Hallo Gast! Bitte registriere dich um Beiträge schreiben zu können und Zugang zu allen Bereichen zu bekommen. Hier registrieren

Auch ohne Registrierung direkt eine Support-Anfrage stellen: Zum Support-Fomular


Sichere Dropbox-Alternative: Wuala
#46
(03.02.2015., 11:29)Sze.Td schrieb: Ebenso hier mein Eindruck zu Tresorit:
Die App ist bisher das beste was ich nach Wuala hatte.
Ja, Tresorit macht einen schönen Eindruck! Läuft rund soweit!

Nur - kann man überprüfen, was die Tresorit-Software tatsächlich treibt? Oder muss man den Machern von Tresorit soweit Vorschussvertrauen entgegenbringen und einfach die Aussage glauben, dass die Client-Software den privaten Schlüssel wirklich nicht raussendet und/oder anderen Unfug treibt? Letztlich also ähnliche Situation wie Threema, nur zusätzlich noch ohne Validierungs-Log-Funktion?

Wie ist das bei Wuala? Ist da die Funktionsweise des Clients offengelegt?
Zitieren
#47
(25.02.2015., 22:36)andyg schrieb: Nur - kann man überprüfen, was die Tresorit-Software tatsächlich treibt? Oder muss man den Machern von Tresorit soweit Vorschussvertrauen entgegenbringen und einfach die Aussage glauben, dass die Client-Software den privaten Schlüssel wirklich nicht raussendet und/oder anderen Unfug treibt? Letztlich also ähnliche Situation wie Threema, nur zusätzlich noch ohne Validierungs-Log-Funktion?

Wie ist das bei Wuala? Ist da die Funktionsweise des Clients offengelegt?

Hallo,

ne, offengelegt ist hier nichts (auch bei Wuala nicht). Wir sind darauf angewiesen irgendwem zu vertrauen. Letzendlich kann man die Verschlüsselung immer nur dann überprüfen, wenn der Quellcode offengelegt worden ist und das geht mit dem "Open-Source" Gedanken einher.

Sprich: damit verdient man einfach kein Geld.

Optional kann der Hersteller ein Audit in Auftrag geben, was aber unsummen Kostet. (Aktuell läuft so ein Audit für die Software TrueCrypt und wurde mit CrowdFunding finanziert)

Das Tresorit-Team macht, denke ich, seine Arbeit ganz ordentlich. Die Tatsache das es hier keinen Web-Zugang zur Cloud gibt ist auch eine Aussage darüber das die es mit dem E2E wirklich Ernst meinen. Hier gilt scheinbar wirklich, von Gerät zu Gerät. In diesem Szenario ist der Server "nichts weiter" als eine Verschlüsselungszentrale.

Ob die Privaten Schlüssel abgezogen werden oder nicht, kann dir vermutlich keiner hier sagen. Aber das ist überall so. Tresorit versucht hier etwas seriöser zu wirken indem sie Hacker aus aller Welt daran teilnehmen lassen ihr Konzept zu brechen. Laut deren Aussagen ist das bisher aber keinem geglückt.
Zitieren
#48
Eben kam eine Mail, dass Tresorit jetzt auch über Web-Browser funktioniert.
Im ersten Test:
Stimmt, Zugang ist da.

Was nicht geht (oder ich nicht verstanden habe):
Upload von Files
Managen von Files generell

Und ich stelle mir die Frage, wie die Sicherheit beim Zugang über das Web gewährleistet wird. Sollte das nicht mit einem persönlichen Schlüssel laufen ? Wenn ich mich am fremden Rechner mit e-mail / Passwort einwählen kann, kann der Key ja nur auf dem Server liegen....... irgendwie blick ich's nicht mehr....
Zitieren
#49
Ich denke der Schlüssel wird mit Hilfe des Passworts entschlüsselt. Nur wer das Passwort hat erhält den korrekten Schlüssel zum ent und verschlüsseln.

Oder?
Zitieren
#50
(27.02.2015., 12:46)Mr. Meyhet schrieb: Stimmt, Zugang ist da.

Was nicht geht (oder ich nicht verstanden habe):
Upload von Files
Managen von Files generell

Und ich stelle mir die Frage, wie die Sicherheit beim Zugang über das Web gewährleistet wird. Sollte das nicht mit einem persönlichen Schlüssel laufen ? Wenn ich mich am fremden Rechner mit e-mail / Passwort einwählen kann, kann der Key ja nur auf dem Server liegen....... irgendwie blick ich's nicht mehr....

Hm, ich habe bisher keinen Web-Zugang. Bzw. wo finde ich den genau? Das Projekt unter welchem der Web-Access geführt worden war hieß "View files on the web". Es ging hier von Anfang an nur um ein "View-Login". Kann natürlich sein das mehr folgen wird, aber da sind die auch schon seit August 2013 dran. Damals hieß es noch:

Your security and privacy is the most important for us. Web access is really convenient but we have to trust a browser's security measures and that would compromise your data. No current service solves this problem, because cryptography implemented in JavaScript has lots of vulnerabilities.  However, easy-to-use interface is one of our top priorities, so we are working on a solution.

Ansonsten habe ich das hier mal im Blog gefunden:

When you log in to Tresorit, your password doesn’t leave your browser. In other words, it’s not sent to our servers. Achieving this is very difficult. Even other ‘zero-knowledge’ providers (i.e. SpiderOak) admit that their browser access is not ‘zero-knowledge’, as they handle your password. Same goes for the big guys, like Dropbox, Google Drive and Box.
What do we do differently?

   1. During a challenge-response protocol we gather proof, that you have the correct password and serve you your encrypted profile stored on our servers. Visit our FAQ for a detailed description of how we handle passwords.

   2. We decrypt your profile on your device with the password you entered. Using that we generate your device certificates – 2048 bit RSA keys. The device certificates are sent for signing (SHA512) to the server.

   3. The connection to the server is secured by TLS. Unlike other Tresorit platforms, you can’t authenticate yourself by using JavaScript when logging in from a browser. Instead, we set up an encrypted and signed channel within the TLS connection and its protocol matches the authentication features of other Tresorit apps’ TLS. This ensures that accessing your account through a browser offers similar security to other Tresorit platforms.

   4. This process establishes your authenticated and secured connection to Tresorit servers. Only you have the secret keys required to decrypt your files stored in the cloud. Neither your encryption key, nor decrypted data is revealed to our servers.
Zitieren
#51
(27.02.2015., 14:53)Sze.Td schrieb: Hm, ich habe bisher keinen Web-Zugang. Bzw. wo finde ich den genau? Das Projekt unter welchem der Web-Access geführt worden war hieß "View files on the web".

Ok, das klingt sinnvoll. Hier ist der Link zum Web-Zugang

https://web.tresorit.com/login
Zitieren


Möglicherweise verwandte Themen...
Thema Verfasser Antworten Ansichten Letzter Beitrag
  Openbook - Facebook-Alternative mit Datenschutz ? Mr. Meyhet 38 3.655 19.05.2019., 14:02
Letzter Beitrag: rugk
  Facebook Alternative? Rubin 5 1.681 04.06.2018., 12:06
Letzter Beitrag: Nedal
  Alternative zu privacygrade.org Paveldor32 1 974 28.10.2017., 16:37
Letzter Beitrag: Simon G.
  sichere App für VoIP PRAM 8 3.930 17.11.2016., 16:15
Letzter Beitrag: Kenny_Butters
  Sichere Mailanbieter m-a-m 0 1.107 06.10.2016., 11:46
Letzter Beitrag: m-a-m