Всякий раз, когда я читаю об очередном олухе, хранящем в этих самых дропбоксах с гуглодрайвами важные документы, я поражаюсь, насколько народ у нас беспечный. Ломанут аккаунт, сопрут, и используют в своих неблаговидных целях. И говорите потом, что честному человеку скрывать нечего! Поэтому, стойкое и простое в использовании шифрование для облаков просто необходимо.
Самый лучший способ скрыть от шибко любопытных глаз важную информацию - EncFS, криптографическая файловая система, использующая алгоритмы AES и Blowfish. Этого вполне достаточно не только от ворья, но и от слишком любопытных людей в погонах (при условии, что они к вам не наведаются лично).
Преимущества здесь очевидны:
Итак, для начала нам надо установить в систему Visual C++ 2013. посмотрите в списке установленных программ: если у вас этот пакет уже установлен, переходим к следующему пункту. Если нет, делаем так:
Устанавливаем в обычном порядке. Единственное, когда вам предложат установить Visual C++ 2013, отказываемся. У нас эта библиотека уже установлена. В противном случае, нас выкинет в браузер, на страницу загрузки этой самой библиотеки.
Ну вот, зависимости мы удовлетворили. Прямо не Windows, а Slackware получается:) Всё вручную разрулили. А теперь можно и саму софтину поставить.
Распаковываем архив в любую папку по вашему выбору. И берём бубен и камлаем меняем права исполняемых файлов. В свойствах файлов encfs.exe и encfsw.exe выбираем вкладку «Совместимость», и, для юзеров восьмёрок-десяток включаем режим совместимости с Windows 7, и для всех - режим работы от администратора. Всё, запускаем encfsw.exe ! Не перепутайте!
Если всё нормально, в трее должен появиться вот такой вот ключ. Если нет, смотрите, где вы налажали.
Итак, установка прошла успешно. Теперь, как всем этим чудом инженерной мысли пользоваться. Не бойтесь, это намного проще, чем ставить. Кто хоть раз в жизни юзал Daemon Tools или Alcohol 120%, тот сразу во всём разберётся. Для начала посмотрим, что у нас в настройках. Жмём на значок ключа, и жмём на «Preferences».
Настройки совершенно немудрящие. Верхняя галочка - добавить в автозагрузку, нижняя - автоматически открывать смонтированные папки.
А теперь смонтируем шифрованную папку внутри вашего Дропбокса. Вообще, программа отлично работает с любыми облаками, лишь бы они у вас отображались в проводнике, как папки. Мною испытаны были Google Drive, Яндекс Диск и Облако Mail.ru. Разумеется, со всякими Owncloud и Webdav будет работать, как швейцарские часы.
Итак, предварительно создаём в нашем Дропбоксе папку Private. Можно и не создавать, а просто зашифровать всю папку.
Внимание! Программа абсолютно не воспринимает русские буквы в пути к нужной папке! Поэтому, или переименуйте все папки на пути к искомой, или переместите её в другое место. По умолчанию папки облаков создаются в профиле юзера, а путь к нему часто содержит кириллицу. Втык автору за русофобию был послан:)
Теперь жмём на значок с ключом, и выбираем самый верхний пункт - «Open/Create». В появившемся окошке выбираем нужную папку. Кстати, там же можно и создать её, если забыли.
Выбираем пароль и точку монтирования (букву диска).
Теперь монтируем свежесозданную папку. Просто вводим пароль.
В результате, получаем в системе новый виртуальный диск с именем DOKAN, на который и заливаем ваш архив домашнего порно всё, что хотите скрыть от посторонних глаз.
Вот, как это будет выглядеть, если зайти не на примонтированный диск, а непосредственно в папку. Даже имена файлов превращаются в крокозябры.
И вот, что увидит злоумышленник, если таки залезет в ваше облако. Нагадить, конечно, сможет, но понять, что там лежит - чёрта с два!
В дальнейшем шифропапку можно будет элементарно подмонтировать в систему через тот же значок в трее (там появится список), и работать с ней, как с обыкновенной флешкой.
В последнее время пользователи становятся всё мобильнее, услуги фрилансеров – востребованней, а компании переходят на удаленные рабочие места. В этих условиях становится как никогда важной доступность данных когда угодно, где угодно и с любого устройства (как стационарного, так и мобильного). Вместе с тем растет спрос на облачные сервисы хранения данных, как со стороны отдельных пользователей, так и компаний.
Использование облачных хранилищ позволяет публиковать свои файлы, редактировать их и делиться ими с друзьями и коллегами. С помощью сервисов облачных хранилищ можно не только хранить сами файлы, но и историю их изменений, а также синхронизировать данные на своих устройствах.
На фоне растущего интереса к облачным хранилищам возникает и потребность в защите данных, хранящихся в облаках. Некоторые провайдеры облачных сервисов предоставляют возможность резервирования и шифрования данных, но существуют и различные самостоятельные сервисы, обеспечивающие защиту данных при их размещении в облачном хранилище. Как раз об одном из таких сервисов, поддерживающем большинство провайдеров облачных хранилищ, - сервисе Boxcryptor - мы расскажем в этой статье. Данный сервис реализован немецкой компанией Secomba GmbH (Werner-von-Siemens-Str. 6, 86159 Augsburg).
Сервис Boxcryptor представлен производителем в следующих форматах:
В статье рассматривается версия, требующая локальной установки. Сервис поддерживает развертывание на следующих платформах:
Для взаимодействия локальной версии сервиса с облачными хранилищами необходимо наличие:
Состав доступных функциональных возможностей сервиса зависит от типа приобретаемой подписки (лицензии).
Таблица 1 . Функциональные возможности Boxcryptor в зависимости от типа подписки
Функциональные возможности | Краткое описание | Наличие в составе подписки | |||
Free | Unlimited Personal | Unlimited Business | Company Package | ||
Использование алгоритмов шифрования AES-256 и RSA | Шифрование содержимого файлов, размещаемых в облачном хранилище | Да | Да | Да | Да |
Безопасное предоставление доступа | Предоставление сторонним лицам доступа к своим зашифрованным файлам | Да | Да | Да | Да |
Поддержка мобильных приложений | Возможность развертывания приложения на мобильных устройствах | Да | Да | Да | Да |
Шифрование имени файлов | Маскирование наименования файла, размещаемого в облачном хранилище | Нет | Да | Да | Да |
Поддержка неограниченного набора облачных платформ | Возможность защиты данных не на одном, а на нескольких облачных хранилищах | Нет | Да | Да | Да |
Отсутствие количественного ограничения поддерживаемых устройств | Возможность развернуть сервис более чем на двух устройствах | Нет | Да | Да | Да |
Техническая поддержка | Наличие неограниченной технической поддержки со стороны производителя | Нет | Да | Да | Да |
Создание групп пользователей | Возможность объединения пользователей в группы для последующего обмена файлами с группой в целом | Нет | Нет | Да | Да |
Коммерческое использование | Возможность использования сервиса для корпоративных целей | Нет | Нет | Да | Да |
Персональное использование | Возможность использования только одним пользователем | Да | Да | Да | Нет |
Использование подписки более чем одним пользователем | Возможность добавлять неограниченное число пользователей для использования одной подписки (лицензии). | Нет | Нет | Нет | Да |
Мастер-ключ | Возможность расшифровки файлов компании, доступных ее сотрудникам, без знания их паролей | Нет | Нет | Нет | Да |
Сброс паролей пользователей компании | Возможность сброса и замены паролей пользователей компании, используемых при шифровании, без потери доступа к данным в зашифрованных файлах компании | Нет | Нет | Нет | Да |
Поддержка Active Directory | Синхронизация пользователей Boxcryptor c пользователями из Active Directory компании | Нет | Нет | Нет | Да |
Определение политик | Создание политик безопасности, с целью соответствия внутренним и внешним требованиям (длинна пароля, шифрование имен файлов и т. д.) | Нет | Нет | Нет | Да |
Управление пользователями и устройствами | Централизованное управление пользователями и конфигурационными параметрами | Нет | Нет | Нет | Да |
Аудит | Наблюдение за поведением пользователей с целью обнаружения подозрительных событий безопасности (нехарактерные для пользователя попытки входа, нарушение установленных политик и т. д.) и реагирование на них | Нет | Нет | Нет | Да |
Двухфакторная аутентификация | Применение двухфакторной аутентификации пользователей с помощью решения компании Duo Security | Нет | Нет | Нет | Да |
Стоимость подписки на Boxcryptor следующая:
На полную подписку для личного использования (Unlimited Personal) производитель предоставляет скидку для студентов в размере 25%.
Подписки «Free», «Unlimited Personal» и «Unlimited Business» предназначены только для 1 пользователя:
В отличии от персональных подписок, подписка «Company Package» позволяет для одной лицензии добавлять неограниченное число пользователей.
Сервис довольно прост в использовании, особенно это касается ограниченного состава функций, предоставляемых в рамках подписки типов Free и Unlimited Personal. Хотя именно эти два типа могут быть наиболее востребованы у российских пользователей. Чтобы воспользоваться предлагаемыми функциями, необходимо скачать с сайта производителя дистрибутив для соответствующей платформы .
В рамках этой статьи рассмотрена работа сервиса на примере дистрибутива для самых распространенных у российского пользователя платформ: Microsoft Windows и Android. На момент подготовки материала на сайте производителя для операционной системы Microsoft Windows доступна версия Boxcryptor 2.3, а для Android - версия 2.1 (а также Beta версия 2.49.559). Для других платформ состав функций аналогичен - подробное описание функций сервиса для каждой платформы приведено производителем на своем сайте в соответствующих руководствах пользователя .
При установке продукта предлагается ознакомиться и принять «Лицензионное соглашение», заключаемое между производителем Secomba GmbH и конечным пользователем, а также «Политику защиты данных».
После установки и запуска потребуется пройти аутентификацию, при наличии учетной записи Boxcryptor, или создать такую учетную запись.
Рисунок 1 . Регистрация в десктопной версии Boxcryptor на Windows
При создании учетной записи (профиля) выводится уведомление о том, что вам необходимо запомнить пароль, в противном случае будет утрачен доступ ко всем зашифрованным файлам. Только согласившись с этим и приняв на себя ответственность о сохранении пароля, можно продолжить регистрацию.
Здесь же в рамках создания профиля потребуется определиться с типом подписки (лицензии).
Рисунок 2 . Выбор типа подписки в десктопной версии Boxcryptor на Windows
Выбирать приходится только из трех типов, четвертый и самый полный тип подписки Company Package доступен для выбора только на сайте (где также происходит и заполнение профиля для этого типа). Производители предлагают в отношении подписок типа «Company Package» и «Unlimited Business» следующие пробные периоды:
Активация данных возможностей доступна только через веб-интерфейс из учетной записи Boxcryptor.
При выборе подписки типов Unlimited Personal или Unlimited Business запустится браузер, и в нем откроется страница оплаты.
После того как все процедуры выбора и оплаты выполнены, запускается сам сервис.
В версии, установленной на смартфоне с операционной системой Android, также необходимо будет пройти аутентификацию.
Рисунок 3 . Аутентификация в Boxcryptor на Android
При первом запуске:
Рисунок 4 . Первый запуск десктопной версии Boxcryptor на Windows
Если в Windows уже подключено какое-либо облачное хранилище, то оно появится в «Проводнике» Boxcryptor в области виртуального диска.
Рисунок 5 . Содержимое виртуального диска Boxcryptor в десктопной версии на Windows
Дальнейшая работа по шифрованию и расшифрованию файлов (каталогов) осуществляется в рамках этого виртуального диска Boxryptor с сопоставленными ему облачными хранилищами (например, Dropbox).
Первый запуск на устройстве c операционной системой Android также потребует определить облачное хранилище, сопоставляемое Boxcryptor.
Рисунок 6 . Первый запуск Boxcryptor на Android и определение облачного хранилища
Чтобы выполнить настройку параметров сервиса, необходимо выбрать соответствующий пункт («Настройки») в контекстном меню, вызываемом на иконке в области уведомлений (см. рисунок 4). Все основные и расширенные настройки выполняются в рамках соответствующих вкладок окна «Настройки Boxcryptor».
Рисунок 7 . Настройки десктопной версии Boxcryptor на Windows
Определение локальных каталогов, которые используются для хранения важной информации, подлежащей шифрованию с помощью Boxcryptor, выполняется нажатием «Добавить» на вкладке «Расположения» и последующего выбора интересующего каталога.
Чтобы привязать облачное хранилище, указанное на вкладке «Расположение», к Boxcryptor, достаточно нажать на слово «Ссылка» и заполнить соответствующие конфигурационные формы.
Рисунок 8 . Привязка облачного хранилища в десктопной версии Boxcryptor на Windows
В результате добавления локального каталога и привязки облачного хранилища соответствующие локации появятся в перечне.
Рисунок 9 . Каталог и облачное хранилище, подключенные в десктопной версии Boxcryptor на Windows
Параметры учетной записи, за которой закреплена подписка на сервис, могут быть скорректированы на вкладке «Профиль». Параметры, редактирование которых возможно («Имя», «Фамилия», «Email» и «Пароль»), отмечены символом. Кроме того, эта вкладка предоставляет:
Рисунок 10 . Конфигурационные параметры учетной записи в десктопной версии Boxcryptor на Windows
Для того чтобы предоставить доступ к зашифрованному файлу, хранящемуся в облаке, например, коллегам по работе, потребуется сформировать группу и добавить их в эту группу. Однако есть один нюанс: добавлять в группы можно только тех, кто также является пользователем Boxcryptor (с таким же типом подписки). В рамках этих настроек можно:
Рисунок 11 . Создание группы в десктопной версии Boxcryptor на Windows
Более точная настройка может быть выполнена с помощью конфигурационных параметров, вкладки «Дополнительно». Основной набор параметров позволяет скорректировать наименование созданного сервисом виртуального диска Boxcryptor и соответствующую ему букву, а также настроить возможность одновременного запуска сервиса с операционной системой, проверку обновлений и шифрование имен файлов. Активировать шифрование имен файлов сами производители рекомендуют только в том случае, когда в этом действительно есть необходимость, так как этот вид шифрования влияет на производительность системы (особенно при большом количестве файлов). Для возможности более тонкой настройки потребуется выбрать пункт «Больше настроек».
Рисунок 12 . Расширенные настройки десктопной версии Boxcryptor на Windows
В составе расширенных настроек могут быть включены/выключены следующие параметры:
Boxcryptor на Android обладает более скромным составом конфигурационных параметров. Автоматически активированными являются: шифрование имен файлов, обнуление настроек сервиса после трех неудачных попыток аутентификации, а также предварительный просмотр файлов. Интересной функцией является «Установить защиту PIN-кодом» - она позволяет защитить сервис от несанкционированного доступа и будет требовать ввода PIN-кода, если вызвать сервис в момент его работы в фоновом режиме.
Рисунок 13 . Состав настроек Boxcryptor на Android
Настроив сервис с учетом собственных потребностей, можно приступать к его использованию непосредственно с целью шифрования и расшифрования.
Общий принцип шифрования, реализованный в этом сервисе, напоминает сказку про Кощея Бессмертного: смерть Кощея в игле, игла в яйце, яйцо в утке, утка в зайце и так далее. В этом сервисе в качестве таких компонентов выступает несколько криптографических ключей, каждый из которых закрывается (шифруется) следующим в цепочке алгоритмических действий шифрования. В целом можно выделить несколько используемых криптографических сущностей (ключи/пароли):
И уже в зависимости от инициатора криптографических преобразований ключи AES и RSA определяются для:
Ключи формируются непосредственно на устройстве пользователя при создании учетной записи пользователя или компании (группы пользователей). На сервер Boxcryptor отправляются все ключи, кроме пароля пользователя, но все они передаются зашифрованными (за исключением открытого ключа RSA).
Рисунок 14 . Общий принцип шифрования файлов, реализованный в Boxcryptor
Все операции по шифрованию/расшифрованию файлов осуществляются только локально на компьютерах пользователей, и уже потом выполняется синхронизация с облачным хранилищем. Процедура шифрования файла заключается в:
Расшифрование файла осуществляется в обратной последовательности, только вместо открытого ключа RSA используется закрытый. Однако все эти преобразования скрыты от глаз пользователя.
Данный сервис подкупает простотой его использования для шифрования и расшифрования. Все операции выполняются в один клик. Необходимо с помощью «Проводника» в рамках виртуального диска Boxcryptor выбрать файл, размещенный в облачном хранилище, вызвать на его наименовании контекстное меню и нажать «шифровать» или «расшифровать» (в зависимости от целей). В случае шифрования около имени файла появляется зеленый квадрат с замком, обозначающий факт выполнения шифрования.
Рисунок 15 . Шифрование файла в десктопной версии Boxcryptor на Windows
Непосредственно в самом облачном хранилище файл будет переименован посредством добавления к нему расширения «.bc». Меняется и внешний вид его отображения в облачном хранилище, чтобы увидеть это, достаточно вызвать на зашифрованном файле контекстное меню и выбрать пункт «Показать исходник в Dropbox». При открытии зашифрованного файла непосредственно в облаке появится сообщение о необходимости его преобразования и выборе кодировки. Фрагмент такого сообщения показан на рисунке ниже.
Рисунок 16 . Отображение зашифрованного файла в десктопной версии Boxcryptor на Windows и DropBox
Аналогичным образом осуществляется шифрование каталогов. При шифровании каталога к его наименованию добавляется суффикс «_encrypted», и на обозначении каталога в «Проводнике» появляется зеленый квадрат с замком.
Еще один способ шифрования файла - это его перемещение/копирование в ранее зашифрованный каталог. Таким образом, он автоматически шифруется.
Рисунок 17 . Автоматическое шифрование файла в десктопной версии Boxcryptor на Windows
Как уже упоминалось ранее, этот сервис может осуществлять шифрование не только для облачных хранилищ, но и для защиты локально размещенных файлов. Действия аналогичны. Зашифрованные и исходные файлы хранятся в облачных хранилищах, локально на устройстве пользователя (при защите локально размещенных файлов) и в виртуальном диске Boxcryptor. На сервер Boxcryptor файлы не попадают ни в каком виде. Открыть зашифрованный файл в читабельном виде можно только в рамках виртуального диска Boxcryptor или после его копирования с этого диска. В исходном же местоположении зашифрованный файл будет открываться в нечитаемом виде с выводом соответствующих уведомлений (сообщение о необходимости его преобразования и выборе кодировки).
В случае отсутствия сетевого окружения файлы могут быть зашифрованы в рамках виртуального диска Boxcryptor, и на их изображении будет отображаться значок синхронизации «», а при появлении сети будет выполнена синхронизация с облачными хранилищами.
Расшифрование осуществляется посредством выбора пункта «Расшифровать» и приводит к получению исходного файла. Если расшифрование применяется к каталогу, то автоматически расшифровываются все файлы, содержащиеся в нем.
Рисунок 18 . Расшифрование файла в десктопной версии Boxcryptor на Windows
При использовании сервиса на устройствах с операционной системой Android шифрование выполняется тоже довольно просто. Необходимо в рамках сервиса перейти в интересующий каталог облачного хранилища и с помощью кнопки «» выбрать файл на устройстве для его загрузки в облако. Как раз в момент загрузки сервис выдаст сообщение о необходимости определиться - должно ли быть выполнено шифрование.
Рисунок 19 . Шифрование файла в Boxcryptor на Android
Предоставление доступа к зашифрованному каталогу осуществляется через контекстное меню, вызываемое на зашифрованном файле. Доступ можно предоставить группе пользователей (добавленной на стадии настройки сервиса) или отдельному пользователю (указывая адрес его электронной почты). Опять же есть нюанс - доступ можно предоставить только тем, кто является пользователем Boxcryptor, и предоставить его может, соответственно, тот, кто обладает необходимыми правами.
Рисунок 20 . Управление правами доступа к зашифрованному объекту в десктопной версии Boxcryptor на Windows
При регистрации в операционной системе с другой учетной записью доступ к виртуальному диску Boxcryptor будет ограничен. Соответственно, другой пользователь, при отсутствии у него необходимых полномочий, в том числе и установленных при настройке сервиса (параметр «Подключать для всех пользователей» - см. рисунок 12), не то что не сможет использовать файлы, размещенные в рамках виртуального диска, он просто не увидит такого ресурса. Фактически именно на этом диске файлы шифруются для последующего их размещения в исходные хранилища (а на самом виртуальном диске они хранятся в открытом виде).
Если необходимо передать зашифрованный файл лицу, не являющемуся пользователем Boxcryptor, это можно сделать благодаря наличию интеграции продукта с сервисом Whisply. Реализовать такую передачу можно воспользовавшись соответствующим пунктом контекстного меню, вызываемого на зашифрованном файле в «Проводнике».
Рисунок 21 . Безопасная передача файла, зашифрованного в десктопной версии Boxcryptor на Windows, через сервис Whisply
После чего в браузере откроется страница сервиса Whisply, связанная с передачей файла. Для завершения передачи необходимо будет пройти следующие шаги:
Рисунок 22 . Работа с сервисом Whisply по передаче файла, зашифрованного в Boxcryptor
В результате выполнения этих шагов адресат получит зашифрованный файл с возможностью его чтения. Кроме того, при изменении зашифрованного файла в облаке у адресата будет возможность по этой же ссылке получить самую актуальную версию файла, но только в течение срока действия ссылки.
Шифрование имен файлов, так же, как и шифрование/расшифрование файла, осуществляется через контекстное меню. В результате шифрования имени - имя файла в облачном хранилище будет представлено совокупностью иероглифов (за исключением расширения «.bc»).
Рисунок 23 . Шифрование имени файла в десктопной версии Boxcryptor на Windows
Вернуть нормальное имя файла можно с помощью отмены шифрования имени через контекстное меню.
Эта функция позволяет получить зашифрованные файлы компании, если пользователь забыл пароль или уволился, не передав свои полномочия другим пользователям. Чтобы сгенерировать такой ключ, необходимо перейти на вкладку «Профиль» в настройках Boxcryptor и в строке «Мастер-ключ» нажать «Сгенерировать». В появившемся окне необходимо ввести пароли для нового ключа и сгенерировать сам ключ. После генерации сформированный ключ необходимо внести через веб-интерфейс в соответствующую политику.
Рисунок 24 . Генерация мастер-ключа пользователя в десктопной версии Boxcryptor на Windows
При появлении потребности использования мастер-ключа его необходимо просто разблокировать, введя соответствующий пароль на вкладке «Профиль» в настройках сервиса. Это позволит ответственному лицу получить доступ ко всем зашифрованным файлам всех пользователей компании.
Мы рассмотрели основные функции сервиса Boxcryptor, предназначенного для защиты данных отдельных пользователей и компаний в целом при их размещении в облачных хранилищах. Для отдельных пользователей предлагается три вида подписки:
Компаниям предложен отдельный вид подписки, являющийся самым полным и представляющим собой самостоятельный бизнес-пакет - Company Package.
Отличительной особенностью Company Package является наличие функций, ориентированных именно на компании, например:
Основными достоинствами сервиса являются:
К минусам сервиса можно отнести:
Я уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны - удобство и экономия, дающие преимущество над конкурентами. С другой - “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.
Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих - дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты - ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.
Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям - для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.
Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны). А теперь - поподробнее о сегодняшней теме.
Почему именно Dropbox? Причин несколько. Во-первых у Dropbox нет ограничения на размер хранимого фала, что позволяет делать криптоконтейнер сколь угодно большим. Во-вторых, Dropbox умеет обнаруживать изменения в структуре синхронизируемых файлов и копировать только их. На практике это означает, что при внесении изменений в огромный архив, Dropbox будет синхронизировать только небольшую часть данных, которая была модифицирована, а не весь файл, как делает большинство других сервисов.
Уважаемое сообщество!
Но начать следует с обзора текущей ситуации.
Существуют облака, в которых можно хранить много различной информации. Иногда совершено бесплатно. Это прельщает. Множество сервисов прямо таки борются в желании предоставить вам как можно больше гигабайтов и функций. Однако, надо понимать, что бесплатный сыр бывает только в мышеловке. Опасность заключается в том, что свои файлы вы передаете на хранение чужому дяде с неизвестными, по отношению к вам, намерениями. А опасность именно файлов, как объекта информации, в том и заключается, что с него можно сделать копию и вы об этом факте никак не узнаете. Также файлы можно проанализировать с разными целями. В общем, много чего.
Придерживающиеся точки зрения «мне нечего скрывать, пусть смотрят» - дальше могут не читать. Продолжайте наслаждаться утечками фоток из iCloud, произошедшими недавно, удалением из облака нелицензионного контента и т.п. Те же, кому кому важна конфиденциальность личной жизни и в целом неприятно подглядывание за вами в замочную скважину и запускание руки большого брата в ваши личные дела - читаем дальше.
Облака использовать можно. Но нужно делать правильно. Решением здесь является шифрование данных. Однако, нужно понимать, что шифрование шифрованию рознь. Многие сервисы кричат о том, что у них самые лучшие алгоритмы шифрования. Но эти же сервисы скромно молчат о том, что сами они могут получить доступ к вашим данным в любое время. Поэтому самым правильным вариантом является вариант шифрования/дешифрования данных на ВАШЕЙ стороне. Таким образом, облако всегда имеет дело только с зашифрованным контентом. При этом, у клиента шифрования и облачного сервиса не должен быть один владелец. Идеальный случай - это открытые исходники клиента шифрования.
Итак, что мы имеем с таким подходом:
1. Владелец облака никогда не имеет доступа к содержимому ваших файлов. Никак.
2. Все узлы в цепочке следования вашего траффика не имеют доступа к вашим данным. Это, например, владелец wifi точки кафе, провайдер, владелец магистральных линий, админы сетки на вашей работе и т.п.
Это здорово.
1. У Вас появляются лишние заботы по обеспечению шифрования/дешифрования, лишняя нагрузка на компьютер.
Кому что важнее. Но, давайте договоримся, что:
1. Облако для вас - не корпоративный инструмент для работы. Хотя и тут могут быть варианты в виде раздачи пароля коллегам.
2. Облако для вас - хранилище личных данных.
1. На данный момент ни один сервис не предоставляет вышеописаную модель шифрования контента. Оно и понятно, ему это невыгодно.
2. Погуглив, я с удивлением обнаружил, что данной проблемой особо никто не озабочивается. Возможно, с облаками повторяется тот же трюк, что и с социальными сетями n-надцать лет назад. Когда люди, не думая, сами о себе все выложили в сеть. Кто с кем в каких отношениях, где служил и работал. Подарок всем спецслужбам и мошенникам.
Текущие варианты решения задачи по обеспечению безопасности собственных файлов в облаке:
1. Шифрование, предоставляемое владельцем облака. Защищает только от других пользователей, но не от владельца облака.
2. Складирование в облако файлов в запароленных архивах или шифрованных контейнерах (типа truecrypt). Неудобно пользоваться, так как для того, чтобы внести небольшое изменение или просто скачать файл - нужно скачивать/заливать весь контейнер целиком. Что часто бывает небыстро, если он большой.
3. VPN защищает только канал связи, но не содержимое облака.
4. Программа BoxCryptor. Она умеет шифровать файлы отправляемые/сливаемые из облака. Но её механизм работы неудобен. У вас на локальном компьютере должна быть синхронизированная копия всех данных облака. В этой копии вы работаете с данными, а программа в шифрованном виде заливает/сливает их в облако. Синхронизирует в общем. Неудобно.
Мы хотим, чтобы у нас с собой была флешка, вставляем её в любой свой (или не свой) компьютер с подключением к интернету, запускаем с нее некую программу. У нас в системе появляется виртуальный диск, зайдя в который (кто эксплорером, кто Total Commander) мы попадем в наш аккаунт в облаке. Видим наши файлы, делаем с ними что нам нужно. А потом все выключаем и уходим. А вот если в наш аккаунт зайти без запуска этой волшебной проги, то мы (или злоумышленник, админ-сниффер, владелец облака и т.п.) увидим кучу мусора - как в именах файлов, так и в их содержимом.
Как вариант - поставить эту программу стационарно на все свои компьютеры и забыть о её существовании и необходимости периодического запуска. Такой метод будет работать со всеми типами облаков, которые поддерживают стандарт WebDAV и позволяют хранить просто произвольные файлы, удовлетворяющие стандартам файловых систем.
Погуглив, я нашел только 2 варианта решения вопроса шифрования почти в том виде, в каком мне нужно.
1. Плагин WebDav для Total Commander. Добавляет облачный аккаунт в Total Commander и он становится виден как диск. В который можно копировать файлы. Однако, он пока не поддерживает шифрование. Мои попытки упросить автора включить в него шифрование и стать Гислеру первым, кто решит эту проблему - не увенчались успехом.
2. Программа CarotDAV, про которую уже писали на данном сайте. Она умеет шифровать файлы и имена по-одиночке. И все бы хорошо, но она имеет интерфейс проводника, что неудобно.
И вот, собственно, свершилось то, ради чего я пишу этот длиннопост.
Собственно, программа легкая, все работает как надо. Но самое главное - вот теперь вы точно можете быть уверены, что ваши файлы в облаке принадлежат только вам - при сохранении легкого и удобного способа доступа к ним.
Приглашаю всех, кому стало интересно и кому такая программа необходима, присоединиться к тестированию.
Доброго времени суток, уважаемые читатели сайт. Думаю многие задавались вопросом безопасности облачных хранилищ данных, многие хранят в них в том числе и конфиденциальные данные личного характера, и никому не хочется, что бы даже случайно, эта информация попала к третьим лицам. В этом может помочь шифрование данных.
Но шифровать каждый отдельный файл занятие достаточно долгое, загружать в хранилище криптозащищенный контейнер и каждый раз его обновлять его целиком даже при минимальном изменении вложенных файлов не логично. В решении этого вопроса может помочь приложение Cryptomator.
Cryptomator это приложение для шифрования данных отправляемых в облачное хранилище, т.е. шифрование происходит не на сервере с данными а на вашем компьютере. Данный подход имеет свои плюсы и минусы:
Плюсы:
Минусы:
В Ubuntu, Mint, ElementaryOS установка происходит из PPA репозитория. Введите в терминал следующие команды:
sudo add-apt-repository ppa:sebastian-stenzel/cryptomator
sudo apt-get update
sudo apt-get install cryptomator
Либо можно загрузить deb пакет на сайте разработчика.
В Fedora, OpenSUSE, CentOS и других дистрибутивах использующих.rpm пакеты установка cryptomator выполняется путем загрузки RPM пакета для 32bit и 64bit системы из официального сайта. Также Cryptomator доступен в репозитории AUR.
Как видно установка программы не требует особых усилий.
Запускаем приложение и видим простенькое окно управления:
Как видно на изображении у меня уже создано одно криптохранилище.
Нажимаем кнопку "+" в левом нижнем углу, открывается файловый менеджер, где необходимо выбрать место хранения (рекомендую папку автоматически синхронизируемую с облачным сервисом) и название зашифрованного файла и его название.
Затем вводим пароль доступа к криптохранилищу.
И нажимаем "Создать хранилище" , после этого вам будет предложено повторно ввести пароль для разблокирования уже готового хранилища.
В него и необходимо копировать данные для шифрования, для примера я скопировал.rpm пакет самого приложения. В окне программы будет отображаться график с процессом шифрования/расшифровки, красной и зеленой линией для процесса шифрования и расшифровки соотвественно.
После окончания процесса шифрования нажимаем "Заблокировать хранилище" . После чего можно синхронизировать данные с облачным сервисом. После шифрования файлы приобретают подобный вид.
В этой папке хранится файл с именем "masterkey.cryptonator" , он применяется для расшифровки хранилища при добавление п.п.1 готового хранилища.
Как показано выше, установка, настройка и использование программы не требует дополнительных навыков и знаний кроме базовых и работать с ней может каждый новичек желающий обезопасить свои данные. К сожалению интерфейс и функциональность приложения Cryptonator для Linux систем значительно ниже, чем для Windows и MacOS, остается надеяться, что разработчик этим займется.
Похожие записи: