Cloud Ende zu Ende Verschlüsselung?
Zum Beispiel lese ich bei Google Drive einige Berichte, die einen schreiben, dort gäbe es in der Cloud die Ende-zu-Ende-Verschlüsselung und in anderen Berichten wäre es nicht so. Aber wie kann ich das selber feststellen, ob es eine Ende-zu-Ende-Verschlüsselung gibt, unabhängig von der Aussage des Anbieters, gibt es da eine Möglichkeit das selber zu überprüfen und wenn ja, wie kann man das machen?
3 Antworten
Bei Microsoft, Google, und den meisten anderen großen Anbietern hast du nur eine Transportverschlüsselung, d.h. der Anbieter kann jederzeit deine Daten lesen und auswerten. Zum Beispiel, um dir passende Werbung zu präsentieren.
Bei einem EU Anbieter wie dem Magenta T könnte man vielleicht davon ausgehen, dass diese das aus juristischen Gründen nicht machen, technisch könnten Sie es auch.
Mega ist der einzige mir bekannte Anbieter, der behauptet, technisch die Daten Ende-zu-Ende zu verschlüsseln und macht dies über Javascript im Browser. Das könnte man so machen, ob das aber mal jemand auf Sicherheit geprüft hat weiss ich nicht. Man sieht das, da in den URLs jeweils die Schlüssel für die Dateien nach einem # weitergegeben werden (der Teil nach dem # wird nicht an den Server übertragen und kann nur im Browser lokal ausgewertet werden).
Wenn man auf einem eigenen / gemieteten Server eine Nextcloud selbst aufsetzt, kann man dort die Ende-zu-Ende Verschlüsselung einschalten (welche aber Einschränkungen mit sich bringt, man kann z.B. Daten nicht mehr so einfach teilen und nur noch mit dem Client verwalten).
Ich lade Daten nur verschlüsselt in die Cloud (ich nutze das nur als Backup und das Backupprogramm selbst kann AES verschlüsseln).
Nein; überprüfen kannst du das nicht. Manche Anbieter werben damit, sich von unabhängigen Stellen prüfen zu lassen; was aktuell über das ganze System hinaus passiert, kannst du trotzdem nicht zu 100 % wissen.
Deshalb ist es am sichersten, die Daten vor dem Hochladen selber zu verschlüsseln, eigene Infrastruktur aufzustellen, welche man selbst kontrolliert (Festplatten sind auch nicht sonderlich teurer, als die monatlichen Kosten), oder zumindest Anbieter zu wählen, welche eher als Google dafür bekannt sind, sparsam mit Nutzerdaten umzugehen.
Du müsstest den Source Code der Clientsoftware lesen, bzw. falls dieser nicht verfügbar ist, Reverse Engineering betreiben, um festzustellen, ob tatsächlich E2E Verschlüsselung angewendet wird.
Google Drive ist ganz sicher nicht E2E verschlüsselt, und das hat Google mWn auch nie behauptet.