Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Treiber für Dateiverschlüsselung?
7 views
Skip to first unread message
Wendelin Uez
Aug 20, 2021, 4:14:24 AM8/20/21
to
Gib es ein Programm oder besser noch einen Explorerzusatz, mit dem einzelne
Dateien (und nicht wie Truecrypt etc. gleich ganze Partitionen) lokal ver-
bzw. entschlüsselt werden können? Und zwar richtig gut verschlüsselt, nicht
sowas wie paßwortgeschützte zip-Files, die jeder aufmachen kann.
Ich möchte eine größere Anzahl diverser Office-Dateien verschlüsselt in
einem Ordner speichern, der in der Cloud als Kopie gesichert wird, ohne mich
auf die Verschlüsselung des Anbieters verlassen zu müssen. Dazu sollten die
Dateien bereits einzeln lokal verschlüsselt werden.
Das Problem ist, daß immer wieder mal einzelne Dateien aktualisiert werden.
Deshalb sollte zum einen die Ver-/Entschlüsselung möglichst transparent
ablaufen, und zum anderen soll nicht immer der Gesamtbestand verschlüsselt
und ins Cloud-Backup übertragen werden müssen, sondern nur die eine
editierte und danach wieder verschlüsselte Datei.
Speichere ich die Dateien in einem lokalen Truecrypt-Bereich, dann sind sie
zwar alle lokal verschlüsselt, müssen dann aber entweder wieder komplett
als ein File in die Cloud gesichert werden, oder sie werden aus dem
Truecrypt-Bereich ausgelesen und entschlüsselt, um sie dann unverschlüsselt
dem Cloud-Treiber zum Backup zu übergeben.
Der Cloud-Treiber soll aber nur bereits verschlüsselte Dateien erhalten, ob
er die dann nochmals und sauber/verläßlich verschlüsselt kann mir dann egal
sein.
Dateien (und nicht wie Truecrypt etc. gleich ganze Partitionen) lokal ver-
bzw. entschlüsselt werden können? Und zwar richtig gut verschlüsselt, nicht
sowas wie paßwortgeschützte zip-Files, die jeder aufmachen kann.
Ich möchte eine größere Anzahl diverser Office-Dateien verschlüsselt in
einem Ordner speichern, der in der Cloud als Kopie gesichert wird, ohne mich
auf die Verschlüsselung des Anbieters verlassen zu müssen. Dazu sollten die
Dateien bereits einzeln lokal verschlüsselt werden.
Das Problem ist, daß immer wieder mal einzelne Dateien aktualisiert werden.
Deshalb sollte zum einen die Ver-/Entschlüsselung möglichst transparent
ablaufen, und zum anderen soll nicht immer der Gesamtbestand verschlüsselt
und ins Cloud-Backup übertragen werden müssen, sondern nur die eine
editierte und danach wieder verschlüsselte Datei.
Speichere ich die Dateien in einem lokalen Truecrypt-Bereich, dann sind sie
zwar alle lokal verschlüsselt, müssen dann aber entweder wieder komplett
als ein File in die Cloud gesichert werden, oder sie werden aus dem
Truecrypt-Bereich ausgelesen und entschlüsselt, um sie dann unverschlüsselt
dem Cloud-Treiber zum Backup zu übergeben.
Der Cloud-Treiber soll aber nur bereits verschlüsselte Dateien erhalten, ob
er die dann nochmals und sauber/verläßlich verschlüsselt kann mir dann egal
sein.
Stefan Weimar
Aug 20, 2021, 12:09:09 PM8/20/21
to
Hallo,
Wendelin Uez <wu...@online.de> schrieb:
Verschlüsselung. Und ist im Windows-Explorer per Rechtsklick bequem
erreichbar.
Viele Grüße
Stefan
--
make -it ./work
Wendelin Uez <wu...@online.de> schrieb:
> Gib es ein Programm oder besser noch einen Explorerzusatz, mit dem einzelne
> Dateien (und nicht wie Truecrypt etc. gleich ganze Partitionen) lokal ver-
> bzw. entschlüsselt werden können? Und zwar richtig gut verschlüsselt, nicht
> sowas wie paßwortgeschützte zip-Files, die jeder aufmachen kann.
Du könntest 7zip verwenden, das hat eine brauchbare AES-256
> Dateien (und nicht wie Truecrypt etc. gleich ganze Partitionen) lokal ver-
> bzw. entschlüsselt werden können? Und zwar richtig gut verschlüsselt, nicht
> sowas wie paßwortgeschützte zip-Files, die jeder aufmachen kann.
Verschlüsselung. Und ist im Windows-Explorer per Rechtsklick bequem
erreichbar.
Viele Grüße
Stefan
--
make -it ./work
Marcel Mueller
Aug 20, 2021, 2:14:24 PM8/20/21
to
Am 20.08.21 um 10:13 schrieb Wendelin Uez:
Ich hätte jetzt gesagt rechte Maustaste, Einstellungen, verschlüsseln.
Dann wird die Datei für das aktuelle Benutzerprofil verschlüsselt. Das
ist ein NTFS Standardfeature. Das ist halt so sicher wie der private
Schlüssel des Benutzers, mit dem der FEK abgelegt ist.
Man kann natürlich den FEK auch für weitere Benutzer zugänglich machen.
> Und zwar richtig gut
> verschlüsselt, nicht sowas wie paßwortgeschützte zip-Files, die jeder
> aufmachen kann.
ZIP-Files mit gescheitem Passwort sind ohne Kenntnis des entschlüsselten
Dateianfangs nur schwer knackbar, solange nur einzelne Dateien drin sind.
> Ich möchte eine größere Anzahl diverser Office-Dateien verschlüsselt in
> einem Ordner speichern, der in der Cloud als Kopie gesichert wird, ohne
> mich auf die Verschlüsselung des Anbieters verlassen zu müssen. Dazu
> sollten die Dateien bereits einzeln lokal verschlüsselt werden.
Da wäre die Windows Standardverschlüsselung gar nicht so schlecht, zumal
der private Schlüssel ja nie zu Dienstleister kommt. Man braucht halt
dann ein Spezielles Kopierprogramm, dass die Dateien im verschlüsselten
Zustand kopiert. Backup/Restore Programme nutzen die RAW-API dafür
üblicherweise.
> Das Problem ist, daß immer wieder mal einzelne Dateien aktualisiert
> werden. Deshalb sollte zum einen die Ver-/Entschlüsselung möglichst
> transparent ablaufen, und zum anderen soll nicht immer der Gesamtbestand
> verschlüsselt und ins Cloud-Backup übertragen werden müssen, sondern nur
> die eine editierte und danach wieder verschlüsselte Datei.
Da würde ich mir tatsächlich zuerst mal EFS anschauen. Wenn du
klassische Backup-Software für das Cloud-Backup nutzt, sollten dort
ohnehin nur die verschlüsselten Daten ohne Schlüssel landen.
Mit einem Copy-Script, das unter den Rechten des berechtigten Users
läuft, wird das natürlich nichts.
> Speichere ich die Dateien in einem lokalen Truecrypt-Bereich, dann sind
> sie zwar alle lokal verschlüsselt, müssen dann aber entweder wieder
> komplett als ein File in die Cloud gesichert werden, oder sie werden aus
> dem Truecrypt-Bereich ausgelesen und entschlüsselt, um sie dann
> unverschlüsselt dem Cloud-Treiber zum Backup zu übergeben.
Exakt.
Bei alle dem sollte man allerdings auch im Auge behalten, dass bereits
die Dateinamen Confidential sein können.
Und außerdem wird gerne vergessen, dass alle möglichen Programme (oder
auch User) gerne mal Kopien von den Dateiinhalten an allen möglichen
Stellen ablegen. Und wenn die dann im Backup landen, hat man gar nichts
erreicht. Vor allem aus diesen Gründen wird eigentlich immer
Vollverschlüsselung empfohlen. Das gilt auch für Backups. Wenn der
notwendige Schlüssel den Cloud-Dienstleister nicht erreicht, ist das
Ziel erreicht.
Marcel
> Gib es ein Programm oder besser noch einen Explorerzusatz, mit dem
> einzelne Dateien (und nicht wie Truecrypt etc. gleich ganze Partitionen)
> lokal ver- bzw. entschlüsselt werden können?
Windows?
> einzelne Dateien (und nicht wie Truecrypt etc. gleich ganze Partitionen)
> lokal ver- bzw. entschlüsselt werden können?
Ich hätte jetzt gesagt rechte Maustaste, Einstellungen, verschlüsseln.
Dann wird die Datei für das aktuelle Benutzerprofil verschlüsselt. Das
ist ein NTFS Standardfeature. Das ist halt so sicher wie der private
Schlüssel des Benutzers, mit dem der FEK abgelegt ist.
Man kann natürlich den FEK auch für weitere Benutzer zugänglich machen.
> Und zwar richtig gut
> verschlüsselt, nicht sowas wie paßwortgeschützte zip-Files, die jeder
> aufmachen kann.
Dateianfangs nur schwer knackbar, solange nur einzelne Dateien drin sind.
> Ich möchte eine größere Anzahl diverser Office-Dateien verschlüsselt in
> einem Ordner speichern, der in der Cloud als Kopie gesichert wird, ohne
> mich auf die Verschlüsselung des Anbieters verlassen zu müssen. Dazu
> sollten die Dateien bereits einzeln lokal verschlüsselt werden.
der private Schlüssel ja nie zu Dienstleister kommt. Man braucht halt
dann ein Spezielles Kopierprogramm, dass die Dateien im verschlüsselten
Zustand kopiert. Backup/Restore Programme nutzen die RAW-API dafür
üblicherweise.
> Das Problem ist, daß immer wieder mal einzelne Dateien aktualisiert
> werden. Deshalb sollte zum einen die Ver-/Entschlüsselung möglichst
> transparent ablaufen, und zum anderen soll nicht immer der Gesamtbestand
> verschlüsselt und ins Cloud-Backup übertragen werden müssen, sondern nur
> die eine editierte und danach wieder verschlüsselte Datei.
klassische Backup-Software für das Cloud-Backup nutzt, sollten dort
ohnehin nur die verschlüsselten Daten ohne Schlüssel landen.
Mit einem Copy-Script, das unter den Rechten des berechtigten Users
läuft, wird das natürlich nichts.
> Speichere ich die Dateien in einem lokalen Truecrypt-Bereich, dann sind
> sie zwar alle lokal verschlüsselt, müssen dann aber entweder wieder
> komplett als ein File in die Cloud gesichert werden, oder sie werden aus
> dem Truecrypt-Bereich ausgelesen und entschlüsselt, um sie dann
> unverschlüsselt dem Cloud-Treiber zum Backup zu übergeben.
Bei alle dem sollte man allerdings auch im Auge behalten, dass bereits
die Dateinamen Confidential sein können.
Und außerdem wird gerne vergessen, dass alle möglichen Programme (oder
auch User) gerne mal Kopien von den Dateiinhalten an allen möglichen
Stellen ablegen. Und wenn die dann im Backup landen, hat man gar nichts
erreicht. Vor allem aus diesen Gründen wird eigentlich immer
Vollverschlüsselung empfohlen. Das gilt auch für Backups. Wenn der
notwendige Schlüssel den Cloud-Dienstleister nicht erreicht, ist das
Ziel erreicht.
Marcel
Wendelin Uez
Aug 21, 2021, 5:39:16 AM8/21/21
to
> Vor allem aus diesen Gründen wird eigentlich immer Vollverschlüsselung
> empfohlen. Das gilt auch für Backups. Wenn der notwendige Schlüssel den
> Cloud-Dienstleister nicht erreicht, ist das Ziel erreicht.
Eben. Mir wäre auch Vollverschlüsselung der ganzen Partition recht, wenn ich
> empfohlen. Das gilt auch für Backups. Wenn der notwendige Schlüssel den
> Cloud-Dienstleister nicht erreicht, ist das Ziel erreicht.
nicht nach jeder Änderung die ganze Partition sichern müsste. Da dies nicht
geht wäre ein Verzeichnis einzelner, verschlüsselter Dateien das Beste. Etwa
so wie mit ZIP-Files, deren Originale ich einzeln verschlüsseln kann,
möglichst ohne großen Aufwand wie z.B. jedes Mal erneut Eingabe des
Paßworts.
Wobei ich bei ZIP-Files diverse Entschlüsselungsprogramme finde - ich habe
das erstbeste ausprobiert, erfolgreich entschlüsselt und jedes Vertrauen in
dies ZIP-Verschlüsselung verloren. Bei 7zip seltsamerweise nur eines, das
auf möglichst komplexe Schlüssel hinweist und dafür Tage und Monate
Entschlüsselungszeit in Aussicht stellt, also offensichtlich mit brute force
arbeitet, wobei m.W. zip und 7zip doch kompatibel sein sollen?
Marcel Mueller
Aug 21, 2021, 6:05:59 AM8/21/21
to
Am 21.08.21 um 10:58 schrieb Wendelin Uez:
Die lokale Vollverschlüsselung richtet sich an die Fälle, wo die
Datenträger in fremde Hände kommen (Garantiereperaturen, Weiterverkauf,
Diebstahl etc.)
Bei Backups gilt dasselbe bezogen auf das Backup. Das bedeutet, man
macht eine Sicherung und verschlüsselt erst im letzten Schritt. Da ist
es dann auch egal, ob es sich um differentielle oder inkrementelle
Backups handelt. Es wird einfach alles samt Metadaten verschlüsselt.
Was auf diese natürlich nicht ohne weiteres funktioniert, ist ein Backup
a la rsync, was einzelne Dateien in einem existierenden Backup
aktualisiert und dabei die letzte Version verwirft.
> Da
> dies nicht geht wäre ein Verzeichnis einzelner, verschlüsselter Dateien
> das Beste.
Das geht eben mit EFS, wenn man dann für das Backup die RAW-Dateien
sichert. Wenn auf dem Verzeichnis das Verschlüsselungs-Flag sitzt,
werden alle darin neu angelegten Dateien automatisch verschlüsselt.
Wenn es sich um gemeinsam genutzte Dateien handelt, ist das aber auch
nicht mehr so einfach, denn die Verschlüsselung hat erst mal nichts mit
den Zugriffsrechten zu tun.
> Etwa so wie mit ZIP-Files, deren Originale ich einzeln
> verschlüsseln kann, möglichst ohne großen Aufwand wie z.B. jedes Mal
> erneut Eingabe des Paßworts.
>
> Wobei ich bei ZIP-Files diverse Entschlüsselungsprogramme finde - ich
> habe das erstbeste ausprobiert, erfolgreich entschlüsselt und jedes
> Vertrauen in dies ZIP-Verschlüsselung verloren.
Bei ZIP kommt es sehr darauf an, ob man den entschlüsselten Inhalt am
Anfang kennt. Das beschleunigt die Entschlüsselung erheblich. Und
manchmal kann man aus einem Dateinamen halt auf den Inhalt schließen.
Deswegen ist es auch ein Problem, wenn viele Dateien in einem ZIP sind,
weil alle einzeln mit demselben Schlüssel verschlüsselt werden. Hat man
eine, hat man alle.
> Bei 7zip seltsamerweise
> nur eines, das auf möglichst komplexe Schlüssel hinweist und dafür Tage
> und Monate Entschlüsselungszeit in Aussicht stellt, also offensichtlich
> mit brute force arbeitet, wobei m.W. zip und 7zip doch kompatibel sein
> sollen?
Nein, zip und 7z sind nicht kompatibel.
Marcel
>> Vor allem aus diesen Gründen wird eigentlich immer Vollverschlüsselung
>> empfohlen. Das gilt auch für Backups. Wenn der notwendige Schlüssel
>> den Cloud-Dienstleister nicht erreicht, ist das Ziel erreicht.
>
> Eben. Mir wäre auch Vollverschlüsselung der ganzen Partition recht, wenn
> ich nicht nach jeder Änderung die ganze Partition sichern müsste.
Ja, so macht man das ja auch nicht.
>> empfohlen. Das gilt auch für Backups. Wenn der notwendige Schlüssel
>> den Cloud-Dienstleister nicht erreicht, ist das Ziel erreicht.
>
> Eben. Mir wäre auch Vollverschlüsselung der ganzen Partition recht, wenn
> ich nicht nach jeder Änderung die ganze Partition sichern müsste.
Die lokale Vollverschlüsselung richtet sich an die Fälle, wo die
Datenträger in fremde Hände kommen (Garantiereperaturen, Weiterverkauf,
Diebstahl etc.)
Bei Backups gilt dasselbe bezogen auf das Backup. Das bedeutet, man
macht eine Sicherung und verschlüsselt erst im letzten Schritt. Da ist
es dann auch egal, ob es sich um differentielle oder inkrementelle
Backups handelt. Es wird einfach alles samt Metadaten verschlüsselt.
Was auf diese natürlich nicht ohne weiteres funktioniert, ist ein Backup
a la rsync, was einzelne Dateien in einem existierenden Backup
aktualisiert und dabei die letzte Version verwirft.
> Da
> dies nicht geht wäre ein Verzeichnis einzelner, verschlüsselter Dateien
> das Beste.
sichert. Wenn auf dem Verzeichnis das Verschlüsselungs-Flag sitzt,
werden alle darin neu angelegten Dateien automatisch verschlüsselt.
Wenn es sich um gemeinsam genutzte Dateien handelt, ist das aber auch
nicht mehr so einfach, denn die Verschlüsselung hat erst mal nichts mit
den Zugriffsrechten zu tun.
> Etwa so wie mit ZIP-Files, deren Originale ich einzeln
> verschlüsseln kann, möglichst ohne großen Aufwand wie z.B. jedes Mal
> erneut Eingabe des Paßworts.
>
> Wobei ich bei ZIP-Files diverse Entschlüsselungsprogramme finde - ich
> habe das erstbeste ausprobiert, erfolgreich entschlüsselt und jedes
> Vertrauen in dies ZIP-Verschlüsselung verloren.
Anfang kennt. Das beschleunigt die Entschlüsselung erheblich. Und
manchmal kann man aus einem Dateinamen halt auf den Inhalt schließen.
Deswegen ist es auch ein Problem, wenn viele Dateien in einem ZIP sind,
weil alle einzeln mit demselben Schlüssel verschlüsselt werden. Hat man
eine, hat man alle.
> Bei 7zip seltsamerweise
> nur eines, das auf möglichst komplexe Schlüssel hinweist und dafür Tage
> und Monate Entschlüsselungszeit in Aussicht stellt, also offensichtlich
> mit brute force arbeitet, wobei m.W. zip und 7zip doch kompatibel sein
> sollen?
Marcel
Arno Welzel
Aug 30, 2021, 8:27:18 PM8/30/21
to
Volker Delf:
> Stefan Weimar schrieb:
> Ist 7-Zip wirklich geignet für eine Dateiverschlüsselung?
> Nach meinem Verständnis müsste der symmetrische Schlüssel AES-256 in
> allen 7-Zip Versionen derselbe sein.
Der Schlüssel wird aus dem Passwort abgeleitet, was man zur
Verschlüsselung eingibt und was man auch zur Entschlüsselung braucht.
Das Passwort sollte natürlich auch brauchbar sein.
--
Arno Welzel
https://arnowelzel.de
> Stefan Weimar schrieb:
> Nach meinem Verständnis müsste der symmetrische Schlüssel AES-256 in
> allen 7-Zip Versionen derselbe sein.
Der Schlüssel wird aus dem Passwort abgeleitet, was man zur
Verschlüsselung eingibt und was man auch zur Entschlüsselung braucht.
Das Passwort sollte natürlich auch brauchbar sein.
--
Arno Welzel
https://arnowelzel.de
0 new messages