Crashplan + TrueCrypt - overkill?


9

Crashplan มีตัวเลือกในการเข้ารหัสข้อมูลแล้ว และหากเลือกตัวเลือกนี้จะเก็บไฟล์ที่เข้ารหัสไว้บนเซิร์ฟเวอร์

Truecrypt มีตัวเลือกมากมาย แต่สำหรับการใช้งานพื้นฐานการเข้ารหัสของ CrashPlan จะไม่เพียงพอหรือไม่

อัปเดต : หลังจากลอง CrashPlan ฉันไม่แน่ใจว่าการเข้ารหัสดังกล่าวเป็นของจริงหรือไม่ แน่นอนว่ามันจะสร้างไฟล์คอนเทนเนอร์ที่คุณไม่สามารถเปิดและดูได้ แต่ถ้าคุณไปที่เว็บไซต์ของ CrashPlan คุณสามารถ:

  • ดูโครงสร้างโฟลเดอร์ทั้งหมดของคุณ
  • ดูแต่ละไฟล์
  • กู้คืนไฟล์เดี่ยว ๆ หรือกลุ่มของไฟล์ตามที่คุณต้องการ

การเข้ารหัสควรจะเป็นการรับส่งข้อมูลทางเดียวหากข้อมูลมีให้เห็นอย่างชัดเจนแล้วฉันไม่แน่ใจว่าเป็นการเข้ารหัสหรือไม่ อาจเข้ารหัส แต่ไม่เข้ารหัส ฉันทำอะไรบางอย่างหายไปหรือเปล่า


ฉันคิดว่าขึ้นอยู่กับว่าคุณเป็นคนหวาดระแวง คุณสนใจว่า Crashplan สามารถถอดรหัสข้อมูลของคุณได้หรือไม่? ถ้าเป็นเช่นนั้นใช้ Truecrypt
Aaron Miller

1
หาก Crashplan สามารถถอดรหัสได้โดยไม่ต้องใช้รหัสผ่านและ / หรือรหัสของฉันแสดงว่าไม่ใช่การเข้ารหัสจริงหรือไม่
Mrchief

1
@AaronMiller - Crashplan ตามค่าเริ่มต้นจะเข้ารหัสข้อมูลทั้งหมดที่คุณอัปโหลด การเข้ารหัสนี้ขึ้นอยู่กับรหัสผ่านผู้ใช้ของคุณ คุณยังสามารถเข้ารหัสไฟล์ที่คุณอัปโหลดโดยใช้รหัสผ่านที่คุณไม่เคยส่งไปยัง Crashplan ทำให้ไม่สามารถถอดรหัสไฟล์โดย Crashplan ได้
Ramhound

1
ดูที่support.crashplan.com/doku.php/faq/securityซึ่งระบุว่า "ไม่มีวิธีใดที่จะช่วยคุณกู้คืนรหัสผ่านการเก็บถาวรที่เราไม่เคยทำมาก่อน" และ "หากคุณทำหายหรือลืมรหัสการเข้ารหัสข้อมูลสำรองของคุณจะไม่สามารถกู้คืนได้และการสนับสนุน CrashPlan ไม่สามารถช่วยเหลือในการกู้คืนได้"
James

1
ฉันคิดว่าสิ่งที่พวกเขากำลังพูดคือการเข้ารหัสนั้นทำโดยไพรเวตคีย์ (คล้ายกับเมื่อคุณสร้างขึ้นมาสำหรับ SSH) และถ้าคุณใช้คีย์พวกเขาให้ (เฉพาะกับบัญชีของคุณ) พวกเขาเก็บสำเนาของคีย์ และสามารถย้อนกลับการเข้ารหัสตราบใดที่คุณสามารถจำรหัสผ่าน หากคุณใช้รหัสที่คุณสร้างขึ้นและทำหายมันจะไม่สามารถช่วยคุณได้ ...
James

คำตอบ:


12

การเปิดเผยข้อมูล:ฉันเป็นซีอีโอและหุ้นส่วนผู้ก่อตั้ง Code42

มันมากเกินไป เพื่อทำให้เรื่องแย่ลงมันจะทำให้การสำรองข้อมูลของคุณช้าลงและการป้องกันข้อมูลล่าช้าเนื่องจากการตรวจสอบแบบเรียลไทม์จะไม่ทำงานและข้อมูลที่เข้ารหัสไม่สามารถบีบอัดได้

ด้วยการใช้รหัสผ่านข้อมูลส่วนตัว (แนะนำ) หรือสร้างรหัสของคุณเองคุณจะมั่นใจได้ถึงความเป็นส่วนตัว (ใช่คุณต้องเชื่อใจเราในการพูดสิ่งนี้ แต่ถ้าคุณไม่ใช่ผู้เชี่ยวชาญด้านซอฟต์แวร์ / การรักษาความปลอดภัยการศึกษา / ตรวจสอบรหัส truecrypt เป็นการส่วนตัวคุณต้องเชื่อใจใครสักคน

หากคุณมีข้อมูลที่มีค่ามากจนคุณไม่สามารถไว้ใจใครได้การเข้ารหัสเป็นสองเท่านั้นสมเหตุสมผล อย่างไรก็ตามฉันจะทำเช่นนั้นสำหรับชุดข้อมูลที่เฉพาะเจาะจงเท่านั้น - ให้ CrashPlan จัดการส่วนที่เหลือ


คำตอบของคุณทำให้ดูเหมือนว่าคุณมาจาก Crashplan มันเป็นอย่างนั้นเหรอ?
Mrchief

หากคุณเป็นพนักงาน CrashPlan โปรดเปิดเผยความเกี่ยวพันของคุณตามที่คำถามที่พบบ่อย
afrazier

5
มากับพวกคุณสิ ถามทำไม Google เขา Matthew Dornquast เป็น Mr. CrashPlan ตัวเอง ผู้ก่อตั้งรหัส 42 ซึ่งเป็นผู้สร้าง CrashPlan และผลิตภัณฑ์อื่น ๆ อีกมากมาย ตกอยู่ในความสนใจ? คำตอบของเขานั้นเกี่ยวกับ CrashPlan และเขาอาจจะลำเอียงเล็กน้อย (ด้วยเหตุผลบางอย่างที่ไม่ทราบ!) แต่อย่าบอกฉันว่าคุณไม่คิดว่ามันยอดเยี่ยมผู้สร้างผลิตภัณฑ์ต่างก็อยู่ในเว็บไซต์นี้เช่นกัน เขาอาจรู้จักผลิตภัณฑ์นั้นดีกว่าคนอื่น! minnpost.com/politics-policy/2011/08/…
ออสติน '' อันตราย '' พลัง

1
อา! นาย Crashplan ผู้ต่ำต้อย !! ปลายหมวกขนาดใหญ่จากนักพัฒนาที่อยู่ภายในฉัน ในที่สุดฉันก็รับคำแนะนำของคุณ!
Mrchief

4
ขออภัยคน 'เชื่อเรา' ไม่ใช่คำตอบที่ถูกต้องเมื่อมีการเข้ารหัส
Michael Kohne

4

ฉันเป็นผู้ใช้ TrueCrypt แต่ถ้าฉันใช้ CrashPlan ฉันจะหลีกเลี่ยงการเข้ารหัสข้อมูลของฉันกับผลิตภัณฑ์อื่นก่อนที่จะส่งให้ CrashPlan เพื่อจัดการจากนั้นจึงผลักอินเทอร์เน็ต (เนื่องจากประสิทธิภาพที่ดี -> เจ็บปวด) หากคุณเข้ารหัสโฟลเดอร์ 1GB ซึ่งมีเอกสาร Word ขนาดเล็กจำนวนมากทันใดสิ่งที่คุณมีก็คือ Blob 1GB ซึ่งเป็นข้อมูลที่เหมือนกันซึ่งไม่สามารถจัดการได้อย่างมีประสิทธิภาพโดยซอฟต์แวร์สำรองข้อมูลของคุณ ดังนั้นหากคุณเพิ่มช่วงเวลาพิเศษหนึ่งในเอกสาร Word เหล่านั้นจากนั้นบันทึกอีกครั้งไฟล์เก็บถาวร TrueCrypt ของคุณจะแตกต่างกันอย่างมากและสิ่งที่ต้องสำรองอีกครั้ง ฉันอยากจะเชื่อใจการเข้ารหัสของ CrashPlan (คุณต้องเชื่อถือการเข้ารหัสของบริการเหล่านี้หรือหาคนที่คุณไว้วางใจ) หากคุณมีไฟล์ข้อความขนาดเล็กพร้อมรหัสผ่านผู้ดูแลโดเมนและสามารถ ' ไม่ต้องนอนหลับตอนกลางคืนโดยไม่ต้องเข้ารหัสสองครั้งก็ใช้ได้ แต่คุณต้องการหลีกเลี่ยงไฟล์ที่เข้ารหัสขนาดใหญ่ (TrueCrypt หรืออื่น ๆ ) เนื่องจากผลกระทบต่อประสิทธิภาพจะเพิ่มแบนด์วิดท์เครือข่ายและการสำรองข้อมูลช้ากว่ามาก เพิ่มความปลอดภัยให้กับคุณ (ไม่จำเป็น) หากคุณเป็นทนายความหรือมีข้อมูลที่เกี่ยวข้องกับการแพทย์คุณอาจมีภาระผูกพันตามกฎหมายในการเข้ารหัสซ้ำหรือบางทีคุณอาจได้รับความมั่นใจตามกฎหมายจากรหัส 42 ว่าการเข้ารหัสสามารถเชื่อถือได้สำหรับข้อมูลประเภทนั้น ( บางทีคุณอาจมีหน้าที่ต้องทำเช่นนั้นในสถานการณ์เช่นนี้ฉันไม่แน่ใจ - ยังไม่พบข้อมูลประเภทนี้ในที่ทำงาน) หากคุณใช้ Dropbox (บริษัท ที่ยอมรับว่า 5% ของพนักงานสามารถเข้าถึงข้อมูลที่จัดเก็บโดยผู้ใช้เพื่อรักษาและแก้ไขปัญหา!

หรือคำตอบสั้น ๆ :

... ใช่มันอาจเกินเลยไป


การเพิ่ม 'จุด' จะไม่เปลี่ยนไฟล์ทั้งหมด ไม่กี่บล็อกที่ดีที่สุดและ Crashplan จะอัปโหลดบล็อกเหล่านั้นเท่านั้น การสำรองข้อมูลครั้งแรกจะช้า แต่หลังจากนั้นจะมีผลกระทบเล็กน้อย (เว้นแต่คุณจะทิ้งข้อมูล giga หรือ tera bytes ของข้อมูลทุกวัน)
Mrchief

3

คำตอบสั้น ๆ

อาจเป็นไปได้ว่าคุณไม่ใช่เป้าหมายที่สูง

คำตอบที่ยาว

CrashPlan เข้ารหัสข้อมูลโดยใช้ใบรับรองที่ป้องกันด้วยรหัสผ่านหรือไม่เข้ารหัสเลย ในการสรุปนี้คุณสามารถนึกถึงใบรับรองโดยทั่วไปคือรหัสผ่านขนาดใหญ่ที่เก็บไว้ในไฟล์ที่มีชื่อของคุณแนบมาด้วย โดยทั่วไปไฟล์ใบรับรองนี้จะเข้ารหัสเพื่อให้แน่ใจว่าสำเนาไฟล์อย่างรวดเร็วนั้นไม่เพียงพอในการเข้าถึงข้อมูล - คุณต้องมีรหัสผ่านไฟล์ใบรับรองด้วย

ผู้ใช้ CrashPlan ส่วนใหญ่ใช้สิ่งที่เรียกว่าหน่วยเก็บใบรับรอง escrow โดยที่ Code42 เก็บไฟล์ใบรับรองให้คุณในรูปแบบที่เข้ารหัส เมื่อคุณระบุรหัสผ่านของคุณไฟล์ใบรับรองเหล่านี้จะถูกถอดรหัสและจะใช้ในการถอดรหัสข้อมูลดิบของคุณ นี่คือเหตุผลที่ส่วนต่อประสานเว็บ CrashPlan ช่วยให้คุณสามารถเรียกดูข้อมูลของคุณได้หลังจากที่คุณระบุรหัสผ่านใบรับรองแล้วซอฟต์แวร์ของพวกเขาสามารถเข้าถึงข้อมูลโดยใช้ใบรับรอง ช่องโหว่ความปลอดภัยหลักด้วย:

  • คุณเชื่อถือพนักงาน Code42 + เพื่อเก็บใบรับรองของคุณอย่างปลอดภัย
  • คุณเชื่อถือพนักงาน Code42 + ไม่ต้องเก็บรหัสผ่านใบรับรองของคุณอย่างไม่ปลอดภัย
  • คุณเชื่อถือพนักงาน Code42 + ไม่ให้ไฟล์ใบรับรองหรือรหัสผ่านของคุณแก่หน่วยงานใด ๆ (เช่นรัฐบาล) ที่ร้องขอ (เช่นหมายศาล)
  • ดังที่ฉันกล่าวถึงข้างต้นใบรับรองของคุณเป็นรหัสผ่านที่ใหญ่มาก หากใครก็ตามจับมือกับไฟล์นั้นสิ่งเดียวที่ทำให้พวกเขาหยุดการใช้งานคือรหัสผ่านใบรับรองของคุณดังนั้นถ้าคุณทำให้hunter42คุณเมา โดยพื้นฐานแล้วการทำลายรหัสผ่านใบรับรองของคุณน่าจะค่อนข้างง่ายถ้ามีคนกระตุ้นจริงๆและคุณไม่ได้เลือกรหัสผ่านที่ดี

คุณยังสามารถใช้ "คีย์ที่กำหนดเอง" (เช่นเมื่อคุณระบุไฟล์ใบรับรอง) ซึ่งหมายความว่า Code42 ไม่ได้จัดเก็บใบรับรองไว้บนเซิร์ฟเวอร์ พวกเขายังคงเก็บข้อมูลที่เข้ารหัสบนเซิร์ฟเวอร์ของพวกเขา แต่ถ้าคุณต้องการที่จะเห็นมันในเว็บอินเตอร์เฟสแล้วคุณจะต้องให้ซอฟต์แวร์ของพวกเขาทั้งไฟล์ใบรับรองและรหัสผ่านใบรับรอง ตอนนี้นี่คือส่วนที่แปลก: นี่แทบไม่มีความปลอดภัยเพิ่มเติมจริงเหนือตัวเลือกข้างต้นส่วนใหญ่จะเป็นประโยชน์สำหรับระบบที่มีบัญชีผู้ใช้จำนวนมากที่คุณต้องการแยกจากกัน คุณยังคง:

  • เชื่อถือแอปพลิเคชัน CrashPlan ที่จะไม่จัดเก็บหรือส่งไฟล์ใบรับรองหรือรหัสผ่านใบรับรองของคุณ
  • Trust Code42 จะไม่พยายามจัดเก็บข้อมูลนี้

ประโยชน์หลักของที่นี่คือ Code42 ไม่สามารถตอบกลับคำขอภายนอกสำหรับใบรับรองของคุณได้อย่างง่ายดายหากคุณใช้ใบรับรอง escrow พวกเขาจะต้องสั่งแอปพลิเคชัน CrashPlan ในพื้นที่ของตนเพื่อดึงรหัสใบรับรองจากคอมพิวเตอร์ของคุณ . สิ่งนี้จะเป็นความเสี่ยงอย่างใหญ่หลวงสำหรับพวกเขาอันเนื่องมาจากผลกระทบทางธุรกิจหากการตัดสินใจเช่นนี้กลายเป็นความรู้สาธารณะ

อีกประเด็นที่เกี่ยวข้องอีกประการหนึ่ง: พวกเขามักจะ จัดเก็บไฟล์ใบรับรองของคุณในรูปแบบที่ไม่เข้ารหัสในคอมพิวเตอร์ของคุณ ดังนั้นหากคุณเป็นเป้าหมายที่มีความเป็นไปได้สูงคน ๆ หนึ่งจะสามารถรับข้อมูลที่เข้ารหัสของคุณจาก CrashPlan แล้วทำการโจมตีคอมพิวเตอร์ของคุณเองเพื่อกู้คืนไฟล์ใบรับรองที่ไม่ได้เข้ารหัส

ดังนั้นคำตอบสำหรับคำถามของคุณจึงเป็น "คุณไว้ใจ Code42 ด้วยการปกป้องข้อมูลของคุณจากภัยคุกคามทั้งภายในและภายนอก?" หากคำตอบคือไม่การเข้ารหัสข้อมูลของคุณโดยใช้ TrueCrypt เป็นชั้นที่สองของการป้องกันเป็นความคิดที่ดี

ป.ล. - สำหรับสิ่งที่คุ้มค่าฉันชอบ CrashPlan เข้ารหัสค่อนข้างมากโดยค่าเริ่มต้นดังนั้นอย่าตีความว่านี่เป็นโพสต์ CrashPlan ที่ยอดเยี่ยม - ฉันแค่ต้องการช่วยให้ผู้ใช้เข้าใจว่าพวกเขาเชื่อถือใคร :-)


2

ทางเลือกที่น่าสนใจอาจใช้EncFSโดยเฉพาะกับ--reverse flag เห็นได้ชัดว่ามีพอร์ตสำหรับ Windows ดังนั้นคุณอาจทำสิ่งเดียวกันได้

   --reverse
       Normally EncFS provides a plaintext view of data on demand.  Normally it stores enciphered
       data and displays plaintext data.  With --reverse it takes as source plaintext data and pro-
       duces enciphered data on-demand.  This can be useful for creating remote encrypted backups,
       where you do not wish to keep the local files unencrypted.

       For example, the following would create an encrypted view in /tmp/crypt-view.

           encfs --reverse /home/me /tmp/crypt-view

       You could then copy the /tmp/crypt-view directory in order to have a copy of the encrypted
       data.  You must also keep a copy of the file /home/me/.encfs5 which contains the filesystem
       information.  Together, the two can be used to reproduce the unencrypted data:

           ENCFS5_CONFIG=/home/me/.encfs5 encfs /tmp/crypt-view /tmp/plain-view

       Now /tmp/plain-view contains the same data as /home/me

       Note that --reverse mode only works with limited configuration options, so many settings may
       be disabled when used.

แก้ไข - ตรวจสอบให้แน่ใจว่าได้บันทึกไฟล์. encfs5 หรือ encfs6.xml ของคุณไฟล์เหล่านั้นจะอยู่ในไดเรกทอรีดั้งเดิมธรรมดาไม่ใช่ไดเรกทอรีสำรองดังนั้นคุณจะต้องแน่ใจว่าคุณคว้าไฟล์เหล่านั้นตามที่คุณไม่สามารถกู้คืนได้ ไฟล์ที่เข้ารหัสโดยไม่มีพวกเขา (มันจะดีถ้าการเข้ารหัสรวมไฟล์เหล่านั้นด้วยไฟล์ที่เข้ารหัสเพื่อที่คุณจะได้สร้างแฟ้มสำรองข้อมูลด้วยตนเอง)


น่าสนใจจริงๆ! คุณรู้หรือไม่ว่าตัวเลขการอ่าน / เขียนตามปกติคืออะไร? การใช้ eCryptFS บน Synology NAS ของฉันลดประสิทธิภาพลงได้มากถึง 50%
Mrchief

ฉันไม่แน่ใจแม้ว่าคุณจะคาดหวังว่าประสิทธิภาพการทำงานจะคล้ายกัน นอกจากนี้ยังจะขึ้นอยู่กับอัลกอริทึมการเข้ารหัสที่คุณใช้และขนาดคีย์ ฉันไปกับตัวเลือกมาตรฐานด้วยของฉัน นอกจากนี้ยังเป็นที่น่าสังเกตว่าถ้าคุณต้องการชื่อไฟล์ข้อความธรรมดาและความสามารถในการขจัดข้อมูลซ้ำซ้อนคุณสามารถทำได้โดยการปรับแต่งตัวเลือกบางอย่างเมื่อคุณสร้างวอลลุ่มเข้ารหัส
jonmatifa

คล้ายกับการไม่เข้ารหัสหรือลดความเร็ว? หากคุณมีตัวเลขใด ๆ มันจะช่วยได้มาก
Mrchief

0

หากคุณไม่เก็บข้อมูลบนพีซีของคุณเกี่ยวกับสิทธิบัตรหลายล้านดอลลาร์เอกสารที่เกี่ยวข้องกับการดำเนินการทางกฎหมาย (เช่นคดีความ) หรือมีข้อมูลลับในการเข้ารหัส crashplanบนพีซีของคุณควรจะเพียงพอ

หากเงินเดิมพันสูงพอที่จะให้แฮกเกอร์สามารถบังคับให้ใช้รหัสผ่านของคุณได้


0

ปัญหาที่ฉันเห็นคือความเร็ว / ประสิทธิภาพเทียบกับความปลอดภัย ด้วยการเข้ารหัสด้วย Truecrypt ก่อนการอัปเดตจะช้าและไม่มีประสิทธิภาพตามที่ได้กล่าวไว้ก่อนหน้านี้ อย่างไรก็ตามโพสต์สโนว์เดนปัญหาอื่น ๆ คือแม้ว่าคุณจะสร้างรหัสที่กำหนดเองของคุณเองจากรหัสผ่านที่ซับซ้อนคุณต้องเชื่อมั่นว่าสิ่งนี้จะไม่ถูกรั่วไหล ไม่ว่าจะโดยบังเอิญหรือเพราะ NSA บังคับให้ บริษัท อเมริกันที่เป็นเจ้าของ Crashplan ใส่กลไกในการทำเช่นนั้น การเข้ารหัสบนโลคัลไคลเอ็นต์เป็นจุดบวก แต่ถ้าคุณ (หรือมากกว่าชุมชนใหญ่) สามารถเห็นรหัสลูกค้าดังนั้นจึงไม่มีวิธีที่จะมั่นใจได้ว่าคีย์ของคุณและด้วยเหตุนี้ข้อมูลของคุณจึงปลอดภัย

แม้ว่ามันจะไม่เป็นไปตามทฤษฎีการสำรองข้อมูล 3-2-1 ที่เข้มงวดฉันจะใช้ HDD ที่เข้ารหัสนอกสถานที่ซึ่งบรรจุด้วย rsnapshot และหมุนเป็นประจำกับสำเนาอื่น ๆ ฉันพิจารณา Crashplan เหนือตัวเลือกคลาวด์อื่น ๆ ทั้งหมด แต่ลักษณะที่พิสูจน์ไม่ได้ของลูกค้าทำให้ฉันออก พวกเขาจะมี API และ EFF หรือแหล่ง FOSS อื่น ๆ ให้ลูกค้าแล้วฉันจะพิจารณาอีกครั้ง

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.