Netzlaufwerk mit transparenter Verschlüsselung auf VPS o.Ä.

[zoz]

Hallo, ich möchte diverse Mediendateien (Fotos, Musik etc. - insgesamt etwa 500GB) auf einem Server haben die dort verschlüsselt liegen, d.h. der Anbieter (welcher auch immer) soll die Inhalte nicht sehen könnnen, im Optimalfall nichtmal die Dateinamen.

Ich möchte die Dateien auf diesem Server dann einfach als Laufwerk mounten könnnen. Die Dateien sollen dann beim lesen on-the-fly transparent entschlüsselt werden.

Natürlich könnte ich alle Dateien wie gpg o.Ä. verschlüsseln, per scp/rsync auf irgendeine Remotekiste verschieben, dann die Remotekiste per sshfs mounten und bei bedarf einzlene Dateien etnschlüsseln, ist nur nicht sonderlich bequem. Ich hätte gerne das all dies im Hintergrund passiert ohne mein zutun.

Welche Lösung gibt es hier?
Sollte unter macOS und Linux funktionieren, Windows ist egal.

Was ich bisher gefunden habe:

• https://github.com/cryptomator/cryptomator welches in Verbindung mit Google Drive, Dropbox etc. funktioniert oder, soweit ich nach einer erste Recherche gesehen habe auch in Verbindung mit z.B. sshfs

Was ich nicht will:

• Selbstbau NAS Kiste
• Synology, QNAP etc.
• ownCloud, Nextcloud etc. auf einem VPS

 

[bobby1921]

Ich verwende hierfür die IONOS Hidrive. Hat nen Client, aber man kann auch einfach via Webdav mounten. Sind auch noch ein paar andere Protokolle möglich, müsste ich aber nachschauen.

 

[wayne_757]

Du kannst dir mal folgende Sachen anschauen:

a) rclone (kann auch mounten)
b) gocryptfs (+sshfs)

Damit bekommst du eine Ende zu Ende Verschlüsselung hin.

 

[DFFVB]

GoodSync

 

[zoz]

a) rclone (kann auch mounten)
b) gocryptfs (+sshfs)

Wie würde das konkret aussehen? Ich erstelle auf dem remote VPS ein gocryptfs cipher order, binde das per sshfs ein und erzeuge dann lokal den plain mount?

Ich verwende hierfür die IONOS Hidrive. Hat nen Client, aber man kann auch einfach via Webdav mounten. Sind auch noch ein paar andere Protokolle möglich, müsste ich aber nachschauen.

In Kombination mit Cryptomator? Funktioniert das reibungslos?

GoodSync

Ergänzung: Closed Source kommt nicht in Frage, sehe auch nicht wie das in das oben beschrieben Anwendungnsszenario passt

 

[bobby1921]

In Kombination mit Cryptomator? Funktioniert das reibungslos?

Nein, das nicht. Ich verwende keine zusätzliche Verschlüsslung.

 

[wayne_757]

Wie würde das konkret aussehen? Ich erstelle auf dem remote VPS ein gocryptfs cipher order, binde das per sshfs ein und erzeuge dann lokal den plain mount?

Du mountest lokal per sshfs den VPS. Dann erstellt du im lokalen sshfs mountpoint ein gocryptfs welches du wiederum lokal mounten kannst.

 

[snaxilian]

Warum so kompliziert? Bei Nutzung von sshfs (oder jeglichem anderen Transportprotokoll was eine Transportverschlüsselung beherrscht) ist nur noch relevant, dass die Daten auf dem Server sicher sind. Da kann der TE bei der Installation des Servers direkt mit LUKS eine Full-Disk-Encryption einrichten, dann "sieht" der Hoster da auch nix wobei da ein halbwegs seriöser Hoster nix drin zu suchen hat und da auch nicht rein guckt.

Alternativ auf dem Server nextcloud installieren und dort die server-side Encryption einrichten aber VORHER! sich die Nachteile von server-side encryption durchlesen. Zugriff könnte dann per WebDAV erfolgen. Die server-side encryption kümmert sich um die sichere Ablage und https/tls entsprechend um den Transportweg.

 

[Donnidonis]

Ich wäre es auch wie @snaxilian angegangen. Server bei der Installation mit LUKS verschlüsseln, dann sind die Daten dort schon mal sicher. Natürlich ein vernünftiges Passwort vorausgesetzt. Anschließend sshfs und fertig.

 

[zoz]

Warum so kompliziert? Bei Nutzung von sshfs (oder jeglichem anderen Transportprotokoll was eine Transportverschlüsselung beherrscht) ist nur noch relevant, dass die Daten auf dem Server sicher sind. Da kann der TE bei der Installation des Servers direkt mit LUKS eine Full-Disk-Encryption einrichten, dann "sieht" der Hoster da auch nix wobei da ein halbwegs seriöser Hoster nix drin zu suchen hat und da auch nicht rein guckt.

Solange die Kiste läuft sind die Daten entschlüsselt. Ob der Hoster "reinguckt" oder nicht, darüber habe ich keine Kontrolle. Es muss ja nicht unbedingt ein neugieriger Mitarbeiter sein, es kann auch ein Hack beim Hoster stattfinden oder ähnliches,

Ich habe jetzt prototypisch die gocryptfs + sshfs Lösung aufgesetzt und das funktioniert soweit ganz gut.

 

[snaxilian]

Wenn man so hochgeheime Daten hat, dass dies ein zu beachtender Angriffsvektor ist dann gibt es auch dagegen Maßnahmen:

• Nur Hoster verwenden, die AMD SME/SEV oder Intel MKTME verwenden, also jeweils pro VM auch verschlüsselter RAM
• Eigenes Blech verwenden, dass Chassis Intrusion unterstützt, alternativ per Photozelle und Mikrocontroller nachrüsten und basteln. Blech dann in gewünschte Colocation packen
• Daten nicht aus der Hand geben bzw. selbst hosten und physikalischen Zugriff beschränken
• Daten bereits vor Upload verschlüsseln

Der letzte Punkt dürfte da die einfachste Methode sein und wäre beispielsweise auch mit rclone leicht umzusetzen, wie schon in #3 genannt wurde aber gocryptfs dürfte den Zweck vermutlich genauso erfüllen.