Am 14.11.2013 um 14:30 schrieb Matthias Šubik <[email protected]>: > On 14.11.2013, at 14:05, Marc Stibane wrote: >> Am 14.11.2013 um 13:34 schrieb Erich N. Pekarek <[email protected]>:
>>> Zurück zum Housing: R PI B mit externen Cloud-Diensten und Verschlüsselung >>> und OwnCloud als Datenspeicher? Ist das ein UseCase? >> Genau dafür will ich's haben. >> Noch besser wäre, wenn die Daten direkt am Endgerät verschlüsselt werden, so >> dass auf dem RaspPi wirklich nix mehr abzuschnorcheln ist. >> Da man am Endgerät eh passende Software braucht, könnte man dort auch was >> einsetzen was lokal End-to-end ver- und entschlüsselt. >> Beispiel iOS: Die Apple iWorks-Suite für iPhone/iPad kann nur mit iCloud >> automatisch synchronisieren. Wenn man seine Dokumente mit Pages, Numbers >> oder Keynote auf einem WebDAV-Server (z.B. Owncloud) speichern will, muss >> man manuell "sichern" bzw. "laden". Das kann man dann auch mit einer >> Owncloud-App machen (also statt "sichern" eine Kopie des Dokuments an die >> Owncloud-App übergeben - statt "laden" in die Owncloud-App wechseln und von >> dort das Dokument an die iWorks-App übergeben). Und dabei könnte die >> Owncloud-App eben *auf dem Gerät* ver- und entschlüsseln. >> Geht natürlich nicht bei CalDAV/CardDAV weil das Protokoll das nicht >> vorsieht. Nur Transport Layer Security. > Es ginge mit einer Backendstorage hinter WebDAV/IMAP whatever die > verschlüsselt ist, und das Passwort wird an dieses Backend im einfachsten > Fall durchgereicht. Auch da würde ein M.i.t.M. den nur TLS-verschlüsselten Stream aufbrechen können und somit an die unverschlüsselten Daten kommen. > Das würde ausreichen, dass im Falle eines ungewünschten Zugriffes auf die > Storage nicht alles sofort sichtbar wäre. Allerdings bräuchte es ein > intelligenteres Storage um z.B. mit anmeldenen Client Zertifikat > verschlüsselte Daten zu öffnen, und eine "local root" Sicherheitslücke würde > auch das übertragene Passwort früher oder später preisgeben. Eben. Da der RaspPi ja jederzeit von Edis untersucht werden könnte bzw. die SD-Card kopiert werden könnte... Ich will denen um Gottes willen nichts unterstellen, aber eine richterliche Hausdurchsuchung reicht und der RaspPi bzw. die SD-Card ist weg. Sicher ist nur was auf dem Endgerät verschlüsselt wird, ohne dass es am RaspPi selber entschlüsselt werden kann. >> Außerdem könnte eine eigene Owncloud-App auch das Zertifikat *richtig* >> prüfen - was nutzt mir eine SSL-Verschlüsselung für den Transport wenn ein >> man-in-the-middle von der NSA mit einem gültigen Zertifikat operiert welches >> von Verisign o.ä. ausgestellt ist und dem das iPhone nunmal vertraut... > dafür würde sich certificate-pinning eignen, > d.h. man gibt den Hash/Seriennummer des zugelassenen Zertifikates einzeln an. Genau. Und das muss halt direkt die iPhone-App testen, weil iOS selber sowas nicht kann. Keine Ahnung wie das bei Androiden aussieht... -- A: Yes. > Q: Are you sure? >> A: Because it reverses the logical flow of conversation. >>> Q: Why is top posting annoying in email?
-- Discuss mailing list [email protected] https://lists.funkfeuer.at/mailman/listinfo/discuss
