ownCloud versus TeamDrive - ein Security-Vergleich

TeamDrive: Datenhaltung und Verarbeitung

Zum Erzeugen eines Space benötigt der Benutzer ein Space Depot und dessen Passwort. Damit weiß der TeamDrive-Client, mit welchem Server er Kontakt aufnehmen muss, um den Space zu erzeugen. Anschließend fordert die Client-Software den Public Key des TeamDrive-Hosting-Servers an. Die Client-Software sendet die Geräte-ID, die Space-Depot-ID, Benutzername, Benutzer-ID, den Public Key des Benutzers und den Namen des Spaces als verschlüsselte Nachricht an den TeamDrive Server. Die Nachricht wird mit dem Public Key des Servers verschlüsselt übertragen. Die Space Depot ID und das Passwort werden überprüft. Für die verschlüsselte Übertragung der Antwort wird der Public Key des Benutzers verwendet. Der TeamDrive Server erstellt einen neuen Space auf dem vorgegebenen Space-Depot. Ein 128-Bit-"Genehmigungscode" wird zufällig für den neuen Space erzeugt und an den Client zurückgesendet.

Für den Zugriff auf einen Space werden die entsprechende URL, ein Autorisierungscode und ein Space-Datenschlüssel benötigt. In der URL sind die Adresse des Servers, über die das Space Depot mit dem Inhalt des Spaces angesprochen wird, sowie die Space ID enthalten. Veränderungen im Space werden auf das Space-Depot und in den Space hochgeladen beziehungsweise heruntergeladen. Dabei werden http-PUT- und POST- Methoden verwendet. Bevor eine Datei den Client verlässt, wird diese komprimiert und mit dem 256-Bit-AES-Schlüssel verschlüsselt.

Um auf einen Space zuzugreifen, öffnet der TeamDrive Client eine Session mit dem Server. Darin wird zunächst die ID des Space, auf den der Zugriff stattfinden soll, übertragen. Der Server erzeugt nach erfolgreicher Prüfung eine neue Session-ID mit einer 128-Bit-Zufallszahl (RND) und sendet diese an den Client zurück, der hier lokal abgelegt wird. Für das Hochladen und Löschen von Daten verwendet der Client die RND und den Autorisierungscode des Space und verknüpft diese xor inklusive einer MD5 Operation auf dem Ergebnis. Das Ergebnis wird zusammen mit der Session ID und den verschlüsselten Daten an den Server geschickt.

Die Sicherheit eines Space Depot wird dadurch sichergestellt, dass nach jeder Anfrage ein zufälliger RND-Wert zurückgesendet wird, die der Client jedes Mal für einen lokalen Wert neu berechnen muss. Zudem garantiert ein MD5 Hash, dass der Autorisierungscode des Space nicht abgeleitet werden kann, auch dann, wenn der RND und der lokale Wert auf der Client-Seite bekannt sind. Damit wird ferner verhindert, dass ein Angreifer in eine Session eindringen kann, um Daten auf den Server hochzuladen.

Zusammenfassung

Die Datensicherheit in einem TeamDrive Space wird durch die Verschlüsselung der Daten mit einem 256-Bit-AES-Schlüssel sichergestellt. Dabei ist der Schlüssel nur den TeamDrive-Clients bekannt, die Mitglied eines Space sind. Anbieter von Storage-Services auf Basis von TeamDrive oder Systemadministratoren haben keinen Zugriff auf die Daten. Der Austausch der Space-Autorisierungsschlüssel unter TeamDrive Nutzern erfolgt mit einem sicheren Public-/Private-Key Verfahren, das selbst eine 256-Bit-AES Verschlüsselung verwendet. Der Zugriff auf ein Space-Depot beziehungsweise einen Space wird mit einem 128-Bit-Autorisierungscode geschützt. Mit dem Autorisierungscode wird verhindert, dass der Speicherplatz eines Space-Depots beziehungsweise eines Space von unautorisierten Dritten verwendet werden kann.

Neben der verschlüsselten Speicherung der Daten auf den Servern und den Clients werden die Daten auch während der Übertragung immer komplett verschlüsselt, wodurch TeamDrive eine vollständige End-to-End-Verschlüsselung der Daten gewährleistet.

Weiterhin ist zu erwähnen, dass TeamDrive vom "Unabhängigen Landeszentrum für Datenschutz in Schleswig Holstein (ULD)" das Datenschutzgütesiegel erhalten hat. Die Prüfnummer lautet 2-3/2005. Darüber hinaus wurde TeamDrive im Mai 2013 von Gartner zum "Cool Vendor in Privacy" 2013 benannt.