Encryption - Empfehlung gesucht
Hallo, ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server. Kann nfs verschlüsselte Festplatten verteilen? Mit welchem Verfahren wäre die Platte dann zu verschlüsseln? Es gibt ja encfs, truecrypt, ecryptfs, luks, cryptctl. Wie würdet ihr das machen? -- Dirk
Hallo, Am 5. November 2024 16:39:04 MEZ schrieb Dirk Meier <dirk.meier@gmx.de>:
Hallo, ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server. Kann nfs verschlüsselte Festplatten verteilen? Mit welchem Verfahren wäre die Platte dann zu verschlüsseln? Es gibt ja encfs, truecrypt, ecryptfs, luks, cryptctl. Wie würdet ihr das machen?
Ketzerische Antwort: gar nicht. Korrekte Antwort: es kommt darauf an... was du mit den Daten vor hast. Natürlich kann man mit den genannten Programmen eine virtuelle Festplatte oder Partition in einer Containerdatei anlegen und die auf einem Server ablegen. Man kann sie auch über NFS auf dem Server anlegen und füllen - wenn man sehr viel Zeit hat. Und jedes Lesen kostet dann auch viel Zeit - oder können kopiert die gesamte Datei zurück. Wenn ich Daten von einen Client auf den Server als Datensicherung bringen wollte, würde ich das eher mit einem Programm wie duplicati machen, das die Sicherung auf den Client verschlüsselt und dann auf dem Server so ablegt, dass die nächste Sicherung schnell und inlrementell abläuft. Oder für einen Verzeichnisbaum von Dateien, die vom Server aus auch wieder auf anderen Clients landen sollen, gäbe es syncthing - legt auch auf Wunsch die Dateien verschlüsselt ab, die man dann nur mit dem festgelegten key entschlüsseln kann, den der Server dann eben nicht hat. Wenn mehrere Clients gleichzeitig auf derselben Datei Änderungen vornehmen sollen - das lässt man besser sein, hat schon seit Jahrzehnten bei Microsoft Access nicht funktioniert (selbst ohne Verschlüsselung) Gruß Martin -- Diese Nachricht wurde von meinem Android-Gerät mit K-9 Mail gesendet.
Am Dienstag, 5. November 2024, 16:39:04 CET schrieb Dirk Meier:
Hallo, ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server. Kann nfs verschlüsselte Festplatten verteilen? Mit welchem Verfahren wäre die Platte dann zu verschlüsseln? Es gibt ja encfs, truecrypt, ecryptfs, luks, cryptctl. Wie würdet ihr das machen?
Hallo, ich weiß nicht, ob ich korrekt verstanden habe, was du genau vorhast. Für mich ist die Anforderung, ein NFS bereitzustellen mit clientseitiger Verschlüsselung, also so dass alle Clients auf alle Daten zugreifen können, auch jene, die andere verschlüsselt haben. Das einzige, das ich kenne, das diese Anforderungen erfüllt, ist JuiceFS. JuiceFS benötigt dann ein zentrale Datenbank, bspw. Postgre od. MySQL. Darin werden der Schlüssel wie auch die Metadaten des Filesystems gespeichert. JuiceFS ist also selbst ein Filesystem. Es ist eigentlich gedacht, um Cloudstorages (S3 u. Co) bereitzustellen, kann aber die Daten auch in einem File speichern. Bereitstellen kann es das Filesystem dann auch auf unterschiedliche Weise. NFS soll da auch dazu gehören. Aber wenn du es per NFS im Netzwerk bereitstellst, macht die Verschlüsselung der Host, auf dem das NFS läuft. Das könnte natürlich auch jeder der Clients selbst sein. Sinn? Auf einem Client kannst du es auch ganz einfach im Filesystem mounten und darauf zugreifen Wenn der Client die Verschlüsselung und Bereitstellung machen soll, muss JuiceFS installiert werden. Nach meiner Erfahrung läuft es auf Linux einwandfrei, auf Windows katastrophal. Grüße Richard
Am Di., 5. Nov. 2024 um 16:39 Uhr schrieb Dirk Meier <dirk.meier@gmx.de>:
ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server.
Warum? Welches Problem willst Du lösen? https://de.wikipedia.org/wiki/XY-Problem Gruß Martin
Am 05.11.24 um 4:39 PM schrieb Dirk Meier:
ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server.
Ohne jetzt genau Deine Anforderung zu analysieren würde ich NFS abschreiben und das mit iSCSI und cryptsetup implementieren.
Kann nfs verschlüsselte Festplatten verteilen?
NFS kann (mit Kerberos, was dann eine spezielle Baustelle wäre) den Übertragungsweg absichern. Die Datenhaltung ist dann aber weiterhin unverschlüsselt und müsste separat (und serverseitg erfolgen). Du kannst natürlich auf einem unverschlüsselten NFS Share encfs und Co. draufsetzen. Das ist ja file basiert. Ich würde aber dennoch die iSCSI/cryptsetup Variante wählen. Viele Grüße Ulf
Am Dienstag, 5. November 2024, 16:39:04 CET schrieb Dirk Meier:
Hallo, ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server. Kann nfs verschlüsselte Festplatten verteilen? Mit welchem Verfahren wäre die Platte dann zu verschlüsseln? Es gibt ja encfs, truecrypt, ecryptfs, luks, cryptctl. Wie würdet ihr das machen?
Erst einmal vielen Dank für eure Anregungen. Am liebsten würde ich eine mit luks verschlüsselte Festplatte per nfs im Netz anbieten und mit verschiedenen Clients darauf zugreifen und auf den Clients entschlüsseln. Leider habe ich irgendwo gelesen, dass nfs das nicht kann. Daher war mein Ansatz auf der Festplatzte ein verschlüsseltes Verzeichnis zu erstellen und dies zu verschlüsseln. Die Entschlüsselung soll dann wieder auf den Client passieren. Da luks wohl nicht geht und ich über die Qualität der einzelnen Verzeichnsverschlüsselungsprograamme unklar bin, habe ich mal gefragt. Weiß aber immer noch nicht so genau, wie ich es machen soll. -- Dirk
Am Donnerstag, 14. November 2024, 14:20:08 CET schrieb Dirk Meier:
Am Dienstag, 5. November 2024, 16:39:04 CET schrieb Dirk Meier:
Hallo, ich möchte eine per nfs verteilte Festplatte verschlüsseln und die Entschlüsselung auf dem client durchführen, nicht auf dem server. Kann nfs verschlüsselte Festplatten verteilen? Mit welchem Verfahren wäre die Platte dann zu verschlüsseln? Es gibt ja encfs, truecrypt, ecryptfs, luks, cryptctl. Wie würdet ihr das machen?
Erst einmal vielen Dank für eure Anregungen. Am liebsten würde ich eine mit luks verschlüsselte Festplatte per nfs im Netz anbieten und mit verschiedenen Clients darauf zugreifen und auf den Clients entschlüsseln. Leider habe ich irgendwo gelesen, dass nfs das nicht kann. Daher war mein Ansatz auf der Festplatzte ein verschlüsseltes Verzeichnis zu erstellen und dies zu verschlüsseln. Die Entschlüsselung soll dann wieder auf den Client passieren. Da luks wohl nicht geht und ich über die Qualität der einzelnen Verzeichnsverschlüsselungsprograamme unklar bin, habe ich mal gefragt. Weiß aber immer noch nicht so genau, wie ich es machen soll.
Mit LUKS geht das wohl nicht. Es verschlüsselt eine lokale Platte. Du möchtest aber eine ferne Platte verschlüsseln, also vor dem Netzwerkprotokoll. Du könntest dir noch rclone ansehen. Das verschlüsselt alles, sowohl remote als auch lokal. Es ist vorwiegend für die Datenverschlüsselung auf unsicheren Netzwerkspeicher gedacht, aber es kann auch ein lokalen Speicher verwenden und die Daten aus verschiedene Arten bereitstellen: NFS, mount in ein lokales Verzeichnis, WebDAV, u. w. Dazu muss rclone auf jedem Client installiert werden. Gibt es im Standard- Repo. Die Verschlüsselungsparameter werden in einem lokalen Konfig-File abgelegt. Passwörter sind gehasht, es kann aber die ganze Konfig nochmals mit eine Passphrase verschlüsselt werden. Diese müsste dann zum Öffnen des Filesystems geöffnet werden. Sollen mehrere Clients dieselbe Verschlüsselung verwenden, um Zugriff auf dieselben Daten zu haben, kann die Konfig einfache verteilt werden. Ich habe das kürzlich auf Windows mit einem S3 Storage als Speicher und lokalem Mounting für einen Datenspeicher für eine Webapplikation mit aktuell 750 k Dateien und etwa eben soviel GB eingerichtet. Funktioniert bislang ganz zufriedenstellend. Es kommt aber aus der Linux Welt, und sollte da wohl nicht weniger gut arbeiten. Grüße Richard
participants (5)
-
Dirk Meier
-
Martin Hofius
-
Martin Schröder
-
Richard Hafenscher
-
Ulf Volmer