Nextcloud verschlüssel?

    Hallo zusammen

    In der Vergangenheit war es ja stets so, dass immer gesagt wurde, dass die Verschlüsselung in Nextcloud eher für das Einbinden externer Laufwerke gedacht ist und eher nicht, um die Daten auf dem Server zu verschlüsseln. Nun ist es aber auch so, dass man mit E2EE nie so richtig in die Pötte gekommen ist und das nie einwandfrei lief. So zumindest meine Erfahrung und bestätigt durch einige Posts diesbezüglich.

    Jetzt habe ich heute ein wenig mit meiner Instanz herumgespielt und beispielsweise die test.md angelegt. Wenn ich diese nun öffne, sieht es so aus:

    Nun via SSH rein und die selbe Datei geöffnet:

    Code
    HBEGIN:oc_encryption_module:OC_DEFAULT_MODULE:cipher:AES-256-CTR:signed:true:HE>

    Verschlüsselt ist es also anscheinend schon und niemand sollte es einfach so lesen können.

    Was übersehe ich? Wieso ist das keine richtige Verschlüsselung? Werden die Daten auf dem Server entschlüsselt und dann im Klartext an mich übertragen?

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

    Was für ein Zufall. Ich habe heute auch meine Daten verschlüsselt mit dem default encryption kit.

    Ich wurde neugierig bin via SFTP drauf und hab ins Verzeichnis geguckt. Sind tatsächlich alle verschlüsselt. Bis auf die Previews und der Index.

    Nextcloud geht da nicht genauer drauf ein und das FAQ von Hosting.de sagt

    Zitat

    Verschlüsselung der Nextcloud-Instanz

    Nextcloud selber bietet die Möglichkeit einer serverseitigen Verschlüsselung. Dabei werden die Daten von der Nextcloud serverseitig verschlüsselt. Diese Art der Verschlüsselung ist nur bei Einbindung nicht vertrauenswürdiger externer Speicher sinnvoll, da der Key zum Entschlüsseln der Daten auf der Nextcloud-Instanz verbleibt, wodurch die Daten innerhalb der Nextcloud selbst direkt entschlüsselt werden könnten.

    Ich bin der Meinung, die Daten werden auf dem Server entschlüsselt bei Versand. Verschlüsselt bei Speicherung. Alles in einer Cache-Datei. Reine Spekulation. ;)

    Einmal editiert, zuletzt von Gelöschter Account (17. August 2022 um 18:49)

    Zitat von Tealk

    Was hast du denn in der Nextcloud aktiviert? Das hier?

    Genau das

    Zitat von ziesel

    Ich bin der Meinung, die Daten werden auf dem Server entschlüsselt bei Versand. Verschlüsselt bei Speicherung. Alles in einer Cache-Datei. Reine Spekulation.

    War auch meine Vermutung

    Zitat von kim88

    Wo kommt der Schlüssel her, also mit was wird hier verschlüsselt?

    Wenn ich das richtig verstehe, wird anhand meines Passwortes ein Schlüssel erstellt, der dann die Ver- und Entschlüsselung übernimmt. Nach Aktivierung sollte ich mich auch einmal ausloggen und wieder anmelden.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

    Ich nutze hierfür Cryptomator, da ich immer wieder von Problemen mit der Nextcloud eigenen Verschlüsselung höre.

    Gibts für alle OS, als Flatpak, Appimage, AUR, PPA, Android, IOS, ...

    Vor allem läuft es mit jeder Cloud, egal ob selbst gehostet oder fertig gemietet.

    Cryptomator - Free Cloud Encryption for Dropbox & Co
    Encrypt Dropbox, Google Drive, and any other cloud. Cryptomator is free and open source.
    cryptomator.org
    Cryptomator: Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt - Golem.de
    Werkzeugkasten Noch liegen die Daten bei Dropbox, Onedrive oder in der Nextcloud unverschlüsselt - doch mit dem Open-Source-Tool Cryptomator lässt sich das…
    www.golem.de

    Intel Core i5-13500 | Intel UHD Graphics 770 | 32 GB RAM | Linux Mint 21.3 | Cinnamon 6.0.4 | Kernel 6.5.0-26-generic

    Zitat von Stardenver

    Genau das

    Das bietet sich wirklich nur für externe Speicher an, so wie Nextcloud es auch schreibt. Der Instanzadmin kann den Schlüssel nämlich zurücksetzen und dann ebenfalls auf die Daten zugreifen.

    Dagegen hilft nur E2E

    Rollenspiel.Monster -Deine Fediverse Rollenspiel Nodes

    GPG

    System: TUXEDO Aura 15 - Gen1, AMD Ryzen 7 4700U, 32GB RAM, 1TB M.2 SATAIII, EndeavourOS(Gnome[Wayland])

    Die Daten sind verschlüsselt im Drive und das Admin/User-Passwort liegt SHA1-Verschlüsselt in der SQL-DB. Man braucht schon viel kriminelle Energie, um da ran zu kommen. Selbst als Hosting-Mitarbeiter wird es fummelig SHA1 ist jetzt nicht die beste Wahl, aber schnell mal Daten einsehen ist da nicht.

    Wenn man die üblichen Tricks anwendet, um in die NCloud zu kommen ohne das Original-Passwort (via phpMyAdmin neue Passwörter zu generieren oder via Shell mit dem OCC PW-Reset) kommt man zwar ins Drive, aber verschlüsselt bleibt da alles trotzdem. Funzt nur bei unverschlüsselter Cloud.

    Also müsste der Angreifer einfach die Daten kopieren inkl. Keys und es offline versuchen. Und an der Stelle sei jedem geraten, dass das Passwort nicht "12345678" ist. :P

    Auszug aus den Nextcloud-Docs.

    Code
    sudo -u www-data php occ encryption:decrypt freda

    Users must have enabled recovery keys on their Personal pages. You must first put your Nextcloud server into maintenance mode to prevent any user activity until decryption is completed.

    Note that if you do not have master key/recovery key enabled, you can ONLY decrypt files per user, one user at a time and NOT when in maintenance mode. You will need the users’ password to decrypt the files.

    Also keine Master/Recovery Keys generieren. Wenn ja, dann aus dem Ordner entfernen und lokal Speichern.

    Die Impersonate App funzt nicht mit Verschlüsselung:

    Note:

    • This app is not compatible with instances that have encryption enabled.

    Um sie zu installieren, muss man auch das Passwort haben.

    Einmal editiert, zuletzt von Gelöschter Account (18. August 2022 um 20:05)

    Nun.. der Admin bin ich selbst und die Instanz läuft auf meinem eigenen Server. Der steht natürlich in einem Rechenzentrum und da kann ich den physischen Zugriff natürlich nicht kontrollieren. Das sehe ich aber auch nicht wirklich als Problem an. Ich dachte hier eher an Sicherheitslücken in Serverkomponenten oder Plugins, etc durch die ein Angreifer eventuell an Dateien kommen könnte.

    💾 AMD EPYC 7452 (8 Cores) 40GB | 💾 Unraid Homeserver i5-4570 16GB

    💻 Ryzen 9 7900X RX7800XT 32GB | 💻 MacBook Pro M2Pro 32GB

    EndeavourOS <3

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden