Nextcloud server-side Verschlüsselung

Liebe Leute,

ich baue meine NC neu auf und bin mir nicht ganz sicher, ob ich die serverseitige Verschlüsselung haben will:

  1. es ist mir aus der Doku nicht ganz klar, was bei einer Passwortänderung eines Users passiert
  2. mir ist der Sicherheitsgewinn nicht ganz klar (bei Einbruch in den Server + root-Rechte kann man Dateien entschlüsseln, bei Einbruch ohne Rootrechte vermutlich nicht?)
  3. mit Verschlüsselung soll CollaboraOffice/CODE bzw. libreoffice/online nicht mit verschlüsselten Dateien funktionieren.

kann jemand das eine oder andere bestätigen?
Wie handhabt ihr diese Probleme?

VG und Danke, Tobias

Hallo Tobias,

zu Punkt 1: Die Verschlüsselung wird über einen Passwort-Hash realisiert. Wenn Du Dein Kennwort änderst, musst Du für die Verschlüsselung ebenfalls einen neuen Hash-Wert generieren. In der Praxis heißt das, wenn Du im LDAP das Kennwort änderst, kannst Du Dich an der Nextcloud anmelden, aber Deine Daten erstmal nicht lesen. Du musst über die entsprechende Option erst Passphrasesn-Hash aktualisieren. Dafür musst Du Dein altes Kennwort (also das vor dem Wechsel im LDAP) nochmal eingeben. Danach geht alles wieder.

zu Punkt 2: grundätzlich liegen alle Dateien zunächst unverschlüsselt auf dem Server (durchgereichte Netzlaufwerke ausgenommen). Hier geht nur um die Daten, die tatsächlich direkt im Datenspeicher des Cloudservers liegen, wie bei einer Dropbox. Als root oder Benutzer mit entsprechenden Zugrif kannst Du alle Dateien lesen, die im Datenspeicher liegen. Das ist nicht in allen Fällen erwünscht. Wenn die Daten verschlüsselt sind, kann NUR der Benutzer sie lesen. Angenommen ich würde die Dienste eines Couldserver-Anbieters nutzen um dort sensible Daten zu Backupzwecken zu speichern, dann hätte ich ein gewisses Interesse daran, dass nicht der Admin des Cloudserver-Hosters in meinen Daten rumstöbern kann.

Zu Punkt 3 kann ich nichts sagen, da hab ich noch keine Erfahrungen mit gemacht, kann mir aber vorstellen, dass es genau daran liegt, dass der Collabra-Dienst nicht die Passphrase zur Entschlüsselung kennt, weil es systemtechnisch ein anderer Benutzer ist…

Viele Grüße
Thomas

Hallo Tobias,

wir sind auch gerade dabei eine NC für’s Kollegium aufzusetzen.
Habe sie aber nicht bei uns im Haus sondern bei Hetzner gehostet.
Daher habe ich die Verschlüsselung NICHT aktiviert, denn wenn ich
die Doku zur Verschlüsslung richtig gelesen habe, sind die Daten
für einen Admin (der ja nicht ich bin!) potenziel lesbar und damit
dürften die Kollegen ja eh z.B. keine Noten in der NC ablegen.

Ich versuche eher in Richtung VeraCrypt und
LibreOffice-Dateiverschlüsselung zu schulen.

Viele Grüße,

Felix

Hallo Tobias,

  1. es ist mir aus der Doku nicht ganz klar, was bei einer
    Passwortänderung eines Users passiert

das steht hier:

https://docs.nextcloud.com/server/9/admin_manual/configuration_files/encryption_configuration.html#before-enabling-encryption

…ganz unten →

LDAP and Other External User Back-ends

If you use an external user back-end, such as an LDAP or Samba server,
and you change a user’s password on the back-end, the user will be
prompted to change their Nextcloud login to match on their next
Nextcloud login. The user will need both their old and new passwords to
do this. If you have enabled the Recovery Key then you can change a
user’s password in the Nextcloud Users panel to match their back-end
password, and then, of course, notify the user and give them their new
password.

ich verstehe es so: die Nextcloud merkt, dass das Passwort im Backend
geändert wurde und fordert den Nutzer beim nächsten Login auf auch das
Nextcloud Passwort an zu passen an das neue: man benötigt dann beide
Passwörter: das alte und das neue.
„Passwortvergessen“ ist dann also Essig.

  1. mir ist der Sicherheitsgewinn nicht ganz klar (bei Einbruch in den
    Server + root-Rechte kann man Dateien entschlüsseln, bei Einbruch
    ohne Rootrechte vermutlich nicht?)

die userdateien kannst du trotz rootlogin nicht entschlüsseln: nur denn
du „Enabling Users File Recovery Keys“ einschaltest UND der Nutzer
danach in seinen Einstellungen unter Encryption den Haken bei „Enable
password recovery“ setzt: was im schnitt kaum jemand macht: auch wenn
man sie darauf hinweist, dass sie das tun sollten.

Ich nehme an, dass der Admin den Recoverykey außerhalb des Servers
aufbewahrt: damit reicht dann ein rootlogin trotzdem nicht zum
Enschlüsseln der Userfiles (steht auch auf der oben genannten Seit:
etwas unterhalb der Mitte).

  1. mit Verschlüsselung soll CollaboraOffice/CODE bzw.
    libreoffice/online nicht mit verschlüsselten Dateien funktionieren.

… oha: das hab ich noch nicht gesehen: wo stand das den?

LG

Holger

Hallo @tjordan und @baumhof

Ok, danke, das hab ich also verstanden. Das alte Passwort entschlüsselt und das neue verschlüsselt wieder.

@FelixK : hier widersprecht ihr euch. Du sagst, du hast die Verschlüsselung nicht aktiviert, weil der Admin potenziell die Daten lesen könnte. Holger und Thomas sagen, durch Aktivieren der Verschlüsselung sind die Daten zunächst erstmal nicht vom Admin lesbar, auch nicht potenziell. Erst wenn

dann wäre die Entschlüsselung durch den Admin wieder machbar, weil der dann im Besitz der Recovery Schlüssel ist. Wenn dann der Admin den Recovery Schlüssel nicht auf dem Server liegen hat, ist das ganze für einen unbefugten Zugriff erstmal hinreichend geschützt. (Meiner meinung nach).

Trotzdem lass ich die Verschlüsselung erstmal bleiben. Veracrypt als Lernziel muss ja auch noch eine Chance haben :).

Außerdem @baumhof:

ganz unten:

Issue: Collabora Online doesn’t work with Encryption.
Yes, this is currently unsupported.

Danke für den Input zusammen!