Как зашифровать свои данные с помощью Cryptomator

Если у вас достаточно знаний, чтобы скопировать файл с папки в папку, значит сегодня вы научитесь надежно шифровать свои данные.

Вступление

Почти все пользуются облачными хранилищами, это действительно удобно. Надеюсь вы понимаете, что Google / Dropbox / Microsoft / Яндекс регулярно просматривают, что вы храните у них. Кстати, в случае запроса от правоохранительных органов — ваши данные сразу же выдадут. :-)

Понятно, что лучшим вариантом будет хранение данных на собственном сервере, используя NextCloud (или другие open source альтернативы), но, задача этой статьи научить вас надежно шифровать данные, чтобы никто кроме вас не имел к ним доступа, будь то Google, Dropbox, Яндекс или товарищ майор.

Установка Cryptomator

Установка программы максимально простая, как говорится «однокнопочная». Так что у вас не возникнет проблем. Скачайте Cryptomator под свою систему и установите его.

Сайт: https://cryptomator.org/

О программе

Cryptmator является полностью бесплатным и свободным ПО, с открытым исходным кодом, для шифрования данных на стороне клиента. В 2017-том году компания Cure53 провела пентест, отчет можно найти здесь. Все баги, которые были найдены в процессе, были исправлены в версии 1.1.0.

К плюсам Cryptomator можно отнести:

• Использование AES с 256 битным ключом;
• Пароль от хранилища защищен от брут-форс атак с помощью scrypt;
• Создание и управление несколькими хранилищами одновременно;
• Может работать с облачными хранилищами (при условии что на вашем компьютере уже смонтирована папка облачного хранилища);
• Использует WebDAV или FUSE (только для MacOS и Linux) и Dokany (Windows);
• Прост в установке, прост в использовании;

С помощью Cryptomator вы можете надежно защитить свои данные, поместив их в зашифрованные хранилища. Получить доступ к данным может только тот, кто знает пароль к хранилищу.

При открытии хранилища с помощью Cryptomator, оно будет отображаться как виртуальный накопитель. Вы можете работать с ним как с обычной USB-флешкой.

Зашифрованные данные хранятся в обычной папке. Если вы откроете хранилище без Cryptomator, то увидите только набор каталогов и файлов с непонятными именами. Распознать что это хранилище Cryptomator можно по файлу masterkey.cryptomator, который находится внутри папки.

Программа действительно очень простая в использовании. После первого запуска вы увидите пустой список, и подсказку о том, что вы можете создавать новые хранилища:

Создание хранилища

Всего четыре шага:

1. Нажмите на кнопку «+»;
2. Выберите «Создать новое хранилище»; (Create New Vault)

Как видите, есть вторая опция, «Открыть существующее хранилище» (Open Existing Vault), пока что у вас нет хранилища, поэтому сначала создайте его.

3. Укажите местоположение для хранилища, задайте ему имя и нажмите «Сохранить» (Save):

Я указал «Рабочий стол» (Desktop), задал имя «TEST».

После этого Cryptomator предложит задать пароль этому хранилищу.

Во-первых, вы должны задать хороший пароль, чтобы надежно защитить свое хранилище.

Во-вторых, если вы забудете/потеряете этот пароль, то вы навсегда потеряете доступ к своим данным! Это пароль нельзя сбросить или восстановить:

4) Задайте пароль и нажмите «Создать хранилище» (Create Vault)

Поздравляю, вы создали свое первое хранилище.

Внутри хранилища

Если вы просто откроете папку хранилища то увидите:

Следующую информацию вам не надо запоминать, просто я хочу чтобы вы лучше понимали «внутренности» хранилища.

Папка d — здесь будут хранится зашифрованные данные.

Папка m — метаданные (в настоящее время используется только для сокращений имен).

Файл masterkey.cryptomator содержит зашифрованные данные, которые необходимы для получения мастер-ключа на основе пароля. Сам файл не содержит в себе мастер-ключа в расшифрованном виде, так что он нечувствителен, и должен храниться вместе с хранилищем в облаке. Кроме того, в этом файле также хранятся некоторые метаданные о хранилище (например, версия Cryptomator используемая для его создания). Также, он обеспечивает удобный доступ к хранилищу на различных устройствах.

После того как вы начнете пользоваться хранилищем, появится файл .bkup, который является резервной копией вашего файла мастер-ключа. Он создается после каждой успешной разблокировки хранилища.

Всё перечисленное выше является частью хранилища, и вы не должны переименовывать/перемещать/удалять что-либо в этой папке. Если в будущем вам понадобится удалить какие либо данные из хранилища, вы должны открыть хранилище через Cryptomator, и тогда удалять данные.

Ради теста, я закину mp3-файл в хранилище, и покажу как он будет выглядеть для стороннего наблюдателя.

Чтобы открыть хранилище, выберите его из списка, введите пароль и нажмите на «Разблокировать хранилище» (Unlock Vault).

Да, у меня пароль 1234, ведь это тестовое хранилище. Но, вы должны задать хороший пароль, чтобы надежно защитить свои данные:

После того как вы разблокируете хранилище, автоматически откроется файловый менеджер и ваше хранилище будет смонтировано:

Все, хранилище смонтировано и готово к работе. Теперь можно закинуть туда mp3-файл:

Как видите, Cryptomator обработал и зашифровал тестовый mp3-файл, менее чем за одну секунду. Все, я завершил работу с данным хранилищем, и теперь его надо заблокировать. Для этого нажимаю на «Заблокировать хранилище» (Lock Vault).

***Примечание. После того как вы завершите работу с конкретным хранилищем, обязательно заблокируйте его.

Все, тестовое хранилище готово для отправки в облако. Вот в таком виде провайдер облака будет видеть это тестовое хранилище с mp3-файлом внутри (даже непонятно что это mp3-файл):

В конце этой статьи я выскажу свое мнение по поводу таких сервисов как Google / Dropbox / Microsoft / Яндекс, и какая теоретическая опасность ждет ваши данные (нет, это не взлом шифра).

В чем разница между хранилищем Cryptomator и контейнером VeraCrypt?

*** ПРИМЕЧАНИЕ. Дорогой читатель, если ты много лет используешь VeraCrypt для шифрования своих данных — это отличный выбор! Я тоже пользуюсь VeraCrypt не один год.Цель данной статьи не сказать что VeraCrypt хуже/лучше Cryptomator, а что это довольно разные инструменты.

При использовании VeraCrypt или другого софта для шифрования данных на основе контейнеров, все файлы, хранящиеся в контейнере, объединяются в один большой файл-контейнер, а это создает определенные неудобства. С такими файлами-контейнерами неудобно работать в облаке, потому что, чтобы изменить любой файл в контейнере, вы должны будете скачать весь контейнер, внести изменения и опять загрузить контейнер в облако.

Также, при использовании VeraCrypt вы можете столкнутся со следующей ситуацией. Например, у вас в облаке (или оффлайн) есть контейнер VeraCrypt, размер которого равен 1Гб. Вы потратили определенное время на его создание, задали хороший пароль и т.д. Допустим у вас появились дополнительные данные в размере 500 Мб, которые вы хотите добавить в этот контейнер. Вы не сможете расширить уже существующий контейнер, и вам придется создать новый контейнер, чтобы поместить туда данные с первого контейнера (1 Гб) + добавить новые данные (500 Мб).

Также обратите внимание, если к зашифрованному контейнеру должны иметь доступ более одного компьютера одновременно, с контейнерами VeraCrypt это невозможно.

Cryptomator оптимизирован для использования с облачными хранилищами, который также можно использовать и локально (оффлайн).

При использовании Cryptomator каждый файл шифруется отдельно. А изменение любого файла приводит к перезагрузке на облако только этого файла, а не всего хранилища. Кроме того, Cryptomator имеет интегрированное обнаружение изменений и разрешение конфликтов, что позволяет удобно и безопасно использовать облачное хранилище даже с мобильных устройств. Хранилище Cryptomator изменяется динамически, то есть, если взять пример выше (у вас хранилище на 1 Гб данных и вам надо добавить еще 500 Мб данных), то вы просто добавляете в хранилище нужное количество данных, Cryptomator их зашифрует и общий объём вашего хранилища увеличится до ~1.5 Гб. Конечно, индивидуальное шифрование каждого файла также означает, что Cryptomator не может скрыть информацию о дате изменения и размере файлов.

Что круче? Cryptomator vs VeraCrypt

Как ни странно, в сети довольно много вопросов на эту тему. Лично я придерживаюсь мнения — все зависит от ваших задач, так как это довольно разные инструменты.

Немного «сухой» информации

Veracrypt позволяет пользователю настраивать шифры и длину их ключей. Это полезно для пользователей, которые точно знают что делают.

Философия в Cryptomator другая. Он использует шифры и конфигурации, которые, как известно, хорошо работают друг с другом. Предварительно подобранный набор шифров в Cryptomator означает снижение сложности в использовании для конечного пользователя, а также уменьшение возможностей для атаки. С другой стороны, если AES будет взломан, пользователи Cryptomator не смогут просто переключиться на новый алгоритм из выпадающего списка (как в VeraCrypt ), придется подождать, пока не выйдет новый релиз Cryptomator.

Разработчики Cryptomator не хотят предоставлять пользователю всех возможностей в выборе шифров и их конфигураций, не потому, что у них злые намерения, а потому что хотят предложить максимально простое и безопасное приложение, и хочу заметить, им это очень хорошо получается.

Veracrypt создает только один контейнер, поэтому сторонний наблюдатель даже не узнает сколько файлов в контейнере. Также, контейнер VeraCrypt можно замаскировать под mp3/mp4/dat/dll (или другие типы файлов), тогда стороннему наблюдателю вообще не будет понятно, что у вас есть контейнер. Например, вы замаскировали свой контейнер под файл Black Sabbath — Paranoid.mp3, для вашей операционной системы он будет выглядеть mp3-файл, даже автоматически будет открываться музыкальным проигрывателем, но воспроизведения не будет, вы увидите ошибку. Также, если кто-то на вашем устройстве обнаружит mp3-файл размером 10 Гб, который не открывается через музыкальный проигрыватель, согласитесь, что такой файл может вызвать подозрение.

Внешне, крипто-контейнер VeraCrypt не имеет отличий от файла, под который он маскируется (mp3/mp4/avi или другие), но, есть внутренние отличия — многие типы файлов имеют характерный бинарный заголовок, по которому можно определить, например, что mp3-файл на самом деле не является mp3-файлом. Также существуют нетипизированные бинарные файлы, среди которых часто встречается файл с расширением *.dat, по содержимому которого невозможно понять что внутри, поэтому можете рассмотреть вариант с маскировкой контейнера VeraCrypt под *.dat-файл.

Cryptomator шифрует каждый файл отдельно. Это позволяет удобно синхронизировать данные в облаке, которые действительно изменились, но при этом сторонний наблюдатель видит общий объем информации в хранилище.

С помощью Veracrypt удобно зашифровать весь USB-накопитель. Также можно зашифровать системный диск в Windows (например Cryptomator этого не умеет). Кроме того, в VeraCrypt есть возможность создания контейнера с двойным дном. Схема работы с такими контейнерами проста: при вводе одного пароля открывается один контейнер, при вводе второго — другой. Это может быть полезным в случае, когда вас принуждают ввести пароль от контейнера, тогда вы сможете открыть контейнер и показать что ничего там нет, или что там хранятся пару личных фото.

Cryptomator удобнее использовать для синхронизации зашифрованных файлов на каком-либо сервере/облаке, или же пользоваться им оффлайн.

Об опасностях в связке с Google Drive / Microsoft OneDrive / Dropbox / Яндекс Диск и др.

Думаете, что я скажу будто с Cryptomator что-то не то, что у него есть какая нибудь закладка-бэкдор для спец-служб? Нет, все намного проще. При использовании Google Disk / Miсrosoft OneDrive / Яндекс Диск или других, всегда остается шанс, что они просто заблокируют ваш аккаунт. Им может не понравиться то, что они не могут видеть ваши данные.

А кривым рукам Dropbox можно только удивляться, новость за: 2014-ый год, 2016-ый, 2017-ый.

Короткое видео в качестве дополнения к статье:

Спасибо за внимание.

Делитесь этой статьей, подписывайтесь на мой канал: @DrHerbertWest

Если в канала будет аудитория, будут и другие статьи по разным open source инструментам.