Tresorit – Review

Update: 22.06.2016 – Neuer Erkenntnisse hinzugefügt
Update: 24.06.2016 – Neuer Erkenntnisse hinzugefügt
Update: 05.07.2016 – Android App – Batterienverbrauch


Tresorit Startscreen

:de: Ich muss sagen, dass Tresorit der erste Cloud Storage Anbieter ist, der so ausführlich und transparant mit seinen Technologien umgeht. Auch wenn Tresoit einiges an Geld abruft, bin ich mir sicher, dass es das Geld wert ist! Mir fehlen noch ein paar Features für eine 100%tige Empfehlung, wobei ich Sicherheitstechnisch wirklich begeistert bin. Update: Ich bin doch skeptisch wie es mit der Weiterentwicklung aussieht. Es hackt doch hier und da und einige wirklich sinnvolle Feature fehlen. Die Android App ist leider unbrauchbar durch den sehr großer Stromverbrauch im Hintergrund.

:uk: I have to say that Tresorit of the first cloud storage which provides such detailed and transparent information about its technologies. Even if Tresoit wants a lot of money for its service, I’m sure that it’s worth the money! I miss some features for a 100% recommendation. But I’m very enthusiastic about the safety aspects.
Update: I’m skeptical regarding the further development. The user experience is not smooth, and essential features are missing. The Android app is useless due to the massive power consumption in idle mode.


Der schnellste Weg Tresorit kostenlos zu testen ist die App zu installieren, siehehttps://play.google.com/store/apps/details?id=com.tresorit.mobile&hl=en


Einleitung

Auf der Suche nach eine Alternative zu meinem Bittorent Sync mit BoxCryptor Aufbau, habe ich ein wenig recherchiert und bin auf Tresorit von der Tresorit AG aus der Schweiz bzw. Ungarn gestoßen.

Die Internetseite https://tresorit.com/de machte einen tollen Eindruck und ich entschloss Tresorit mal auszuprobieren.

Kosten

Der Preis ist ziemlich happig, aber für ein gutes Produkt bin ich gerne bereit auch zu zahlen.

Name Kosten Größe Link
SMALL BUSINESS (min. 2 Nutzer) 20€ / Nutzer / Monat 1 TB https://tresorit.com/de/preise
SOLO 25€ / Monat 1 TB https://tresorit.com/de/preise/solo
Premium 10€ / Monat 100 GB https://tresorit.com/de/premium
Kostenlos 3 GB https://tresorit.com/pricing/basic

Vergleich der Tarife, Screenshot von https://tresorit.com/pricing/basic

Tresorit Tarife

Der Unterscheid zwischen SOLO und SMALL BUSINESS muss mir mal jemand erklären.

Update: SMALL BUSINESS gibt es erst ab zwei Konten, wohingegen SOLO, wie der Name schon sagt, ein einzelnes Konto ist.

Installation

Klassicher Installer …

Tresorit Installation

… nach wenigen Sekunden ist Tresorit installiert.

Tresorit Installation

Sowas kann ich ja garnicht leiden, ich weiß schon wann ein Passwort sicher ist :angry:.
Nun habe ich eines mit weit aus weniger Entropy eingegeben und es wird als ‘ausgezeichnet’ bewertet :neutral_face:.

Tresorit Sicheres Passwort

Na was solls, weiter gehts …

Jetzt muss ich nur noch die Email-Adresse bestätigen. Nun kommt noch eine kleine Feature-Slideshowund schon kann ich los legen.

Einstellungen

Als erster check ich mal die Einstellungen und WTF, was sehe ich da:

Tresorit Privacy

Das ist doch nicht deren ernst! :rage: Natürlich weiß ich wie wichtig Telemetriedaten für Entwickler sind, aber man kann bei so einer sicherheitskritische Anwendung nicht einfach diese aktivieren. Auf der Webseite gibt Statements wie “… jeder ein Recht auf Datenschutz hat …”, ist dies nur ein PR Spruch? In der Android App ist dies auch aktiviert!

Hier die Frage, was bedeutet „Protokolle senden“? Sendet die Software die Logs aus dem Anwendungsordner, also Dateien welche auch Dateinamen des Benutzers beinhalten?

Machen wir mal weiter, darüber kann ich noch drüber hinweg sehen.

Erster Tresor

Da ich auch Sicherheit bei Data-at-Rest haben möchte, erstelle ich erstmal einen VHDX Container und verschlüsselt diesen mit BitLocker.

VHDX Container

BitLocker erstellen

BitLocker

Diesen auf einen Buchstaben gemountet und schon kann ich den ersten Tresor erstellen .. dachte ich. Leider kommt das Programm nicht damit klar, wenn man auf den Root-Folder eines verschlüsselten vhdx Containers erstellt.

BitLocker

BitLocker

Mit Subfoldern gibt es aber keine Probleme.

BitLocker

Und nun existiert mein erster Tresor :thumbsup:

BitLocker

Und was Tresorit gut gelöst hat, es hat keine Probleme wenn der Speicherort nicht vorhanden ist. Also wenn die verschlüsselte VHDX nicht gemountet ist.

Hier erscheint nur ein rotes Ausrufezeichen, welches verschwindet sobald man die VHDX gemountet hat :thumbsup:.

BitLocker

Technik

Daten hochladen

Verschlüsselung

Statement von Tresorit:

End-to-End-Verschlüsselung Kein Tresoritadministrator, kein hacker und keine Regierung haben Zugriff auf Ihre Daten. Selbst das Hacken einer einzigen Datei dauert so lang, dass ein Leben nicht ausreicht, um sie zu entschlüsseln.

Daten teilen

Teilen

Statement von Tresorit:

Encrypted link Tresorit’s encrypted link feature is a web based, encrypted file sharing solution. Files sent via encrypted link have the very same end-to-end encryption and integrity protection as files synchronized with the Tresorit client. Recipients don’t need to have the Tresorit app installed on their device. Decryption happens in the browser.

Azure

Tresorit nutzt Azure, damit ist mir nicht ganz klar ob amerikanische Institutionen Zugriff zu den Daten haben.

Tresorit nutzt Azure

Name Record
account.tresorit.com prodaccountsite.azurewebsites.net
accountapi.tresorit.com prodaccountapiserver.cloudapp.net
storage2.tresorit.com prodstorage2server.cloudapp.net
subscribeapi.tresorit.com prodsubscribeapiserver.cloudapp.net
login.tresorit.com prodloginserver.cloudapp.net

Azure hat in der EU zwei Rechenzentren, North Europe (Ireland) und West Europe (Netherlands), auf einer dieser wird dann wohl tresorit liegen. Bald kommt auch Germany Central (Frankfurt) und Germany Northeast (Magdeburg) hinzu, hier wird die Telekom als Datentreuhändler agieren. Dies wäre auch für tresorit interessant.

Tresorit Schweizer Datenschutz

Stimmt dieses Statement, wenn die Daten bei einem US Anbieter liegen? Auch wenn dies auf EU Land ist.
Wenn Azure einen National Security Letter empfängt, ist meiner Meinung nach Schluss mit dem sehr viel höheren Schutz.

Update: Tresorit geht sehr transparent mit der Verwendung von Drittanbietern um, auch Azure wird erwähnt :thumbsup:. Siehe dazu https://support.tresorit.com/hc/en-us/articles/216114397-Third-party-services.

WebDAV

Intern verwendet Tresorit die Technologie WebDAV, dabei erstellt ein integrierter HTTP-Server WebDAV Freigaben, mit z.B. dieser Url: https://drive.tresorit.com:7235/Tresors_Nj098wSP/, wobei drive.tresorit.com auf den lokalen loopback zeigt.

Hier kann ich ein eigenes Zertifikat unterjubeln und den Traffic mitschneiden, dies hätte ich nicht gedacht :confused:.

Tresorit WebDAV eigenes Zertifikat

Credentials im Code

Werden im Code als SecureString behandelt und später mit PBKDFV2-HMAC-SHA-1 und 10k Interationen gehasht.

Vorschläge für neue Features

  • Inbox (Dritter erhält einen Link und kann damit Daten für den Tresorit-User hochladen)
  • Sicherheit für Data-at-Rest, gewährleiste ich momentan mit vhdx und bitlocker
  • Würde gerne ein ‘virtuelles’ Konto auf dem Android verwenden, so dass ich mit diesem Tresore mit anderen Rechten (read-only) sharen kann. Aber ich kann nur ein kostenloses verwenden, mit den damit kommenden Einschränkungen.
  • Jedes verbunde Geräte bei einem User sollte einen eigenen privaten Schlüssel generieren und ein ‘Master’ vervaltet die Sichtbarkeit seiner verbundenden Geräte und kann diese revoken. D.h. ich verliere mein Handy und kann dann von meinem Master (Rechner zu Hause) diesen Key revoken.
  • Transparency Report ggf. mit Warrant Canaries
  • Eine Datei-Ignorier-Liste wie z.B. .gitignore, so dass ich Dateien in eine Ausschlussliste setzen kann (kann hier mit Selective Sync bewerkstelligt werden)
  • Export Funktion des Privaten Schlüssels
  • Verwendungen von Hardware-Token ermöglichen (z.B. YubiKey 4 Nano)
    • Für Login also OTP
    • Für Verschlüsselung, also RSA on the Chip
  • Hinterlegen eigener “Azure Storage Connection Strings”, um selber die Daten in der Hand zu haben.
  • Optionales Hosting bei Azure Deutschland wo die Telekom Datentreuhändler ist

Was mir nicht gefällt

  • Android App: Fehlende Suchfunktion (fehlt wirklich! und feature request ist schon ein par Jahre alt)
  • Desktop und Android App: Dank Standard-Einstellung ist das Datensammeln aktiviert Tresorit Privacy
  • Outlook Plugin: Leider funktioniert das automatisch hochladen nicht, habe das Limit auf 1 MB gesetzt und 2 MB angehangen, die Datei wurde ohne Hinweis versendet. Auch wenn der Anhang größer ist als der Exchange-Server erlaubt, kann ich es noch nichtmal hinzufügen. (Ich dachte dies würde automatisch passiert, quasi beim Versand. Man muss jedoch den Button “Upload and attach” klicken.)
  • Android App: In-Place ändern habe ich mit Word-Dateien ausprobiert, funktioniert leider nicht. Update: Funktioniert wenn man die Datei vorher als offline markiert. Manchmal fängt aber diese Item an zu flackern.
  • Android App: Die Performance ist leider was schwach, beim öffnen größerer Tresore braucht die App mal 10s.
  • Log-Dateien beinhalten massig Dateinamen, kann man leider nicht deaktivieren.
  • Wenn ich viele Dateien (mehr als 10.000) hochlade kommen sehr sporadisch Notifications, eine ‘große’ Fortschrittsanzeige mit ETA, Transferrate, etc. fehlt leider.
  • Android App: Einer Rasteransicht für Ordner mit Bildern fehlt leider.
  • Bei der Two-Step Verification hätte ich time-based one-time codes erwartet (z.B. Google Authenticator), nicht Emails oder SMS. (Feature Request ist 3 Jahre alt und hat den Status planned)
  • Das Ändern eines Ordnernamens hat bei mir zu einem erneuten Hochladen aller Dateien geführt. Dies ist leider was schwach. (Feature Request ist 2 Jahre alt)

Bugs

  • Rootfolder bei verschlüsselten VHDX geht nicht, aber Unterordner machen keine Probleme.
  • Android App: Benutzerführung um Dateien hochzuladen ist verwirrend und es werden falsches labels verwendet.
  • Keine Überprüfung des Zertifikats bei WebDAV

Feature-Requests

Ich habe einige Feature Request auf der tresorit community hinzugefügt, bis heute wurde keines veröffentlicht. https://support.tresorit.com/hc/en-us/community/topics/200499927-Community-Feature-request

Sourcecode

Als Entwickler interessiert mich sehr, wieso das hier gemacht wird:

SecureString[] possibleOldHardwareSecrets = new SecureString[1];
string orSomethingLikeIt = ContextEnvironment.GetHardwareUniqueIdentifierOrSomethingLikeIt((Action<string>) (x => App.logExc((object) x)));
if (string.IsNullOrEmpty(orSomethingLikeIt))
  App.logExc((object) ("[HWS] Generated secret is empty or null!  " + (object) WinguiErrorCodes.LoginError + " " + (object) LogSeverity.Critical));
possibleOldHardwareSecrets[0] = orSomethingLikeIt.ToSecureString();

PR

No Tresorit admin, hacker or government can access the data you store. Hacking just one file would take a lifetime.

Niemand auf der Welt mit klaren Verstand würde anfangen den AES Algorithmus zu ‘brechen’. Mehr dazu hier https://www.schneier.com/blog/archives/2009/09/the_doghouse_cr.html.

Über 1000 Hacker scheiterten an Tresorit

Es gab im Jahre 2013 und 2014 eine Veranstaltung wo man den ‘Hackern’ u.a. Adminrechte gab um zu beweisen das kein Zugriff auf Benutzerdaten möglich ist. Dieses Jahr (2016) soll die nächste Hacker Challenge starten. :thumbsup:

Fazit

Ich muss sagen, dass Tresorit der erste Cloud Storage Anbieter ist, der so ausführlich und transparant mit seinen Technologien umgeht. Auch wenn Tresoit einiges an Geld abruft, bin ich mir sicher, dass es das Geld wert ist! Mir fehlen noch ein paar Features für eine 100%tige Empfehlung, wobei ich Sicherheitstechnisch wirklich begeistert bin.

Den Release-Notes gabe es die letzte Änderung für Windows am 12.05.2016 (2.1.795.457), aber für Android ist es schon lange her 22.12.2015 (2.0.348.397). Wird hier noch aktiv weiterentwickelt?

Update: Es wird weiter entwickelt, nur neuste Version im App-Store ist vom 24.04.2016 (2.1.395.446). Man hat wohl keine Lust mehr die Release-Notes zu pflegen.

Nachtrag 05.07.2016

An einem Tag, wo das Smartphone nur in der Ecke rumlag, war auf einmal der Akku leer. Dachte mir nichts dabei, aber am nächsten Tag wieder das gleiche Phänomen.

Ohne jegliche Interaktion mit der Tresorit App, hat dieses meinem Akku leer gesaugt. Ich habe den Foto-Upload deaktiviert, dies hat leider zu keiner Verbesserung geführt.

Tresorit Android App Battery Consumption

Somit blieb mir leider nichts anderes übrig, als die App zu deinstallieren :unamused:.

Ich habe meine Trial gekündigt und nutzte nun die kostenloses Variante mit nur 3 GB. Sobald die App nutzbar ist, werde ich freuen hier ein Paket zu buchen.

ich hoffe nur, dass tresorit nicht die privaten User aus dem Scope verliert. Denn 25 Euro im Monat sind mir zuviel, dann lieber nur 100GB.

Auch wenn der Preis vollkommen gerechtfetig ist. 1 TB kostet bei Azure 8.65 Euro im Monat, zuzüglich 1 TB Down- und Upload sind wir schon bei 19.43 Euro im Monat und das nur für den Blob-Speicher und ohne Berücksichtung von der zu speichernden unbegrenzten Dateihistory und den andere beötigten Diensten.