Verschlüsselung entschlüsselt nicht mehr NC25.04

Jens_der_Erste · March 11, 2023, 6:58pm

Ich habe einen Nexcloud 25.04 Server laufen mit Debian 22.04 LTS und natürlich PHP 8.1 mit Maria-DB 10.6…wird einmal wöchentlich upgedatet.

Das System lief perfekt, nun machte ich auch regelmäßig Sicherungen. nun habe ich eine Sicherung mal zurückgespielt (damit man weiß was man im Ernstfall zu machen hat).
Jetzt habe ich ein Problem mit der Verschlüsselung, siehe Protokoll.

{“reqId”:“5ePhVNoNoc1aM9JLVSMW”,“level”:3,“time”:“2023-03-11T19:31:36+01:00”,“remoteAddr”:“37.24.4.2”,“user”:“USER”,“app”:“webdav”,“method”:“GET”,“url”:“/remote.php/webdav/Dokumente/TEST.odt”,“message”:“Verschlüsselung nicht bereit: multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line”,“userAgent”:“Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/110.0”,“version”:“25.0.4.1”,“exception”:{“Exception”:“Sabre\DAV\Exception\ServiceUnavailable”,“Message”:“Verschlüsselung nicht bereit: multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line”,“Code”:0,“Trace”:[{“file”:“/media/usb/nc/20221127/file/apps/dav/lib/Connector/Sabre/File.php”,“line”:492,“function”:“convertToSabreException”,“class”:“OCA\DAV\Connector\Sabre\File”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/CorePlugin.php”,“line”:85,“function”:“get”,“class”:“OCA\DAV\Connector\Sabre\File”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/event/lib/WildcardEmitterTrait.php”,“line”:89,“function”:“httpGet”,“class”:“Sabre\DAV\CorePlugin”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/Server.php”,“line”:472,“function”:“emit”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/Server.php”,“line”:253,“function”:“invokeMethod”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/Server.php”,“line”:321,“function”:“start”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/apps/dav/appinfo/v1/webdav.php”,“line”:85,“function”:“exec”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/remote.php”,“line”:171,“args”:[“/media/usb/nc/20221127/file/apps/dav/appinfo/v1/webdav.php”],“function”:“require_once”}],“File”:“/media/usb/nc/20221127/file/apps/dav/lib/Connector/Sabre/File.php”,“Line”:732,“Previous”:{“Exception”:“OCA\Encryption\Exceptions\MultiKeyDecryptException”,“Message”:“multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line”,“Code”:0,“Trace”:[{“file”:“/media/usb/nc/20221127/file/apps/encryption/lib/KeyManager.php”,“line”:479,“function”:“multiKeyDecrypt”,“class”:“OCA\Encryption\Crypto\Crypt”,“type”:“->”,“args”:[“*** sensitive parameters replaced ***”]},{“file”:“/media/usb/nc/20221127/file/apps/encryption/lib/Crypto/Encryption.php”,“line”:204,“function”:“getFileKey”,“class”:“OCA\Encryption\KeyManager”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/Stream/Encryption.php”,“line”:285,“function”:“begin”,“class”:“OCA\Encryption\Crypto\Encryption”,“type”:“->”},{“function”:“stream_open”,“class”:“OC\Files\Stream\Encryption”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/Stream/Encryption.php”,“line”:213,“function”:“fopen”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/Stream/Encryption.php”,“line”:188,“function”:“wrapSource”,“class”:“OC\Files\Stream\Encryption”,“type”:“::”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/Storage/Wrapper/Encryption.php”,“line”:470,“function”:“wrap”,“class”:“OC\Files\Stream\Encryption”,“type”:“::”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/Storage/Wrapper/Wrapper.php”,“line”:301,“function”:“fopen”,“class”:“OC\Files\Storage\Wrapper\Encryption”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/View.php”,“line”:1179,“function”:“fopen”,“class”:“OC\Files\Storage\Wrapper\Wrapper”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/lib/private/Files/View.php”,“line”:1004,“function”:“basicOperation”,“class”:“OC\Files\View”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/apps/dav/lib/Connector/Sabre/File.php”,“line”:490,“function”:“fopen”,“class”:“OC\Files\View”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/CorePlugin.php”,“line”:85,“function”:“get”,“class”:“OCA\DAV\Connector\Sabre\File”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/event/lib/WildcardEmitterTrait.php”,“line”:89,“function”:“httpGet”,“class”:“Sabre\DAV\CorePlugin”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/Server.php”,“line”:472,“function”:“emit”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/Server.php”,“line”:253,“function”:“invokeMethod”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/3rdparty/sabre/dav/lib/DAV/Server.php”,“line”:321,“function”:“start”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/apps/dav/appinfo/v1/webdav.php”,“line”:85,“function”:“exec”,“class”:“Sabre\DAV\Server”,“type”:“->”},{“file”:“/media/usb/nc/20221127/file/remote.php”,“line”:171,“args”:[“/media/usb/nc/20221127/file/apps/dav/appinfo/v1/webdav.php”],“function”:“require_once”}],“File”:“/media/usb/nc/20221127/file/apps/encryption/lib/Crypto/Crypt.php”,“Line”:713,“Hint”:“multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line”},“message”:“Verschlüsselung nicht bereit: multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line”,“exception”:,“CustomMessage”:“Verschlüsselung nicht bereit: multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line”},“id”:“640cccf5f13aa”}

Was muss ich machen, habe schon versucht mitt occ -decrypt alles zu entschlüsseln, aber die Dateien bleiben verschlüsselt.

bin ratlos

wwe · March 11, 2023, 8:07pm

Hallo @Jens_der_Erste du hast zu wenig zu deinem Backup+Restore geschrieben so dass man nur spekulieren kann was falsch ist.

deutet auf einen Fehler bei der Schlüsselverwaltung… eine Goolge Suche spuckt folgende bugs aus:

github.com/nextcloud/server

[Bug] Nextcloud Encryption breaks with OpenSSL 3.x due to legacy RC4 usage

opened 09:12PM - 17 Apr 22 UTC

closed 08:10PM - 08 Apr 23 UTC

MartB

bug feature: encryption (server-side) 24-feedback 25-feedback

## ℹ️ Should be fixed by https://github.com/nextcloud/server/pull/36173 (NC26) … https://github.com/nextcloud/server/blob/6fa62e9266d4dc57c34d30392bc066b6e1a9eb2d/apps/encryption/lib/Crypto/Crypt.php#L689 Completely breaks the encryption on any system with the default openssl 3.0 config (legacy ciphers are now disabled). **Error example if this inevitably starts happening for fedora 36 et. al** ``` OCA\Encryption\Exceptions\MultiKeyDecryptException: multikeydecrypt with share key failed:error:0308010C:digital envelope routines::unsupported ``` **Workaround (from within the distribution openssl.conf)** ``` # Configure as (add or uncomment as needed) [provider_sect] default = default_sect legacy = legacy_sect [default_sect] activate = 1 [legacy_sect] activate = 1 ```

github.com/NixOS/nixpkgs

Updating OpenSSL breaks Nextcloud server 23/24/25 side encryption due to RC4 deprecation

opened 12:31PM - 25 Oct 22 UTC

closed 08:27PM - 20 Nov 22 UTC

AkechiShiro

0.kind: bug 6.topic: nixos

### Describe the bug Updating openssl breaks Nextcloud server 24/25's (RC4 is… deprecated and removed but used in Nextcloud) server side encryption, PR being developed for a fix upstream : https://github.com/nextcloud/server/pull/25551 Issue mentioning a workaround : https://github.com/nextcloud/server/issues/32003 Workaround mentioned upstream : ``` [provider_sect] default = default_sect legacy = legacy_sect [default_sect] activate = 1 [legacy_sect] activate = 1 ``` I couldn't make this workaround work on NixOS, just yet, I've attempted: ```nix environment.etc = { # Creates /etc/openssl.conf "openssl.conf" = { text = '' [provider_sect] default = default_sect legacy = legacy_sect [default_sect] activate = 1 [legacy_sect] activate = 1 ''; # The UNIX file mode bits mode = "0440"; }; }; ``` ### Steps To Reproduce Steps to reproduce the behavior: 1. Updating openssl breaks Nextcloud 24/25's Server Side Encryption ### Expected behavior Server side encryption should just work. ### Screenshots Errors on the web interface or in the logs contains one or multiples of the following: ``` OCA\Encryption\Exceptions\MultiKeyDecryptException: multikeydecrypt with share key failed:error:0480006C:PEM routines::no start line OCA\Encryption\Exceptions\MultiKeyDecryptException: multikeydecrypt with share key failed:error:0308010C:digital envelope routines::unsupported Sabre\DAV\Exception\ServiceUnavailable: Encryption not ready: multikeydecrypt with share key failed:error:0308010C:digital envelope routines::unsupported ``` ### Additional context Bug due to deprecation of RC4 in OpenSSL by default, not due to Nix/NixOS. ### Notify maintainers  @schneefux @bachp @globin @fpletz ### Metadata Please run `nix-shell -p nix-info --run "nix-info -m"` and paste the result. ```console - system: `"x86_64-linux"` - host os: `Linux 5.15.64, NixOS, 22.11 (Raccoon), 22.11pre420607.969c3ccf30a` - multi-user?: `yes` - sandbox: `yes` - version: `nix-env (Nix) 2.11.0` - channels(root): `"nixos, nixos-old-20.09, nixos-unstable, nixpkgs-unstable"` - channels(user): `""` - nixpkgs: `/nix/var/nix/profiles/per-user/root/channels/nixos` ```

https://issueantenna.com/repo/nextcloud/server/issues/32003

Aufgrund deiner Aussage

vermute ich dass du regelmässig alles/vieles updatest und es könnte sein dass du jetzt vom OpenSSL update getroffen wurdest… du hast auch nicht geschrieben ob du ein Restore vorher schon erfolgreich getestet hast… es kann damit auch sein dass dein Backup/Restore Prozess nicht optimal ist und die Keys jetzt warum auch immer nicht passen…

Jens_der_Erste · March 11, 2023, 8:34pm

ich sichere nach dem Schema,

alles manuell als sudo-s

Sicherung

cd /var/www/nextcloud

sudo -u www-data php occ maintenance:mode --on

tar -cpzf /mnt/Share/Backups/Nextcloud/NextcloudBackup_FileDir_date +"%Y%m%d".tar.gz -C /var/www/nextcloud .

tar -cpzf /mnt/Share/Backups/Nextcloud/NextcloudBackup_DataDir_date +"%Y%m%d".tar.gz -C /var/nextcloud_data .

mysqldump --single-transaction -h localhost -u nextcloud_db_user -p nextcloud_db > /mnt/Share/Backups/Nextcloud/NextcloudBackup_DB_date +"%Y%m%d".sql

cd /var/www/nextcloud
sudo -u www-data php occ maintenance:mode --off

Sicherung zurückspielen
alles manuell als sudo-s

cd /var/www/nextcloud

sudo -u www-data php occ maintenance:mode --on

service nginx stop

rm -r /var/www/nextcloud/

rm -r /var/nextcloud_data/

mkdir -p /var/www/nextcloud/

mkdir -p /var/nextcloud_data/

tar -xpzf /mnt/Share/Backups/Nextcloud/NextcloudBackup_FileDir_20170912.tar.gz -C /var/www/nextcloud/

tar -xpzf /mnt/Share/Backups/Nextcloud/NextcloudBackup_DataDir_20170912.tar.gz -C /var/nextcloud_data/

chown -R www-data:www-data /var/www/nextcloud

chown -R www-data:www-data /var/nextcloud_data

mysql -h localhost -u nextcloud_db_user -p -e “DROP DATABASE nextcloud_db”

mysql -h localhost -u nextcloud_db_user -p -e “CREATE DATABASE nextcloud_db”

mysql -h localhost -u nextcloud_db_user -p nextcloud_db < /mnt/Share/Backups/Nextcloud/NextcloudBackup_DB_20170912.sql

service nginx start

cd /var/www/nextcloud

sudo -u www-data php occ maintenance:mode --off

cd /var/www/nextcloud

sudo -u www-data php occ maintenance:data-fingerprint

zum nachvollziehen

Jens_der_Erste · March 12, 2023, 8:44pm

so habe jetzt die Crypt.php wie folgt abgeändert

[provider_sect]
default = default_sect
legacy = legacy_sect

[default_sect]
activate = 1

[legacy_sect]
activate = 1

wie es in der Anleitung stand. Um dann mit dem Befehlen

cd /var/www/html/nextcloud/
sudo -u www-data php occ encryption:decrypt-all
sudo -u www-data php occ maintenance:mode --on
sudo -u www-data php occ encryption:disable
sudo -u www-data php occ maintenance:mode --off

alles zu entschlüsseln

jetzt erhalte ich diese Fehlermeldungen!!!

Weiß noch jemand einen Tip

wwe · March 12, 2023, 9:21pm

dein SQL server ist überlastet oder crash`d… hat nichts mit dem ersten Fehler zu tun…

eventuell kannst du mit das Problem mit der Suche - lösen oder eingrenzen.

Jens_der_Erste · March 13, 2023, 3:32pm

ok, der Fall ist gelöst. Gott sei Dank.

Danke an Alle

wwe · March 13, 2023, 8:41pm

hallo @Jens_der_Erste gut zu hören dass du den Fehler beheben konntest. Es wäre noch besser die Lösung für die Nachwelt zu dokumentieren

Jens_der_Erste · March 14, 2023, 5:52am

Es war der OpenSSL Bug. Alles nach Anleitung getan, aber erst ein Neustart des ganzen Servers half um die Daten zu entschlüsseln. Habe die Verschlüsselung jetzt komplett deaktiviert da der Server bei mir im Keller steht.