Dropbox Sicherheit: encFS vs. Boxcryptor vs. Truecrypt

Ich benutze Dropbox, um einige Daten zwischen meinen Geräten zu synchronisieren. Das Dropbox dabei nicht so sicher ist, wie man hoffen mag, ist bekannt. Man konnte z.B. eine Zeit lang mittels der internen Konfigurationsdatei config.db auch ohne Passwort auf die Daten anderer Nutzer zugreifen [Link]. Außerdem werden die Daten zwar verschlüsselt an Dropbox übertragen, liegen dort dann aber für den Anbieter in entschlüsselter Form vor. Jetzt kann man natürlich enttäuscht den Blick senken und mit dem Kopf schütteln. Aber mal ehrlich, für die Sicherheit unserer Daten ist wer verantwortlich? Richtig, nur wir allein, kein kostenloser Dienst.

Bei Dropbox sind diese Sicherheitsmängel jedoch größtenteils Designentscheidungen. Wie sollte ich einem Freund Dateien freigeben können, wenn diese verschlüsselt vorlägen und Dropbox nur „Datenrauschen“ erkennen könnte? Oder wie sollte sonst die Deduplizierung von Dateien funktionieren, die den Upload von Daten in die Cloud so beschleunigt, dass eine .iso Datei einer aktuellen Linux Distribution in Sekunden hochgeladen wäre? (Dropbox zerlegt die Datei in kleinere Chunks, berechnet eine Prüfsumme und schaut nach, ob sich bereits ein Chunk mit dieser Prüfsumme auf den Servern befindet, ehe der Upload begonnen wird.)

Also muss ich selbst für meine Datensicherheit sorgen. Aber da installiere ich mir ein Tool auf dem Rechner, was mir das digitale Leben vereinfachen soll und verkompliziere den Nutzen dann wieder mit irgendwelchen Krücken, nur damit mein Brief an Oma (ja gut, oder der Keygen für ein teures Softwareprodukt) sicher ist? So leid es mir tut, die meisten Lösungen sind unpraktikabel. Wirklich sicherheitsrelevante oder Firmeninterne Daten haben in einer Cloud nichts zu suchen, soviel sollte jedem klar sein. Möchte ich nun aber ein Mindestmaß an Kontrolle über den Zugriff auf meine Daten haben, dann doch bitte so, dass die Nutzbarkeit gewährleistet bleibt oder ich nicht Tage mit deren Konfiguration verbringen muss. Um meine Dateien trotz Upload auf die Dropboxserver zu sichern, verrät das Internet derweil verschiedenste Möglichkeiten:

  • Lade gar nichts hoch
    Völlig indiskutabel, ich habe mich bereits zu sehr an die Vorteile so gewöhnt und möchte sie nicht mehr missen.
  • Verwende Passwortgeschützte ZIP Archive
    Nette Idee, aber leider ist das ständige Öffnen und Schließen des betreffenden Containers für den täglichen Gebrauch etwas unflexibel.
  • Speichere deine Daten nur in einem in der Dropbox liegenden Truecrypt Container
    Ach, da haben im Netz schon hunderte drüber geschrieben (z.B. Caschy oder LifeHacker) und das ist sicherlich auch keine schlechte Idee, aber versucht dann mal auf einem anderen System als den Euren auf eure sicheren Daten zuzugreifen…Mobil? iOS/Android? Momentan noch keine Chance. Außerdem gibt es da noch die Krux mit der Synchronisierung. Der Truecryptcontainer wird erst dann wieder mit der Dropbox synchronisiert, wenn er auf keinem System mehr eingehangen ist. Mal schnell eine Datei von A nach B senden? Meh… Mal schnell bei Mutti eine Datei aus dem Archiv herausholen? Erst den gesammmten Container herunterladen…dazu bin ich einfach zu bequem.
  • Nutze doch einfach einen anderen/eigenen/besseren Dienst wie z.B. XYZ
    (Meine Lieblingshassantwort). Es gibt garantiert sicherere, bessere, buntere Dienste. Aber 1. hat Dropbox einfach eine kritische Nutzermasse und Akzeptanz erreicht. 2. Habe ich nun bereits einige zusätzliche GB Speicherplatz ergattert, da will ich doch nicht wieder auf 2-5GB zurückfallen. 3.  Ich kann mit vielen Tools nativ auf meine Dropbox zugreifen und fast jeder nutzt es. Das ist eine Bequemlichkeit, die ein Nachfolgedienst erreichen müsste, wenn er alle Einsatzbereiche meines Syncdienstes ersetzen möchte. Um es kurz zu machen: einen funktionalen Ersatz habe ich für Dropbox bisher nicht finden können.
  • Verwende eine dateibasierte Verschlüsselung, wie z.B. die von BoxCryptor
    Eine Lösung die transparent auf Dateiebene meine Daten verschlüsselt (Inhalt und Dateiname)? Das klingt doch erstmal ganz nett.

BoxCryptor, sowie das verschlüsselte Dateisystem EncFS, klingen doch erstmal sehr interessant. Ich installiere einmalig auf meinem System ein Tool/Treiber und erhalte einen zusätzlichen Ort, an dem ich weiterhin ganz normal mit meinen Daten arbeiten kann. Dieser Ort wird dann mit einem Ordner in der Dropbox verlinkt. Schaut man sich diesen an, so findet man darin die verschlüsselten Daten.

Hm, bis 5GB ist das ganze kostenlos? Interessant. Aber BoxCryptor soll doch kompatibel sein mit EncFS. Wieso also nicht gleich das nutzen? Schließlich gibt es EncFS als Port für so ziemlich jedes wichtige Betriebssystem. Werfen wir also mal einen Blick auf EncFS für Windows.

EncFS für Windows installieren

Zunächst benötigen wir die Dokan Library und den aktuellen EncFS Port. Dann installieren wir Dokan, entpacken die EncFS.zip Datei und starten das Programm encfsw.exe, um die grafische Oberfläche zu starten, die sich dann im System Tray einnistet. Ein Klick auf Open/Create lässt uns das zu verbindende Ordner/Laufwerkspärchen anlegen. Passwort eingeben – und fertig. Natürlich könnte man auch direkt das Konsolenkommando

encfs.exe <crypt_dir> <plain_dir>

verwenden.Das Ergebnis gleicht in beiden Fällen dem obigen Bild von BoxCryptor. Fehlt nur noch der mobile Zugang zu den verschlüsselten Dateien. In diesem Fall über mein Tablet/Telefon.

Mobiler Zugriff auf EncFS verschlüsselte Dateien

EncFS und BoxCryptor sind also zueinander kompatibel? Dann müsste ich doch auch eigentlich mit der kostenlosen BoxCryptor iOS App auf das, mit encFS erstellte, Verzeichnis zugreifen können? Und richtig, genau das funktioniert auch – Mit Einschränkungen. Per Default nutzen EncFS und BoxCryptor andere Verschlüsselungseinstellungen. Während die EncFS Gui eine Keylänge von 192 Bit und eine Blockgröße von 1024Bit nutzt, verwendet BoxCryptor 256/4096 Bit. Somit kann BoxCryptor keine von EncFS erstellten Container lesen. Die iOS-App stürzt bei dem Versuch einfach ab. Erstellt man jedoch den verschlüsselten Container mit der BoxCryptor App und mounted diesen anschließend mit EncFS…Benissimo!

Vor- und Nachteile von BoxCryptor:

+ Einfachere Installation
+ Relativ hohe Sicherheit durch größere Schlüssellänge
– Closed Source
– Wer mehr als die Basisfunktionalität will zahlt Geld
– Man muss sich selbst um die Aktualisierung der Software kümmern

Vor- und Nachteile von EncFS

+ Kostenlos
+ Open Source
+ Kompatibel mit BoxCryptor
+ Läuft auf beinahe allen Betriebssystemen
+ GeringerSpeicherverbrauch (GUI benötigt nur 5MB RAM, der Dateisystemtreiber ebenso)
– Anscheinend kann die Schlüssellänger nicht manuell angegeben werden
– Installation (Unter Windows) geringfügig aufwändiger
– Zusammenarbeit mit BoxCryptorApp nur umständlich möglich
– Man muss sich selbst um die Aktualisierung der Software kümmern

Fazit

Ich bevorzuge EncFS/BoxCryptor gegenüber der Truecrypt Lösung, da sie mir das beste Verhältnis aus Sicherheit und Nutzungskomfort bietet. Zusammen mit den verfügbaren mobilen Apps komme ich dennoch immer an meine Daten. Müsste ich mich zwischen EncFS und BoxCryptor entscheiden wähle ich EncFS und spare mir vorerst 30€.

Kolja Engelmann

Technikfan, Freizeitprogrammierer, selbsternannter Toolking und vermutlich größter Drachenfan Deutschlands blogged hier die Lösungen zu IT-Problemen die ihm über den Weg laufen, kleine Softwaretools, nostalgische Anfälle und missbraucht das Ganze gern auch mal als privates Tagebuch und Fotoalbum.

Das könnte dich auch interessieren …

9 Antworten

  1. Tom sagt:

    Danke für den Artikel. Ich nutze auf Android die App Cryptonite, ein EncFS-Port. Ist nicht so hübsch, funktioniert aber gut und man hat nicht die Beschränkungen von BoxCryptor (in der kostenlosen Version).

  2. Benni sagt:

    Hallo,
    danke für den Artikel, hat mir sehr geholfen und EncFS war sehr einfach zu installieren. Allerdings gibt es keine Möglichkeit, ein einmal erstelltes Passwort zu ändern – oder doch?
    Danke,
    Benni

  3. Querdenker sagt:

    Erstmal vielen Dank für den Artikel! Widersprechen möchte ich nur in einem Punkt:

    „Anscheinend kann die Schlüssellänger [bei enfs] nicht manuell angegeben werden“

    Doch, indirekt schon. Mit dem Häkchen bei „Paranoia Mode“ kann man sie auf 256 erhöhen. Der vermeintliche Sicherheitsnachteil von encfs ggü. BoxCryptor ist also gar keiner.

    Ich sehe bei den vorgestellten Methoden eher einige andere Probleme:

    1. Dateisystemfehler! Ich habe (unter Windows) ein encfs-Filesystem für Dropbox nun seit geraumer Zeit in Gebrauch. Mit der Zeit steigt die Zahl vereinzelter Dateien, die so beschädigt sind, dass man sie weder löschen noch an den Inhalt rankommen kann. Wie genau das entsteht, habe ich noch nicht herausfinden können. Aber EIN (anderes?) Beschädigungsproblem habe ich entdeckt, welches sich jederzeit reproduzieren lässt: bearbeite z.B. eine Datei mit Wordpad direkt auf dem encfs-„Laufwerk“. Wer sich, um Datenverlusten vorzubeugen, beim Schreiben angewöhnt hat, zwischendurch regelmäßig mit Strg+S abzuspeichern, könnte sein blauees Wunder erleben: wenn man das versehentlich zweimal zu schnell hintereinander macht, ist die Datei „zerschossen“! Wehe, wenn man das dann nicht gleich merkt! Das scheint mir darauf hinzudeuten, dass encfs nicht unter allen Betriebsbedingungen robust ist. Da Boxcryptor darauf aufsetzt, wird es diesbezüglich nicht besser sein.

    2. Die verschlüsselten Datei- und Verzeichnisnamen sind z.T. erheblich länger als das Original, außerdem kommt ja zur Ursprungslänge auch noch der Verzeichnisname des verschlüsselten Verzeichnisses hinzu. Das Schreiben/Lesen mancher bisher unproblematischer Dateien wird deshalb scheitern, weil schnell die zulässige Pfadlänge überschritten wird. Auch das kann ein äußerst fieses Problem sein.

    Fazit: eine ernsthafte und zuverlässige Lösung zum Schutz der eigenen Daten sieht anders aus. Gerade wenn es um Sicherheit geht, möchte man sich eigentlich gern „blind“ auf die eingesetzten Tools verlassen können. Das ist hier nicht möglich. Ich setze sie trotzdem ein, allerdings mit sehr viel Bedacht und Vorsicht.

    • Zumindest bei Punkt 1 kann ich eine Entwarnung für Boxcryptor aussprechen. Ich habe mal testweise ein Logfile (~2-8 Schreibzugriffe pro Sekunde) in den Boxcryptor Ordner gelegt und gleichzeitig mit einem Logfile Viewer wieder lesend darauf zugegriffen. Zumindest in den letzten 10 Minuten hatte ich keinen Lesefehler reproduzieren können.

      Mit EncFS4Win konnte ich das jetzt leider nicht nachprüfen, das habe ich nicht mehr auf dem Rechner.

  4. Waschoi sagt:

    Gibt es denn eine Möglichkeit unter Windows die Dateinamenverschlüsselung zu deaktivieren bzw. die Länge zu begrenzen? Denn wie Querdenker richtig bemerkt, handelt es sich hierbei um einen riesen Problem.

  5. Rene sagt:

    Irgendwie habe ich unter Windows das Problem, dass sich aus dem virtuellen Laufwerk die Dateien nicht löschen lassen. Beim Löschen verschwinden sie zwar aber nach Drücken von F5 sind sie wieder da. Nur per App über Android kann ich sie löschen oder wenn ich die Dateien direkt aus dem Ordner lösche. Was aber auch unpraktisch ist, da ich nicht unbedingt weiß welche Datei sich hinter welcher kryptischen Bezeichnung versteckt.

  6. Thomas sagt:

    Hi Danke für den Artikel. Irgendwie scheint aber Dokan nicht mehr angeboten, der Link führt ins Leere.
    Gibt es eine Alternative, Encfs4win und FUSE unter Windows zu bertreiben?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert