Vertrouwelijke bestanden versleuteld bewaren (enkele jaren)

Je zou alles in een Veracrypt volume kunnen zetten.

Ik wil dit dus ook maar ik vind Veracrypt te omslachtig. En bij een sync van een Veracrypt volume gaat waarschijnlijk het hele bestand elke keer naar de cloud provider.

Eigenlijk zou OneDrive gewoon end to end encryption moeten hebben.

TheBorg schreef op donderdag 26 april 2018 @ 10:16:
Ik wil dit dus ook maar ik vind Veracrypt te omslachtig. En bij een sync van een Veracrypt volume gaat waarschijnlijk het hele bestand elke keer naar de cloud provider.

Eigenlijk zou OneDrive gewoon end to end encryption moeten hebben.

En daar zit de crux van het spel ...
Makkelijk, veilig, snel ....
Je kan er 2 kiezen

Maar imho moet je je veiligheid/privacy niet laten afhangen van tijd ...
Dan moet je die container maar elke maand een keer opnieuw verzenden.
Ik gebruik maandelijkse en jaar containers, elke maand een kleine upload, en een keer per jaar de hele buts

Als het een eenmalige sync (dus eigenlijk een kopie) betreft, dan is een Veracrypt container prima. Ga je hem syncen naar andere devices, dan heb je bij elke wijziging een volledige sync. (met alle conflicten die je daar bij kan krijgen).

Sla de sleutel wel weer veilig (ergens anders) op. Desnoods een (digitale) kopie in een fysieke kluis. Zodat je er later altijd bij kunt.

TheBorg schreef op donderdag 26 april 2018 @ 10:16:
Ik wil dit dus ook maar ik vind Veracrypt te omslachtig. En bij een sync van een Veracrypt volume gaat waarschijnlijk het hele bestand elke keer naar de cloud provider.

Eigenlijk zou OneDrive gewoon end to end encryption moeten hebben.

Maar zolang jij niet in control bent over de encryptie-sleutels, zou ik daar mijn vraagtekens bij zetten. Zoals ik hierboven al meldde, het kan wel, zolang je het maar als een kopie ziet (dus een back-up) van het volume ergens off-site. (dus een Cloud / OneDrive / Stack / ...)

FreshMaker schreef op donderdag 26 april 2018 @ 10:22:
[...]


En daar zit de crux van het spel ...
Makkelijk, veilig, snel ....
Je kan er 2 kiezen

Maar imho moet je je veiligheid/privacy niet laten afhangen van tijd ...
Dan moet je die container maar elke maand een keer opnieuw verzenden.
Ik gebruik maandelijkse en jaar containers, elke maand een kleine upload, en een keer per jaar de hele buts

Dus een back-up met meerdere restore-points. Daar is ook weer software voor, bijvoorbeeld Duplicati.

[ Voor 23% gewijzigd door Equator op 26-04-2018 10:34 ]

Equator schreef op donderdag 26 april 2018 @ 10:23:
Als het een eenmalige sync (dus eigenlijk een kopie) betreft, dan is een Veracrypt container prima. Ga je hem syncen naar andere devices, dan heb je bij elke wijziging een volledige sync. (met alle conflicten die je daar bij kan krijgen).

Sla de sleutel wel weer veilig (ergens anders) op. Desnoods een (digitale) kopie in een fysieke kluis. Zodat je er later altijd bij kunt.


[...]

Maar zolang jij niet in control bent over de encryptie-sleutels, zou ik daar mijn vraagtekens bij zetten. Zoals ik hierboven al meldde, het kan wel, zolang je het maar als een kopie ziet (dus een back-up) van het volume ergens off-site. (dus een Cloud / OneDrive / Stack / ...)


[...]

Dus een back-up met meerdere restore-points. Daar is ook weer software voor, bijvoorbeeld Duplicatie.

Wat zelfs kan voor een backup is bij de cloud storage dienst een .zip neerzetten met een moeilijk wachtwoord er op. Dit is ook gemakkelijk te automatiseren. Voor @tobasfxp kan dat al een oplossing zijn.

TheBorg schreef op donderdag 26 april 2018 @ 10:38:
[...]

Wat zelfs kan voor een backup is bij de cloud storage dienst een .zip neerzetten met een moeilijk wachtwoord er op. Dit is ook gemakkelijk te automatiseren. Voor @tobasfxp kan dat al een oplossing zijn.

Klopt. Afhankelijk van de aard van de informatie is een versleuteld zip volume waarschijnlijk meer dan voldoende.

En dat geldt waarschijnlijk voor 99,9% van de gevallen.

Equator schreef op donderdag 26 april 2018 @ 10:42:
[...]

Klopt. Afhankelijk van de aard van de informatie is een versleuteld zip volume waarschijnlijk meer dan voldoende.

En dat geldt waarschijnlijk voor 99,9% van de gevallen.

Een zip met een wachtwoord is niet hetzelfde als een bestand echt versleutelen.
Want je kunt de zip altijd openen, maar bij het uitpakken vraagt deze pas om een wachtwoord.
Je kunt niet de inhoud van de bestanden zien, maar wel welke documenten er in de zip zitten.

Er zijn ook encryptiesystemen die per file encrypten (met als nadeel dat iedereen wel kan zien welke files er zijn, maar niet bij de inhoud kan).
Zie bijvoorbeeld: https://www.cryfs.org/comparison
Wel meestal alleen Linux support.

[ Voor 8% gewijzigd door Vaudtje op 26-04-2018 11:01 ]

tobasfxp schreef op donderdag 26 april 2018 @ 10:54:
[...]


Bedankt voor deze info !
De gegevens zijn erg gevoelig, dus ik zal Veracrypt bekijken icm een cloud provider (denk toch Mega).
Het syncen zal 1 a 2 keer per week zijn, dus de uploadtijd is ook geen probleem

Je kan ook kijken dan naar Dupicati zelf. Dat is een back-up product die zijn data versleuteld in grote block-files wegzet op bijvoorbeeld OneDrive of Stack. Deze block-files bevatten geen namen of fragmenten van namen van de originele bestanden.

Dan heb je een back-up met een sterke versleuteling.

deze back-up kan je dagelijks, wekelijks of wat jij wilt configureren.

Je hebt eigenlijk twee opties, een pakket dat een versleutelde container biedt, en daar al je bestanden bij elkaar in opslaan. Of per bestand versleutelen (wat in theorie dan gewoon een container per bestand is) bijvoorbeeld als 7z bestand met een wachtwoord.

Het eerste geeft je 1 groot bestand dat je elke keer weer opnieuw zal moeten sync'en (afhankelijk hoe de sync plaatsvind kunnen ongewijzigde blokken geskipt worden). Het tweede geeft je een berg kleine bestanden die éénmalig gesynct moeten worden (ze zullen daarna niet meer veranderen neem ik aan) en waarbij je dan alleen elke keer de nieuwe bestanden synct.

Nadeel van 1 grote container is corruptie, waarbij je dan risico hebt dat de hele container onbruikbaar wordt.
Nadeel van losse bestanden is de info die je per bestand prijsgeeft (je zal ze namelijk voor jezelf op een traceerbare manier een naam moeten geven, zodat je het juiste bestand terug kan vinden op een makkelijke manier).

Op een usb stick zetten en die in een kluis in je huis leggen.

Misschien is het gebruik van self-hosted storage een optie om te overwegen?

Bijv: www.nextcloud.com

thijsjow schreef op zaterdag 28 april 2018 @ 22:24:
Op een usb stick zetten en die in een kluis in je huis leggen.

Dat is eigenlijk nog slechter advies dan zeggen "brand het op een CD en leg het in een kluis" als je weet wat de houdbaarheid is van deze producten.

SSD's en Flash kunnen namelijk al data verliezen in 7 dagen zonder stroom.
De JEDEC JESD218A endurance specification zegt dat bij 25C de retentie 101 weken is

[ Voor 9% gewijzigd door DJMaze op 04-05-2018 00:59 ]

TheBorg schreef op donderdag 26 april 2018 @ 10:16:
[...]

Eigenlijk zou OneDrive gewoon end to end encryption moeten hebben.

Die end-to-end encryption is er al, op basis van SSL. Je wilt juist dat de encryptie volledig lokaal gebeurt en niet dat het op de server weer ontsleuteld kan worden.

Volgens mij kan Cryptomator dat voor je regelen. Deze viel me laatst op omdat het open source is (github).

@Room42 Dat lijkt inderdaad een makkelijke en goede optie voor de topicstarter. Ik ga er eens wat mee spelen.

FreshMaker schreef op donderdag 26 april 2018 @ 10:22:
[...]


En daar zit de crux van het spel ...
Makkelijk, veilig, snel ....
Je kan er 2 kiezen

Maar imho moet je je veiligheid/privacy niet laten afhangen van tijd ...
Dan moet je die container maar elke maand een keer opnieuw verzenden.
Ik gebruik maandelijkse en jaar containers, elke maand een kleine upload, en een keer per jaar de hele buts

Ik kies veilig en snel, makkelijk maak ik het zelf wel. Welke software kan je me aanraden?

M.l. schreef op vrijdag 4 mei 2018 @ 08:54:
Ik kies veilig en snel, makkelijk maak ik het zelf wel. Welke software kan je me aanraden?

Ik raad aan de rest van de discussie niet te negeren en op z'n minst feedback te geven op de diverse gegeven tips

Elke file apart encrypten met PGP kan ook. Als het long term storage is zou ik ook wat foutherstel informatie genereren (en deze mee encrypteren).

WeHoDo schreef op donderdag 26 april 2018 @ 10:53:
[...]
Je kunt niet de inhoud van de bestanden zien, maar wel welke documenten er in de zip zitten.

7-zip gebruiken en als .7z bestand opslaan.7-zip kent de optie "Encrypt file names", dan zie je pas de bestandsnamen na het invoeren van de key.

https://www.boxcryptor.com/en/for-individuals/

Boxcryptor maakt een drive op je eigen systeem en alle bestanden in die drive worden eerst van encryptie voorzien en dan pas in de cloud folder geplaatst van OneDrive of Dropbox. Dus in feite een geautomatiseerde encryptie laag tussen cloud opslag en je eigen systeem.

Combineer dit met een full disk encryption op je eigen PC en je data is altijd encrypted zonder dat een andere partij de sleutel heeft.

Gewoon in een Bitlocker container gooien en dat ergens hosted opslaan. Dan weet je in ieder geval zeker dat je het over 10 jaar kunt openen als je geen bitrot hebt. Andere utilities willen nog weleens ophouden met bestaan.

[ Voor 22% gewijzigd door Trommelrem op 04-05-2018 12:44 ]

Of alle files in een zip en ecrypten met pgp.

Voor de backup in de cloud zou ik: https://www.arqbackup.com/ gebruken

update:

You can back up to your own Amazon Cloud Drive, Amazon Web Services, Google Cloud Storage, Google Drive, Dropbox, or OneDrive accounts, or your SFTP server or NAS. Use that extra space in your existing cloud account to store your encrypted backups.

[ Voor 66% gewijzigd door aalekss op 04-05-2018 13:40 ]

Backup met Backblaze of Backblaze B2 doen, kan je een eigen RSA key opgeven. Lokaal opslaan kan encrypted als je een redelijk moderne NAS hebt.

redfox314 schreef op vrijdag 4 mei 2018 @ 11:17:
Elke file apart encrypten met PGP kan ook. Als het long term storage is zou ik ook wat foutherstel informatie genereren (en deze mee encrypteren).

Waarom zou je niet eerst alles encrypteren tot een container en daar foutherstel informatie aan toevoegen? Maakt niet uit dat die niet geëncrypteerd is, want het is informatie om de geëncrypteerde container te herstellen.

Als je het omgekeerd doet (eerst foutherstel informatie toevoegen en dan encrypteren), loop je (tenzij je heel precies weet hoe de gebruikte encryptie werkt) het risico dat je in geval van datacorruptie niet eens meer aan je foutcorrectie geraakt.

Nog een paar bedenkingen:

• Ik heb geen idee over wat voor en hoeveel data het gaat, maar mogelijk kan een analoge versie (afdruk) in een bankkluis ook een oplossing zijn (eventueel voor een deel van de gegevens).
• Als je spreekt over belangrijke data die je lange tijd wil bewaren, is die mogelijk ook van belang voor je nabestaanden mocht jij in die periode overlijden. Zorg dat ze weten waar ze die kunnen vinden en hoe ze die kunnen lezen (eventueel met schriftelijke instructies in een bankkluis op jouw naam die na een eventueel overlijden door de bank opengemaakt wordt).
• En last but not least, controleer regelmatig hoe het met de gebruikte software zit. Over 10 jaar kunnen dingen die nu heel simpel lijken ineens veel IT expertise vragen (legacy code zelf builden, als de source code al beschikbaar is). Meestal heb je echter ruim tijd om data naar een nieuw formaat te converteren.

Als je de boel zo vaak moet updaten zou ik inderdaad een backup-dienst gebruiken die kan encrypten (Duplicati naar lokale NAS en naar een cloud-dienst bijvoorbeeld inderdaad), dan ben je er in één keer van af.

Die backup-software weet wat er veranderd, slaat het slim op, transporteert niet het hele bestand iedere keer opnieuw naar de cloud, houdt een versiegeschiedenis bij zodat je terug kunt naar eerdere versies, en mocht de backupsoftware er mee stoppen dan heb je het origineel nog.

Tenzij je het ook versleuteld op je eigen computer wil hebben staan, maar dan zou ik gewoon een drive of partitie met Bitlocker of iets soortgelijks beveiligen en de boel alsnog backuppen.

Kijk anders eens naar https://spideroak.com/one/. Net zoals Dropbox, maar dan met encryptie, zowel tijdens verzenden als beveiligd opgeslagen op hun servers.

Bij Amazon Web Services kan je makkelijk je data 'at-rest' en 'in-transit' versleutelen. Daar krijg je dan ook nog eens de mogelijkheid aan automatische lifecycle management te doen, van de KMS service gebruik maken en Amazon voorziet de mogelijkheid de encryptiesleutels van de gebruiker in te voeren.

Meteen is je data 10x redundanter dan een single-drive thuisopslagoplossing, backups zijn geregeld, audit trails dmv logging. En zo'n beetje globaal bereikbaar.

Google Cloud biedt gelijkaardige services, en hoewel niet bekend met Azure, ben ik zeker dat ook zij niet achterlopen.

https://docs.aws.amazon.com/AmazonS3/latest/dev/Welcome.html
https://docs.aws.amazon.c.../dev/UsingEncryption.html
https://docs.aws.amazon.c...eloperguide/overview.html
https://aws.amazon.com/bl...s-key-management-service/

WeHoDo schreef op donderdag 26 april 2018 @ 10:53:
[...]


Een zip met een wachtwoord is niet hetzelfde als een bestand echt versleutelen.
Want je kunt de zip altijd openen, maar bij het uitpakken vraagt deze pas om een wachtwoord.
Je kunt niet de inhoud van de bestanden zien, maar wel welke documenten er in de zip zitten.

Er is een optie om ook de bestandsnamen versleutelen in RAR.
Dan kunnen ze die ook niet inzien.

Dit is nergens voor nodig.

[ Voor 84% gewijzigd door Jazzy op 06-03-2019 09:59 ]