Basisverschlüsselung verstehen


#1

Hallo,

ich würde gerne mal wissen, ob ich das mit der Basisverschlüsselung und den Passwörtern richtig verstanden habe.

Wenn die Basisverschlüsselung aktiviert wurde und ein User sein Passwort vergisst, hat er die Möglichkeit ein neues Passwort über den Link zu setzen. Allerdings entspricht dass User-Passwort dann nicht mehr dem Schlüssel der Verschlüsselung und die Daten bleiben Verschlüsselt. Der User braucht das ursprüngliche Passwort!?

Wenn die Basisverschlüsselung aktiv ist, hat der Administrator keine Möglichkeit das Passwort des Users zu ändern oder einzusehen?

Welche Dateien sind dann eigentlich verschlüsselt? Wenn sich der User ein neues Passwort über den Link vergibt und sich anschließend einloggt werden trotzdem die Dateien angezeigt!?

Vielen Dank für eure Antworten.


#2

Richtig.

Ändern kann er das Passwort für den Login, wodurch man aber keinen Zugriff auf die verschlüsselten Daten hat. Das existierende Passwort wird nur als Hash-Wert gespeichert, damit kann man prüfen ob ein konkretes Passwort richtig ist, aber man kann daraus nicht das Passwort zurückrechnen. Der Admin könnte aber den Code ändern und das Passwort mitloggen oder automatisch unverschlüsselte Kopien der Dateien anlegen.

Die Datenstruktur wird angezeigt, die Dateien können aber nicht angezeigt werden.

Als Admin kann man einen Restore-Key erstellen, damit können User die Option aktivieren, dass der Admin über diesen Restore-Key dein Passwort zur Verschlüsselung ändern kann.

Da es eine Server-seitige Verschlüsselung ist, musst du dem Server und seinem Admin vertrauen können. Gegen einen böswilligen Admin hilft nur Client-seitige Verschlüsselung. Die App von ownCloud ist eher für externen Speicher gedacht, denen man nicht unbedingt vertrauen möchte. Auf dem lokalen Server macht der Einsatz nur wenig Sinn und bringt einige Komplikationen mit sich.


#3

Danke für die Antwort.

Ich teste gerade das Szenario, dass ein User sein Passwort vergessen und geändert hat. Vorher habe ich in den Optionen angeklickt, dass der Admin den Restore-Key erstellen kann.

Wie erstellt man nun diesen Restore-Key?


#4

https://doc.owncloud.org/server/9.1/admin_manual/configuration_files/encryption_configuration.html
Bei "recovery key" steht es, was der Admin dazu tun muss.