf einem Raspi installiert, aber dank meines sehr unzuverlässigen Providers komme ich da immer mal wieder nicht ran, das hilft nichts.

Jetzt erst verstanden, der V-Server sorgt nur für die Verschlüsselung, gemountet wird beliebiger Cloudspeicher. Das ist ja genial. Was ist da die Mindestkonfiguration des V-Servers?

 

[G-Red]

Ah ok, verstanden. Bei Onedrive habe ich 1TB für ca. 30€ im Jahr und kann auch 5TB für 50€ pro Jahr upgraden (O365 Angebote), das wird mit einem V-Server wahrscheinlich nicht so leicht preislich zu realisieren sein.

Ich glaub du hast mein Konzept nicht ganz zu Ende verstanden. Ich miete ein VPS welches nur 40GB an Speicher hat. Dieser Speicher dient nur als Puffer für ankommende Daten, danach werden diese in die Cloud verschoben und verschlüsselt. Anschließend ist der Speicher wieder frei. Für meine Nextcloudinstanz sieht es aber nach wie vor so aus, als wären die Daten lokal auf den Server, aufgrund des Mounts mit rclone.

Wenn du also eine ähnliche Geschichte mit deinen 1TB von OneDrive einrichtest, dann kannst du mit einem OneDrive Account auch Mehrbenutzerbetrieb realisieren, so wie ich.

 

[snaxilian]

Wenn du Nextcloud selbst zuhause hostest: Das end-to-end Feature nutzen oder direkt Full Disk Encryption des Servers. Für den Transport zwischen Endgerät und Server https only mit TLS 1.2 only und bald 1.3 und zugreifende Endgeräte ebenfalls komplett verschlüsseln.

 

[calippo]

@G-Red

Ich hatte zwischenzeitlich noch mal was ergänzt, da hattest Du wahrscheinlich schon angefangen zu schreiben.
Die Idee ist wirklich genial, wie muss der V-Server mindestens ausgestattet sein? Ich schiebe da eigentlich selten große Datenmengen hin und her, 10 GB alle paar Wochen sind wahrscheinlich schon viel abgesehen vom initialen Upload.

 

[G-Red]

Mein vps hat 2 kerne 4 gb ram. Kostenpunkt 4€ Monat. Bin bei Netcup und habe 1GBt\s mit 40tb trafic im Monat. Also mehr als ausreichend für meine Zwecke zumindest.

Man muss aber etwas dafür tun und einrichten. Linux Kenntnisse sind Voraussetzung.

 

[calippo]

Man muss aber etwas dafür tun und einrichten. Linux Kenntnisse sind Voraussetzung.

Das ist der Knackpunkt, ich bin gerne bereit Zeit für so was aufzuwenden und zu lernen, aber bisher halt immer nur auf einem Raspi im Heimnetz, wo die Gefahr einer Fehlkonfiguration nicht so dramatisch ist.

Ich hole mir jetzt mal einen 1€ Mini Server und spiele damit ein bisschen rum.

 

[Mickey Mouse]

ich habe hier eine Nextcloud Instanz (testweise) laufen und so ganz glücklich bin ich damit nicht...
die Installation (ich wollte das nicht in einem Docker Container haben) ist eine Katastrophe. Unter SuSE Leap habe ich es gar nicht zum Laufen bekommen, nichtmal der "Eröffnungsbildschirm" wird richtig angezeigt (oben ist ein (übergroßer) Teil des Logos zu sehen, mehr nicht). Log Dateien mit Fehler-Meldungen gibt es nicht (wenn es noch nicht läuft), welche der 1000 PHP.ini Dateien wann genutzt werden ist unklar (beim OCC Cron Job kommen andere Fehler als beim normalen Betrieb).

es "läuft" jetzt auf Tumbleweed, wobei man von "laufen" kaum sprechen kann, die Performance ist unterirdisch schlecht. Alle "Tuning-Tips" habe ich ausgeführt, aber es wird immer noch der fehlende Mem-Cache angemeckert, ist aber nach Anleitung konfiguriert. Im Log finden sich tausende von Fehlern, die für mich nicht aussagekräftig genug sind, um die Ursache zu ermitteln.
Beispiel:Trying to access array offset on value of type int at /srv/www/htdocs/nextcloud/lib/private/Files/Node/Node.php#327
Zeile 327 der Datei lautet: if (!$path || $path[0] !== '/') {
nun spreche ich kein PHP, aber 0 dürfte und sollte doch "int" sein und ist der Array Offset? Oder sagt der Fehler, dass $path[0] ein int ist und mit einem string verglichen wird (dann ist das eine selten dämliche Fehlermeldung). Also kurz: was soll mir diese Fehlermeldung sagen? Und davon gibt es, wie gesagt, im Log hunderte bis tausende, so genau kann man das ja nicht sagen, weil man keinen "vernünftigen" Zugriff darauf hat.
sucht man nach Doku, dann bekommt man ausschließlich: unter Ubuntu tippe dies oder jenes, ohne auch nur im Ansatz zu sagen, was das denn bewirkt, damit man es auf "ein nicht ganz so buntes" System übertragen kann.

dazu bin ich über ein Modul "File-Locking" gestolpert. Ich war eigentlich stillschweigend davon ausgegangen, dass das bereits implizit enthalten ist und ich nicht noch extra Module dafür installieren muss. Das muss ich mir auch noch genauer ansehen.

ich sage es mal vorsichtig so:
das scheint mir alles mit der extrem heißen Nadel gestrickt zu sein, um möglichst viele Funktionen (oder mehr als OwnCloud?) bieten zu können. Zum "Spielen" ist Nextcloud sicherlich ganz toll, aber ob ich solch einem "Sammelsurium an komischen Scripten" wirklich meine "produktiven" Daten anvertrauen möchte, ich weiß nicht so recht.

wenn Nextcloud stabil laufen würde, dann wäre das wohl tatsächlich eine Alternative. Der Rechner muss laufen, aber der liegt Idle bei <6W (Baytrail NUC) und zur Not kann ich den per WoL aufwecken, wenn er tatsächlich nicht "an" sein sollte.
End to End encryption hatte ich übersehen und darüber liegt ja noch HTTPS, das sollte reichen, für meine Zwecke sowieso.
wahrscheinlich gucke ich mir Nextcloud nochmal etwas genauer an, irgendwie muss das doch halbwegs fehlerfrei zum Fliegen zu bekommen sein und nicht wie ein alter Fernschreiber mit Aussetzern vor sich hin mückern

es ist schon "komisch", dass die absoluten Basics (Start unter Leap, obwohl als "fertiges" Paket mitgeliefert!) gar nicht funktionieren und wenn man es zum Laufen hat, so viele Fehler produziert. Aber andere, vergleichsweise "komplizierte" oder "besondere" Dinge wie z.B. U2F sofort laufen. Ich konnte mich ohne Probleme mit einem Yubikey per NFC an der Android Instanz anmelden, da hätte ich mit größeren Hürden gerechnet.

 

[Knoops]

Nextcloud läuft bei mir eigentlich wunderbar. Gib ihr noch ne Chance
Alternativ vielleicht erstmal in ner VM aufsetzen zum spielen.

 

[G-Red]

@Mickey Mouse
Ich weiß nicht was bei dir das Problem bei der Installation von der Nextcloud ist. Ich nutze für die gesamtinstallation den fertigen Script von Carsten Rieger. Dafür brauchst du aber Debian oder Ubuntu Linux. Zumindest ist dieses Script darauf ausgelegt.

Probiers einfach mal aus. Ich kann nur für mich sprechen, aber es hat damit bischer immer geklappt.

Ergänzung (3. März 2020)

Das ist der Knackpunkt, ich bin gerne bereit Zeit für so was aufzuwenden und zu lernen, aber bisher halt immer nur auf einem Raspi im Heimnetz, wo die Gefahr einer Fehlkonfiguration nicht so dramatisch ist.

Ich hole mir jetzt mal einen 1€ Mini Server und spiele damit ein bisschen rum.

Du kannst das ganze auch auf nem RPi machen und wenns fertig ist, kannst du dann einen Server einrichten.
Wenn du sowas probieren willst wie ich, kannst ja PN schreiben. Es sind noch ein paar andere sachen noch notwendig als rclone.

 

[calippo]

@G-Red
Ich bestelle mir bei Gelegenheit einen Raspi4, der aktuelle ist produktiv als Pihole und PiVPn im Einsatz, den will ich nicht zerschießen. Bei Bedarf komme ich auf das Angebot gerne zurück.

 

[Nutzerkennwort]

... nichts.

 

[Mickey Mouse]

da habe ich so herum getönt, dass "komplizierte" Dinge wie U2F ohne Probleme funktionieren und siehe da, auch hier gibt es wieder Stolperfallen

mit dem Firefox kann ich mich mit dem Yubikey auf Mac, Windows und Android (über NFC) als zweiten Faktor am Web Interface einloggen. Das ist aber auch "nur" F2A und kein "richtiges" FIDO2/WebAuthn, das password wird ja immer noch benötigt.
mit dem neuen Edge Chrome funktioniert das aber NICHT, weder am Mac noch unter Windows. Der "normale" Chrome funktioniert wiederum. Auf der anderen Seite funktionieren andere Web Seiten mit dem Edge.

das blöde ist, dass der Desktop Client (zumindest bei OSX/Win) die initiale Authorization über den Standard Browser macht und den dafür aufruft. Wenn man da unter Windows den Systemstandard nutzt, dann geht es schief.

nach der Installation einiger "Apps" steigt die Anzahl der Fehler im Log und vor allem deren Frequenz (4-5 pro SEKUNDE) immer weiter an. Ich muss mich erstmal um das error log rotation kümmern, hoffentlich funktioniert das wenigstens richtig, das scheint die wichtigste Funktion zu sein

 

[G-Red]

da habe ich so herum getönt, dass "komplizierte" Dinge wie U2F ohne Probleme funktionieren und siehe da, auch hier gibt es wieder Stolperfallen

Wenn du von U2F in deiner Nextcloud sprichst, dann versteh ich das Problem nicht, bzw. ich vermutte dass bei deiner Installation der Nextcloud etwas falsch gelaufen ist. Ich habe ohne Problemme das U2F bei mir laufen. Sowohl Chrome, Firefox unter linux Desktop, Opera auf einem Android Gerät und unter Windows mit Firefox.