{"id":3799,"date":"2013-07-31T09:17:19","date_gmt":"2013-07-31T08:17:19","guid":{"rendered":"https:\/\/www.kolja-engelmann.de\/blog\/?p=3799"},"modified":"2013-07-31T09:19:20","modified_gmt":"2013-07-31T08:19:20","slug":"wie-sicher-sind-meine-daten-bei-bitcasa-gar-nicht","status":"publish","type":"post","link":"https:\/\/www.kolja-engelmann.de\/blog\/2013\/07\/wie-sicher-sind-meine-daten-bei-bitcasa-gar-nicht\/","title":{"rendered":"Wie sicher sind meine Daten bei Bitcasa – Gar nicht."},"content":{"rendered":"

„Machst du eigentlich Backups von deinen Bildern?“ – „Ja, auf einer externen Festplatte und meinem NAS“ – „Und was ist wenn es hier mal brennt oder der Blitz einschlagen sollte und beide Backups gemeinsam kaputt w\u00e4ren?“<\/p>\n

Jetzt muss ich mir schon von meiner Frau sagen lassen, dass meine Backupstrategie nicht 100%ig durchdacht ist… Also sah ich mir mal wieder Bitcasa<\/a>\u00a0an. Theoretisch unbegrenzter Speicher, sehr g\u00fcnstig (99$ pro Jahr) alle Daten sind verschl\u00fcsselt gespeichert usw. Das w\u00fcrde sich doch perfekt eignen, oder nicht?<\/p>\n

Nat\u00fcrlich interessiert mich seit den NSA-Enth\u00fcllungen die verwendete Verschl\u00fcsselung und deren Wirksamkeit ganz besonders. Bitcasa scheint hier zun\u00e4chst vorbildlich.<\/p>\n

How is my data encrypted<\/strong><\/p>\n

When you copy content to\u00a0your\u00a0Bitcasa Drive via the desktop app, it is first encrypted client-side using a method called convergent encryption, and then copied into the cache as small blocks\u00a0of data.\u00a0With convergent encryption, the hash of a file is used to generate a unique set of keys to encrypt the file.\u00a0[…] Once your data has been copied to the cache, it is then uploaded to Bitcasa via a\u00a0synchronous protocol. We then encrypt your file system using the user key generated when you signed up for your Bitcasa account.<\/p>\n

This level of encryption makes it impossible for us to see any of your data, including files names, inside your account<\/strong>. All we can see from our end are nondescript blocks of data, and how much spaces these blocks take up within your Bitcasa Drive.\u00a0Data is decrypted and reconstructed only when you log into your account with your username and password. \u00a0We do not keep any encryption keys or passwords in plaintext on our servers. –\u00a0https:\/\/support.bitcasa.com\/entries\/24634447<\/a><\/p><\/blockquote>\n

Damit Speicherplatz auf den Servern gespart wird, nutzt Bitcasa eine Datendeduplikation \u00e4hnlich wie sie auch bei Dropbox genutzt wird. Ich fasse das mal kurz zusammen:<\/p>\n

    \n
  1. Aus einer bei Bitcasa zu speichernden Datei wird auf dem eigenen Rechner ein Schl\u00fcssel generiert. Hierzu wird vermutlich ein Hash Algorithmus wie SHA-256<\/a> verwendet, um einen 256bit langen Schl\u00fcssel zu erhalten.<\/span><\/li>\n
  2. Mit diesem Schl\u00fcssel wird die Datei AES-256 verschl\u00fcsselt, in 512KB gro\u00dfe Bl\u00f6cke zerlegt und zun\u00e4chst lokal gespeichert.<\/li>\n
  3. F\u00fcr jeden Block wird nun vor dem Upload \u00fcberpr\u00fcft, ob er sich bereits auf dem Server befindet. Ist dies der Fall braucht er nicht hochgeladen zu werden, Speicherplatz wird gespart.<\/li>\n<\/ol>\n

    Ein offensichtlicher Kritikpunkt ist hier, dass Bitcasa genau wei\u00df ob mehrere User die gleiche Datei besitzen. Das ist soweit erstmal nicht kritisch, da der Verschl\u00fcsselungsprozess nicht so einfach umgekehrt werden kann und somit nicht erkennbar ist, was diese Dateien nun enthalten. Rechteinhaber k\u00f6nnten so jedoch beispielsweise Dateien aus Tauschb\u00f6rsen, die ihre Rechte verletzen, selbst hochladen und von Bitcasa dann alle User suchen lassen. Nur mal so als Denkansto\u00df.<\/p>\n

    In seinen FAQ hebt Bitcasa au\u00dferdem hervor, dass sie keinerlei M\u00f6glichkeit h\u00e4tten, das Dateisystem (Ordner, Dateinamen, Metadaten, usw.) der Nutzer zu sehen, da diese ja komplett verschl\u00fcsselt sein.<\/p>\n

    \"Screenshot<\/a>

    Screenshot des Bitcasa Webinterface<\/p><\/div>\n

    Wenn ein Zugriff nur \u00fcber meinen lokalen Client m\u00f6glich w\u00e4re, der meine Verzeichnisstruktur und Daten wieder entschl\u00fcsseln kann, dann k\u00f6nnte ich jetzt beruhigt schlafen, obwohl das Unternehmen in Amerika ans\u00e4ssig ist und die Daten auf Amazon Servern hostet(also f\u00fcr deutsche Nutzer vermutlich in Irland), die vermutlich alle angezapft und abgeh\u00f6rt werden k\u00f6nnen. Aber es gibt da ja noch das Bitcasa Webinterface. Ich logge mich online ein und was sehe ich? Meine Daten. Was kann ich mir online ansehen, anh\u00f6ren, streamen und durchlesen? Meine Daten. Was soll ich davon halten Bitcasa? Wie macht ihr das, wenn ihr doch laut eigenen Angaben keinerlei Zugriff auf meine Daten habt? Wird alles bei mir dechiffriert? Macht der Browser hier regen Gebrauch von Kryptofunktionen? Das ich nicht lache. Da passiert in Javascript rein gar nichts. Abgesehen von ein bisschen jQuery Javascript f\u00fcr das Interface. Ich behaupte also mal ganz einfach: Ihr k\u00f6nnt meine Daten sehr wohl dechiffrieren.<\/strong><\/p>\n

    Ich habe Bitcasa auf Grund dieser Anschuldigungen angemailt und hoffe auf eine Erl\u00e4uterung. Bis dahin kann mein Fazit aber nur lauten:<\/p>\n

    Wenn ich hier nicht etwas grundlegendes \u00fcbersehen habe, dann verarscht Bitcasa seine User. Unbegrenzter Speicher ist sch\u00f6n, Bitcasa ist einer der g\u00fcnstigsten Anbieter aber ohne ein zus\u00e4tzliches Level an Sicherheit wie ein expandierendes Truecrypt-Volume oder Boxcryptor w\u00fcrde ich Bitcsasa niemandem empfehlen.<\/p>","protected":false},"excerpt":{"rendered":"

    „Machst du eigentlich Backups von deinen Bildern?“ – „Ja, auf einer externen Festplatte und meinem NAS“ – „Und was ist wenn es hier mal brennt oder der Blitz einschlagen sollte und beide Backups gemeinsam kaputt...<\/p>\n","protected":false},"author":1,"featured_media":3802,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[9,10],"tags":[113,33],"class_list":["post-3799","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-sicherheit","category-tools","tag-cloudspeicher","tag-verschlusselung"],"jetpack_featured_media_url":"https:\/\/www.kolja-engelmann.de\/blog\/wp-content\/uploads\/2013\/07\/bitcasa-logo.png","jetpack_sharing_enabled":true,"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/posts\/3799","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/comments?post=3799"}],"version-history":[{"count":0,"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/posts\/3799\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/media\/3802"}],"wp:attachment":[{"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/media?parent=3799"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/categories?post=3799"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kolja-engelmann.de\/blog\/wp-json\/wp\/v2\/tags?post=3799"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}