Privacy
- Wat niemand over je mag weten
Privat encryption key
Bij iDrive online backup is het mogelijk een private encryption key te gebruiken die niet op de iDrive servers wordt opgeslagen. Dit om, volgens iDrive, te garanderen dat niemand jouw bestanden kan inzien, ook niet het iDrive personeel.
Echter, het is wel mogelijk om in te loggen op de website van iDrive om je bestanden te bekijken en te downloaden. Daarvoor moet je inderdaad wel je private key invoeren, maar op dat moment is deze lijkt mij dus bekend bij iDrive. Dit lijkt mij dus een zwakke schakel in dit hele verhaal?
Ik heb al het één en ander gelezen hierover, ook op deze site: https://www.security.nl/posting/389999/versleuteling+online+backup
Er bestaat ook een online backup dienst, Spideroak, met de privacy (volgens hun zelf) hoog in het vaandel. Zij bieden ook een privat key option maar geven daarbij wel aan dat wanneer je 100% zekerheid wilt dat de bestanden niet door derden kunnen worden ingezien, je beter niet kunt inloggen op de Spideroak website maar alleen gebruik maakt van de desktop client.
De in het andere topic genoemde dienst SOS backup gaat hierin nog een stap verder: zij bieden een Ultra Safe Max account met een privat key option, maar in deze account vorm is het vervolgens niet meer mogelijk om in te loggen op hun webportaal. Je kunt alleen nog maar gebruik maken van de desktop client.
Het lijkt mij, dat wat Spideroak en SOS hiermee eigenlijk aangeven is dat wanneer je een privat encryption key echt wilt gebruiken om je privacy zo veel mogelijk te beschermen, dat je dan nooit met je key moet inloggen op een website. Ze geven feitelijk toe dat je daarmee toch een (klein?) risico loopt dat de key wordt onderschept?
Hoe denken jullie hierover? Is het gebruik van een lokaal opgeslagen encryption key, die niet bekend is bij de backup service de beste garantie dat je (versleutelde) bestanden niet door derden kunnen worden bekeken? Vooropgesteld dus dat je nooit online met deze key gaat inloggen?
Behalve Spideroak en SOS draai ik nu ook een proef met Amazon S3 in combinatie met de CloudBerry Lab desktop client. In CloudBerry stel ik in dat ik de bestanden versleuteld (256AES) wil uploaden naar de Amazon S3 servers en maak ik zelf mijn encryptie sleutel aan. Die sleutel is dus lokaal aangemaakt en nooit bekend bij Amazon. Daarnaast kan in CloudBerry nog worden gekozen voor het versleutelen van de file names. Ik heb dit uitgeprobeerd en zie in het Amazon web portaal inderdaad alleen versleutelde bestanden met namen waar ik zelf ook niets mee kan. Downloaden kan wel maar het bestand is dan niet te openen. Beheer gaat dus volledig via de lokaal geinstaleerde CloudBerry desktop client.
Wat vinden jullie van die combinatie (S3 en CloudBery)?
Echter, het is wel mogelijk om in te loggen op de website van iDrive om je bestanden te bekijken en te downloaden. Daarvoor moet je inderdaad wel je private key invoeren, maar op dat moment is deze lijkt mij dus bekend bij iDrive. Dit lijkt mij dus een zwakke schakel in dit hele verhaal?
Ik heb al het één en ander gelezen hierover, ook op deze site: https://www.security.nl/posting/389999/versleuteling+online+backup
Er bestaat ook een online backup dienst, Spideroak, met de privacy (volgens hun zelf) hoog in het vaandel. Zij bieden ook een privat key option maar geven daarbij wel aan dat wanneer je 100% zekerheid wilt dat de bestanden niet door derden kunnen worden ingezien, je beter niet kunt inloggen op de Spideroak website maar alleen gebruik maakt van de desktop client.
De in het andere topic genoemde dienst SOS backup gaat hierin nog een stap verder: zij bieden een Ultra Safe Max account met een privat key option, maar in deze account vorm is het vervolgens niet meer mogelijk om in te loggen op hun webportaal. Je kunt alleen nog maar gebruik maken van de desktop client.
Het lijkt mij, dat wat Spideroak en SOS hiermee eigenlijk aangeven is dat wanneer je een privat encryption key echt wilt gebruiken om je privacy zo veel mogelijk te beschermen, dat je dan nooit met je key moet inloggen op een website. Ze geven feitelijk toe dat je daarmee toch een (klein?) risico loopt dat de key wordt onderschept?
Hoe denken jullie hierover? Is het gebruik van een lokaal opgeslagen encryption key, die niet bekend is bij de backup service de beste garantie dat je (versleutelde) bestanden niet door derden kunnen worden bekeken? Vooropgesteld dus dat je nooit online met deze key gaat inloggen?
Behalve Spideroak en SOS draai ik nu ook een proef met Amazon S3 in combinatie met de CloudBerry Lab desktop client. In CloudBerry stel ik in dat ik de bestanden versleuteld (256AES) wil uploaden naar de Amazon S3 servers en maak ik zelf mijn encryptie sleutel aan. Die sleutel is dus lokaal aangemaakt en nooit bekend bij Amazon. Daarnaast kan in CloudBerry nog worden gekozen voor het versleutelen van de file names. Ik heb dit uitgeprobeerd en zie in het Amazon web portaal inderdaad alleen versleutelde bestanden met namen waar ik zelf ook niets mee kan. Downloaden kan wel maar het bestand is dan niet te openen. Beheer gaat dus volledig via de lokaal geinstaleerde CloudBerry desktop client.
Wat vinden jullie van die combinatie (S3 en CloudBery)?
Reacties (4)
Ik ga je een andere vragen stellen, namelijk waarom koop je geen aparte disk waar je je back-up op maakt,
of zet de backup op een andere partitie danwel in een andere directory
Waarom willen mensen toch alles online bij een instancie zetten waarvan je niet voor 100% weet of ze zijn
te vertrouwen? (Al is het maar een backup of foto's of weet ik veel)
Waarom is het zo van belang dat je van overal ter wereld bij je bestanden of backup kan?
Zijn al die dingen echt zo van levensbelang?
Waarom geen backup thuis, die via FTP zijn te benaderen?
of zet de backup op een andere partitie danwel in een andere directory
Waarom willen mensen toch alles online bij een instancie zetten waarvan je niet voor 100% weet of ze zijn
te vertrouwen? (Al is het maar een backup of foto's of weet ik veel)
Waarom is het zo van belang dat je van overal ter wereld bij je bestanden of backup kan?
Zijn al die dingen echt zo van levensbelang?
Waarom geen backup thuis, die via FTP zijn te benaderen?
Wellicht checkt de iDrive website of hij met de door jou ingevoerde private key een password error krijgt op de bij jou behorende encrypted container?
Door Anoniem: Ik ga je een andere vragen stellen, namelijk waarom koop je geen aparte disk waar je je back-up op maakt,
of zet de backup op een andere partitie danwel in een andere directory
Waarom willen mensen toch alles online bij een instancie zetten waarvan je niet voor 100% weet of ze zijn
te vertrouwen? (Al is het maar een backup of foto's of weet ik veel)
Waarom is het zo van belang dat je van overal ter wereld bij je bestanden of backup kan?
Zijn al die dingen echt zo van levensbelang?
Waarom geen backup thuis, die via FTP zijn te benaderen?
of zet de backup op een andere partitie danwel in een andere directory
Waarom willen mensen toch alles online bij een instancie zetten waarvan je niet voor 100% weet of ze zijn
te vertrouwen? (Al is het maar een backup of foto's of weet ik veel)
Waarom is het zo van belang dat je van overal ter wereld bij je bestanden of backup kan?
Zijn al die dingen echt zo van levensbelang?
Waarom geen backup thuis, die via FTP zijn te benaderen?
Ik kan niet voor de TS antwoorden, maar de vraag aan jou is, waarom vind je een backup die geen rekening houdt met inbraak, brand of stevige stroom pieken goed genoeg ?
Een inbreker die gewoon hardware meeneemt voor de hardware 'waarde' zal je backup disk/NAS niet laten staan.
Met encryptie is je data dan nog 'veilig' maar wel onbereikbaar geworden voor jou, zowel je primaire kopie als je backup.
Een huisbrand ontziet je huis-backups ook niet.
En een fikse stroompiek kan zowel je primaire opslag als een (aangesloten) backup server/nas vernietigen.
Kortom - het standaard advies om backups "off-site" te bewaren is best zinvol, en dat krijg je van een online-backup dienst.
Het aspect "access anywhere" is niet het enige voordeel van een online dienst.
disken heen en weer koerieren naar elders, of wederzijds rsyncen op NASen van vriendjes _kan_, maar is best veel gedoe.
Door Anoniem: Ik ga je een andere vragen stellen, namelijk waarom koop je geen aparte disk waar je je back-up op maakt,
of zet de backup op een andere partitie danwel in een andere directory
Waarom willen mensen toch alles online bij een instancie zetten waarvan je niet voor 100% weet of ze zijn
te vertrouwen? (Al is het maar een backup of foto's of weet ik veel)
Waarom is het zo van belang dat je van overal ter wereld bij je bestanden of backup kan?
Zijn al die dingen echt zo van levensbelang?
Waarom geen backup thuis, die via FTP zijn te benaderen?
of zet de backup op een andere partitie danwel in een andere directory
Waarom willen mensen toch alles online bij een instancie zetten waarvan je niet voor 100% weet of ze zijn
te vertrouwen? (Al is het maar een backup of foto's of weet ik veel)
Waarom is het zo van belang dat je van overal ter wereld bij je bestanden of backup kan?
Zijn al die dingen echt zo van levensbelang?
Waarom geen backup thuis, die via FTP zijn te benaderen?
Antwoord is simpel: ik heb al lang backups op externe schijven e.d. in huis. Maar als alleen dat jouw advies is, dan vind ik het een slecht advies. Een goede backup strategie bestaat uit backups in huis én buitenshuis! Wat als je huis afbrandt, er ingebroken wordt of iets anders? Een online backup, mits ééntje waar je privacy gewaarborgd is, is dan de makkelijkste en waarschijnlijk ook veiligste (data centers) backup voor buitenshuis.
Dus online backup nooit als enige backup vorm maar wel als noodzakelijke extra backup!
Als je goed had gelezen had je uit de tekst wellicht kunnen opmaken dat ik niet overal ter wereld bij mijn bestanden hoef te kunnen want ik geef aan dat ik backup services overweeg waarbij je niet meer online kunt inloggen!
Het zou prettig zijn gewoon bij het topic te blijven en in te gaan op de specifieke vragen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
