[Discuss] Raspberry Pi - Sinn und Zweck?

Marc Stibane (spam-protected)
Do Nov 14 15:07:33 CET 2013


Am 14.11.2013 um 14:30 schrieb Matthias Šubik <(spam-protected)>:
> On 14.11.2013, at 14:05, Marc Stibane wrote:
>> Am 14.11.2013 um 13:34 schrieb Erich N. Pekarek <(spam-protected)>:


>>> Zurück zum Housing: R PI B mit externen Cloud-Diensten und Verschlüsselung und OwnCloud als Datenspeicher? Ist das ein UseCase?
>> Genau dafür will ich's haben.
>> Noch besser wäre, wenn die Daten direkt am Endgerät verschlüsselt werden, so dass auf dem RaspPi wirklich nix mehr abzuschnorcheln ist.
>> Da man am Endgerät eh passende Software braucht, könnte man dort auch was einsetzen was lokal End-to-end ver- und entschlüsselt.
>> Beispiel iOS: Die Apple iWorks-Suite für iPhone/iPad kann nur mit iCloud automatisch synchronisieren. Wenn man seine Dokumente mit Pages, Numbers oder Keynote auf einem WebDAV-Server (z.B. Owncloud) speichern will, muss man manuell "sichern" bzw. "laden". Das kann man dann auch mit einer Owncloud-App machen (also statt "sichern" eine Kopie des Dokuments an die Owncloud-App übergeben - statt "laden" in die Owncloud-App wechseln und von dort das Dokument an die iWorks-App übergeben). Und dabei könnte die Owncloud-App eben *auf dem Gerät* ver- und entschlüsseln. 
>> Geht natürlich nicht bei CalDAV/CardDAV weil das Protokoll das nicht vorsieht. Nur Transport Layer Security.
> Es ginge mit einer Backendstorage hinter WebDAV/IMAP whatever die verschlüsselt ist, und das Passwort wird an dieses Backend im einfachsten Fall durchgereicht.

Auch da würde ein M.i.t.M. den nur TLS-verschlüsselten Stream aufbrechen können und somit an die unverschlüsselten Daten kommen.


> Das würde ausreichen, dass im Falle eines ungewünschten Zugriffes auf die Storage nicht alles sofort sichtbar wäre. Allerdings bräuchte es ein intelligenteres Storage um z.B. mit anmeldenen Client Zertifikat verschlüsselte Daten zu öffnen, und eine "local root" Sicherheitslücke würde auch das übertragene Passwort früher oder später preisgeben.

Eben. Da der RaspPi ja jederzeit von Edis untersucht werden könnte bzw. die SD-Card kopiert werden könnte... Ich will denen um Gottes willen nichts unterstellen, aber eine richterliche Hausdurchsuchung reicht und der RaspPi bzw. die SD-Card ist weg.

Sicher ist nur was auf dem Endgerät verschlüsselt wird, ohne dass es am RaspPi selber entschlüsselt werden kann.


>> Außerdem könnte eine eigene Owncloud-App auch das Zertifikat *richtig* prüfen - was nutzt mir eine SSL-Verschlüsselung für den Transport wenn ein man-in-the-middle von der NSA mit einem gültigen Zertifikat operiert welches von Verisign o.ä. ausgestellt ist und dem das iPhone nunmal vertraut...
> dafür würde sich certificate-pinning eignen,
> d.h. man gibt den Hash/Seriennummer des zugelassenen Zertifikates einzeln an.

Genau. Und das muss halt direkt die iPhone-App testen, weil iOS selber sowas nicht kann. Keine Ahnung wie das bei Androiden aussieht...



-- 
A: Yes.
> Q: Are you sure?
>> A: Because it reverses the logical flow of conversation.
>>> Q: Why is top posting annoying in email?



-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: <http://lists.funkfeuer.at/pipermail/discuss/attachments/20131114/89ead680/attachment.htm>


Mehr Informationen über die Mailingliste Discuss