Безопасное шифрованное хранилище данных и особенности работы с ним. В облаках и под замком: как обезопасить хранимую в облачных сервисах информацию? Чем шифровать файлы при копировании в облако

Я уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны - удобство и экономия, дающие преимущество над конкурентами. С другой - “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.

Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих - дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты - ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.

Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям - для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.

Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны). А теперь - поподробнее о сегодняшней теме.

Создать контейнер в TrueCrypt

Почему именно Dropbox? Причин несколько. Во-первых у Dropbox нет ограничения на размер хранимого фала, что позволяет делать криптоконтейнер сколь угодно большим. Во-вторых, Dropbox умеет обнаруживать изменения в структуре синхронизируемых файлов и копировать только их. На практике это означает, что при внесении изменений в огромный архив, Dropbox будет синхронизировать только небольшую часть данных, которая была модифицирована, а не весь файл, как делает большинство других сервисов.

Создать архив в облаке с помощью BoxCryptor

Использовать облачный сервис c поддержкой шифрования на стороне клиента

Шифровать отдельные файлы

Полнодисковое шифрование

Большинство провайдеров облачных хранилищ и

Скрыто от гостей

Таких как Google Диск, Dropbox, Box и Microsoft OneDrive, предлагают некоторый уровень шифрования - по сути, скремблируют содержимое загруженных вами файлов. Для их раскодирования требуется ключ шифрования. Большинство провайдеров облачных хранилищ сами хранят ключ шифрования, вместо того, чтобы предоставить его пользователю и, таким образом, требуют от него или нее слепого доверия к тому, что компания не будет злоупотреблять доступом к вашим файлам, не допустит утечки данных ключа для хакеров или не передаст его отслеживающим органам государственной власти. Кроме того, любой, у кого есть физический доступ к вашему телефону или ноутбуку, может легко попасть в файлы в облаке, потому что большинство этих служб по умолчанию оставляют вас залогиниными в системе.

Несколько компаний облачного резервного копирования, таких как iDrive, позволяют пользователю создавать свой собственный закрытый ключ, шифруя данные на своем локальном компьютере перед загрузкой в облако. Но обычно эта возможность резервируется для более дорогостоящего пакета облачных услуг бизнес-уровня, а не для индивидуального использования. В настоящее время iDrive предлагает 75% скидку на свой 2TB-пакет, что делает его гораздо более доступным вариантом практически для всех, кто пожелает его использовать.

Если вы действительно серьезно заботитесь о конфиденциальности своих данных, но вы не хотите раскошеливаться на более дорогостоящие пакеты, у нас есть альтернативное решение. В нескольких приложениях вы можете зашифровать свои данные перед загрузкой в облако , гарантируя, что только вы сможете расшифровать ваши файлы. Фактически, любой пользователь в состоянии это сделать, однако в основном, данные приложения ориентированы на бухгалтеров, юристов, врачей и другие профессии, которые требуют высокого уровня конфиденциальности.

Мы составили список таких приложений для шифрования для вашего рассмотрения. Найдите то, которое наилучшим образом соответствует вашим потребностям, но имейте в виду, если вы когда-нибудь потеряете свой секретный ключ шифрования, эти данные будут потеряны для вас навсегда.

nCrypted Cloud

Скрыто от гостей

Перемещает ваши Google Drive, Dropbox и другие поддерживаемые папки облачных провайдеров в папку nCrypted Cloud. Он не шифрует все по умолчанию; вы должны щелкнуть по этим файлам в этих папках правой кнопкой мыши, чтобы их зашифровать или расшифровывать. Значок синего замка рядом со значком файла или папки указывает на то, что он был закодирован и теперь зашифрован обычным 256-битным стандартом AES.

Он также имеет облачный портал, доступ к которому возможен из любого браузера, который позволяет вам получать доступ ко всем своим облачным данным из одного места. Портал содержит подробные журналы о том, кто запрашивал и какие файлы, проводилась ли ревизия, а также предоставляет историю шифрования. Вы даже можете настроить его для отправки уведомлений о конкретных событиях.

NCrypted Cloud поддерживает несколько провайдеров облачных хранилищ. В настоящее время он совместим с Dropbox, Google Drive, Box и Egnyte.

NCrypted Cloud доступен бесплатно для Windows, Mac, iOS и Android. Бизнес-уровни также доступны за ежемесячную абонентскую плату.

Encrypto

В центре внимания

Скрыто от гостей

Находится отправка и совместное использование зашифрованных файлов, но его также можно использовать для локального и облачного шифрования хранилища. Просто перетащите любой файл в окно приложения, установите пароль и добавьте необязательный кодовый вопрос, ответ на который будет известен только вам и получателю. Затем файл шифруется и может быть сохранен на вашем компьютере и/или отправлен по электронной почте, через Dropbox или просто оправлен на USB-накопитель. Encrypto использует 256-битное шифрование AES. Как отправитель, так и получатель должны иметь уже установленный Encrypto для того, чтобы работала функция совместного использования файлов.

Скрыто от гостей

Encrypto доступна для Windows и Mac OSX.

Boxcryptor

Скрыто от гостей

Позволяет вам создавать папку в любом месте вашего компьютера, и все, что помещено в эту папку, зашифровывается с использованием 256-битного стандарта AES. Чтобы просмотреть файлы в этой папке, запустите приложение Boxcryptor, перейдите к нужному файлу и введите свой пароль/ключ. Если вы используете службу облачных хранилищ, такую как Google Диск или Dropbox, эта папка может быть помещена в соответствующую папку синхронизации приложения.

Содержимое файла скрыто, но имена файлов и их расширения все еще видны.

Недостатком подхода Boxcryptor - и даже большинства приложений в этом списке - является то, что файлы нельзя просматривать или открывать, скажем, в Google Docs. Если вы хотите просмотреть их на другом компьютере или смартфоне, вам придется установить Boxcryptor и загрузить файлы для их просмотра локально.

Boxcryptor доступен бесплатно для Windows, Mac, Android, iOS и Windows RT.

Cryptomator

Скрыто от гостей

Хранит файлы в зашифрованной папке хранилища где-то на вашем компьютере. Обычно эти файлы можно получить с помощью виртуального жесткого диска, так что вы не заметите различий при работе с вашими файлами, т.к. сам процесс подобен работе с файлами, находящимися на USB-накопителю. Все файлы индивидуально зашифрованы.

Вы можете создавать хранилища в любом месте вашего компьютера, например, в папке Google Диска или Dropbox. Затем просто перетащите файлы в хранилище (vault), чтобы зашифровать их. Для разблокировки хранилища требуется пароль. Файлы шифруются с помощью AES, а пароли защищены Scrypt.

Cryptomator является бесплатным приложением (pay-what-you-want (платитие сколько захотите) с открытым исходным кодом для Windows, MacOS, iOS и Android. Регистрация не требуется.

Sookasa

Скрыто от гостей

Работает очень похоже на BoxCryptor, но она ограничена Google диском и Dropbox. Специальная папка Sookasa создается внутри в папках синхронизации «Google Drive» или «Dropbox», и все, что помещено внутри этой папки, зашифровывается с использованием 256-битной AES. Чтобы просмотреть файл, его необходимо загрузить и расшифровать локально с помощью приложения Sookasa.

Sookasa позволяет пользователям обмениваться файлами и папками все на всего с помощью простого щелчка правой кнопки мыши. Установите пароль, настройте права доступа в режиме реального времени и установите срок действия ключей шифрования, и вы сможете обменяться данными через безопасные ссылки.

Sookasa доступна бесплатно для Windows, Mac, Android и iOS.

EncFSMP

Скрыто от гостей

Вероятно, самый минималистический инструмент в этом списке. Он во многом использует практически такой же открытый исходный кода, что и BoxCryptor, и работает аналогичным образом. Создайте зашифрованную папку в любом месте вашего локального диска, и все, что вы помещаете в эту папку, будет автоматически зашифровано. Вы можете создавать, редактировать и экспортировать пароли для этих папок.

EncFSMP является абсолютно бесплатной, без каких-либо уловок или необходимых дополнительных загрузок. У него нет никаких дополнительных функций для совместного использования или управления файлами.

Пользователи Linux будут рады узнать, что EncFSMP совместим с их системами, а также с Windows и Mac. Устройства Android могут использовать EncFSMP через приложение

Скрыто от гостей

(Обновлено : Cryptonite больше не доступен в Google Play, но вы можете скачать его с GitHub), но, к сожалению, EncFSMP не совместим с iOS.

Odrive

Скрыто от гостей

Является, как настольным, так и веб-инструментом, который позволяет связать все ваши учетные записи облачного хранилища. Вы можете разместить зашифрованную папку в любом месте, как, например, в ваших каталогах Google Диска или Dropbox. Любые файлы, помещенные в эти папки, автоматически зашифровываются с помощью хэшей SHA256.

Файлы шифруются только в облачном хранилище, а не на локальном компьютере. Это означает, что они не защищены на вашем жестком диске.

Odrive также может похвастаться функциями синхронизации и совместного использования, которые позволяют облачным файлам использоваться как локальные файлы.

Odrive использует политику шифрования «нулевого знания» (“zero knowledge”), то есть компания не знает или не хранит ваш ключ шифрования. Только пользователь может расшифровать свои файлы.

Бесплатно Odrive доступен в Windows, Mac и Linux.

Cloudfogger (Поддержка данного инструмента прекращена)

Обновлено: Поддержка Cloudfogger была прекращена.

Cloudfogger позволяет вам выбирать существующие папки для шифрования, вместо создания и шифрования новых. Это часто довольно удобно, особенно для тех, у кого есть много файлов, которые необходимо зашифровать, но они не хотят их перемещать. Это также полезно, если вы хотите зашифровать всё в папке синхронизации Dropbox или Google Диска.

Cloudfogger обещает, что вы можете получить доступ к своим файлам в локальной системе, как обычно, без необходимости вручную расшифровывать их. Он может похвастаться несколькими функциями обмена, включая электронную почту и USB.

Cloudfogger доступен бесплатно для Windows, Mac, iOS и Android.

Viivo (Поддержка данного инструмента прекращена)

Обновлено: PKWARE, родительская компания Viivo, заявла, что проект Viivo будет закрыт 1 Июня 2018 года.

Viivo создает две папки на вашем компьютере. Первая - это просто обычная папка, хранящаяся локально, где вы размещаете файлы. Вторая папка делает копию всего содержимого первой папки и шифрует его. Вторая папка - это та, которую вы будете загружать в облако. Например, её можно поместить в папку Dropbox или Google Диска. Это позволяет вам легко просматривать, создавать и редактировать файлы с использованием локальных незашифрованных версий и обновлять онлайн-зашифрованные версии без необходимости расшифровывать файлы каждый раз, когда они вам понадобятся.

Viivo требует регистрации через свое настольное приложение с использованием действительного адреса электронной почты. Он использует 256-битный стандарт шифрования AES. Viivo также сжимает файлы для экономии места и пропускной способности.

Viivo доступен бесплатно для Windows, Mac, iOS и Android.

Зашифруйте данные перед их загрузкой в облако

Когда вы загружаете данные в облачные хранилища - фотографии, документы, коммерческие тайны, данные военной разведки и т. д. - вы, вероятно, испытываете определенное ожидание относительно предоставления конфиденциальности. Это является вполне очевидным фактом, что другие люди не должны видеть вашу информацию, даже если она хранится на общем облачном сервере. К сожалению не все провайдеры облачных хранилищ могут гарантировать вам это важное требование.

Если вы хотите взять вопрос о конфиденциальности в свои руки, зашифруйте свои файлы одним из перечисленных выше приложений перед загрузкой их на Google Диск, OneDrive, Dropbox или Box.

Приложение Viivo доступно бесплатно для Windows, Mac, iOS и Android.

В последнее время пользователи становятся всё мобильнее, услуги фрилансеров – востребованней, а компании переходят на удаленные рабочие места. В этих условиях становится как никогда важной доступность данных когда угодно, где угодно и с любого устройства (как стационарного, так и мобильного). Вместе с тем растет спрос на облачные сервисы хранения данных, как со стороны отдельных пользователей, так и компаний.

Использование облачных хранилищ позволяет публиковать свои файлы, редактировать их и делиться ими с друзьями и коллегами. С помощью сервисов облачных хранилищ можно не только хранить сами файлы, но и историю их изменений, а также синхронизировать данные на своих устройствах.

На фоне растущего интереса к облачным хранилищам возникает и потребность в защите данных, хранящихся в облаках. Некоторые провайдеры облачных сервисов предоставляют возможность резервирования и шифрования данных, но существуют и различные самостоятельные сервисы, обеспечивающие защиту данных при их размещении в облачном хранилище. Как раз об одном из таких сервисов, поддерживающем большинство провайдеров облачных хранилищ, - сервисе Boxcryptor - мы расскажем в этой статье. Данный сервис реализован немецкой компанией Secomba GmbH (Werner-von-Siemens-Str. 6, 86159 Augsburg).

Системные требования Boxcryptor

Сервис Boxcryptor представлен производителем в следующих форматах:

• Плагин для браузера Google Chrome.
• Портативная (portable) версия.
• Версия, требующая локальной установки.

В статье рассматривается версия, требующая локальной установки. Сервис поддерживает развертывание на следующих платформах:

• Windows XP SP3 и выше (при наличии.NET Framework 4.0).
• macOS X 10.7.5 и выше.
• iOS 7 и выше (iPhone/iPad/iPod).
• Android 4.0.3 и выше.
• Windows Phone.
• Windows RT.
• Blackberry 10.

Для взаимодействия локальной версии сервиса с облачными хранилищами необходимо наличие:

• Учетных записей пользователя для облачных хранилищ, в которых планируется держать зашифрованные версии файлов.
• Свободного места на локальном хранилище в объеме, соответствующем объему файлов, размещенных в облачном хранилище и подлежащих шифрованию. В целом, свободное место на локальном диске должно быть сопоставимо объему места, предоставляемому облачными хранилищами, например:
• Яндекс.Диск предоставляет 10GB;
• Dropbox - 2GB;
• Google Drive - 15GB;
• Box - 10GB;
• OneDrive - 15GB;
• Amazon S3 - 5GB;
• CloudMe - 3GB;
• iCloud Drive - 5GB;
• Telekom - 25GB и т. д.

Функциональные возможности

Состав доступных функциональных возможностей сервиса зависит от типа приобретаемой подписки (лицензии).

Таблица 1 . Функциональные возможности Boxcryptor в зависимости от типа подписки

Стоимость подписки на Boxcryptor

Стоимость подписки на Boxcryptor следующая:

• Free - бесплатно.
• Unlimited Personal - 36 € ($ 48) в год.
• Unlimited Business - 72 € ($ 96) в год.
• Company Package:
• 8 € за одного пользователя в месяц - при приобретении на 1 год.
• 6,4 € за одного пользователя в месяц - при приобретении на 3 года.

На полную подписку для личного использования (Unlimited Personal) производитель предоставляет скидку для студентов в размере 25%.

Подписки «Free», «Unlimited Personal» и «Unlimited Business» предназначены только для 1 пользователя:

• Free и Unlimited Personal - применение только для личных целей (защита личной информации) только одним пользователем. Данные подписки предназначены для отдельных физических лиц;
• Unlimited Business - применение не только для защиты личной, но и корпоративной информации, но опять же только одним пользователем. Данная подписка ориентирована, как правило, для сотрудников юридического лица или для индивидуальных предпринимателей. Только с учетом того, что для каждого сотрудника своя подписка (лицензия).

В отличии от персональных подписок, подписка «Company Package» позволяет для одной лицензии добавлять неограниченное число пользователей.

Работа с Boxcryptor

Установка десктопной версии сервиса Boxcryptor

Сервис довольно прост в использовании, особенно это касается ограниченного состава функций, предоставляемых в рамках подписки типов Free и Unlimited Personal. Хотя именно эти два типа могут быть наиболее востребованы у российских пользователей. Чтобы воспользоваться предлагаемыми функциями, необходимо скачать с сайта производителя дистрибутив для соответствующей платформы .

В рамках этой статьи рассмотрена работа сервиса на примере дистрибутива для самых распространенных у российского пользователя платформ: Microsoft Windows и Android. На момент подготовки материала на сайте производителя для операционной системы Microsoft Windows доступна версия Boxcryptor 2.3, а для Android - версия 2.1 (а также Beta версия 2.49.559). Для других платформ состав функций аналогичен - подробное описание функций сервиса для каждой платформы приведено производителем на своем сайте в соответствующих руководствах пользователя .

При установке продукта предлагается ознакомиться и принять «Лицензионное соглашение», заключаемое между производителем Secomba GmbH и конечным пользователем, а также «Политику защиты данных».

После установки и запуска потребуется пройти аутентификацию, при наличии учетной записи Boxcryptor, или создать такую учетную запись.

Рисунок 1 . Регистрация в десктопной версии Boxcryptor на Windows

При создании учетной записи (профиля) выводится уведомление о том, что вам необходимо запомнить пароль, в противном случае будет утрачен доступ ко всем зашифрованным файлам. Только согласившись с этим и приняв на себя ответственность о сохранении пароля, можно продолжить регистрацию.

Здесь же в рамках создания профиля потребуется определиться с типом подписки (лицензии).

Рисунок 2 . Выбор типа подписки в десктопной версии Boxcryptor на Windows

Выбирать приходится только из трех типов, четвертый и самый полный тип подписки Company Package доступен для выбора только на сайте (где также происходит и заполнение профиля для этого типа). Производители предлагают в отношении подписок типа «Company Package» и «Unlimited Business» следующие пробные периоды:

• Company Package – пробный период в 30 дней для ознакомления с функциональными возможностями.
• Unlimited Business – бесплатное тестирование в течении 1 недели.

Активация данных возможностей доступна только через веб-интерфейс из учетной записи Boxcryptor.

При выборе подписки типов Unlimited Personal или Unlimited Business запустится браузер, и в нем откроется страница оплаты.

После того как все процедуры выбора и оплаты выполнены, запускается сам сервис.

В версии, установленной на смартфоне с операционной системой Android, также необходимо будет пройти аутентификацию.

Рисунок 3 . Аутентификация в Boxcryptor на Android

При первом запуске:

• В правом нижнем углу экрана в области уведомлений появляется соответствующая иконка.
• Открывается «Учебник» по работе с сервисом.
• Сервис автоматически осуществляет поиск облачных хранилищ, связанных с устройством, и в случае их отсутствия открывается окно с настройками.
• В «Проводнике» появляется созданный виртуальный диск, используемый для шифрования файлов и синхронизации с облачными хранилищами.

Рисунок 4 . Первый запуск десктопной версии Boxcryptor на Windows

Если в Windows уже подключено какое-либо облачное хранилище, то оно появится в «Проводнике» Boxcryptor в области виртуального диска.

Рисунок 5 . Содержимое виртуального диска Boxcryptor в десктопной версии на Windows

Дальнейшая работа по шифрованию и расшифрованию файлов (каталогов) осуществляется в рамках этого виртуального диска Boxryptor с сопоставленными ему облачными хранилищами (например, Dropbox).

Первый запуск на устройстве c операционной системой Android также потребует определить облачное хранилище, сопоставляемое Boxcryptor.

Рисунок 6 . Первый запуск Boxcryptor на Android и определение облачного хранилища

Настройка Boxcryptor

Чтобы выполнить настройку параметров сервиса, необходимо выбрать соответствующий пункт («Настройки») в контекстном меню, вызываемом на иконке в области уведомлений (см. рисунок 4). Все основные и расширенные настройки выполняются в рамках соответствующих вкладок окна «Настройки Boxcryptor».

Рисунок 7 . Настройки десктопной версии Boxcryptor на Windows

Определение локальных каталогов, которые используются для хранения важной информации, подлежащей шифрованию с помощью Boxcryptor, выполняется нажатием «Добавить» на вкладке «Расположения» и последующего выбора интересующего каталога.

Чтобы привязать облачное хранилище, указанное на вкладке «Расположение», к Boxcryptor, достаточно нажать на слово «Ссылка» и заполнить соответствующие конфигурационные формы.

Рисунок 8 . Привязка облачного хранилища в десктопной версии Boxcryptor на Windows

В результате добавления локального каталога и привязки облачного хранилища соответствующие локации появятся в перечне.

Рисунок 9 . Каталог и облачное хранилище, подключенные в десктопной версии Boxcryptor на Windows

Параметры учетной записи, за которой закреплена подписка на сервис, могут быть скорректированы на вкладке «Профиль». Параметры, редактирование которых возможно («Имя», «Фамилия», «Email» и «Пароль»), отмечены символом. Кроме того, эта вкладка предоставляет:

• Сведения о типе подписки.
• Возможность генерации мастер-ключа, необходимого для восстановления доступа к зашифрованным данным компании в случае, например, увольнения сотрудника, ответственного за эти данные. Эта возможность доступна только для подписки Company Package.
• Возможность экспорта ключей для обеспечения работы с сервисом при отсутствии сетевого окружения (в офлайн-режиме).

Рисунок 10 . Конфигурационные параметры учетной записи в десктопной версии Boxcryptor на Windows

Для того чтобы предоставить доступ к зашифрованному файлу, хранящемуся в облаке, например, коллегам по работе, потребуется сформировать группу и добавить их в эту группу. Однако есть один нюанс: добавлять в группы можно только тех, кто также является пользователем Boxcryptor (с таким же типом подписки). В рамках этих настроек можно:

• Добавлять и исключать участников группы.
• Покидать группу.
• Переназначать (отзывать) полномочия владельца группы участнику группы (выбрав участника и вызвав на нем контекстное меню).

Рисунок 11 . Создание группы в десктопной версии Boxcryptor на Windows

Более точная настройка может быть выполнена с помощью конфигурационных параметров, вкладки «Дополнительно». Основной набор параметров позволяет скорректировать наименование созданного сервисом виртуального диска Boxcryptor и соответствующую ему букву, а также настроить возможность одновременного запуска сервиса с операционной системой, проверку обновлений и шифрование имен файлов. Активировать шифрование имен файлов сами производители рекомендуют только в том случае, когда в этом действительно есть необходимость, так как этот вид шифрования влияет на производительность системы (особенно при большом количестве файлов). Для возможности более тонкой настройки потребуется выбрать пункт «Больше настроек».

Рисунок 12 . Расширенные настройки десктопной версии Boxcryptor на Windows

В составе расширенных настроек могут быть включены/выключены следующие параметры:

• «Включить использование корзины» - отвечает за удаление файлов и каталогов в корзину, откуда они могут быть восстановлены.
• «Подключать как жесткий диск» - Boxcryptor при установке создает виртуальный диск для шифрования файлов и каталогов, а эта опция позволяет придать диску статус физического с точки зрения системы.
• «Подключать для всех пользователей» - отвечает за доступность/недоступность диска Boxcryptor всем пользователям, чьи учетные записи присутствуют на рабочем месте, где развернут сервис.
• «Включить поддержку длинных путей» - позволяет снять/установить ограничение длины пути до файла в 256 символов. Однако это может вызвать проблемы в рамках систем, не поддерживающих большую длину.
• «Подключать в Менеджере Томов Windows» - позволяет добавить виртуальный диск Boxcryptor к Менеджеру Томов Windows.
• «Не показывать файлы и папки, начинающиеся с точки» - позволяет исключить/включить из состава видимых файлов те, которые начинаются с точки. Такие файлы формируются, как правило, сервисами облачных хранилищ, и их случайное шифрование может привести к непоправимым последствиям.
• «Скрывать файлы и папки, если их имена невозможно расшифровать» - эта опция позволяет скрыть те файлы с зашифрованными именами, в отношении которых у пользователя нет прав на их расшифровку.
• «Не показывать предупреждения OneDrive» - позволяет исключить предупреждения, формируемые при работе с сервисами облачного хранилища OneDrive, так как в этом облачном хранилище есть возможность сохранения файлов в облаке без синхронизации с локальным носителем, а Boxcryptor шифрует файлы только локально.
• «Автоматически определять съемные диски» - позволяет определять подключаемые съемные носители информации в качестве локаций, присоединяемых к Boxcryptor.
• «Автоматически определять сетевые диски» - позволяет определять сетевые диски в качестве локаций, присоединяемых к Boxcryptor.

Boxcryptor на Android обладает более скромным составом конфигурационных параметров. Автоматически активированными являются: шифрование имен файлов, обнуление настроек сервиса после трех неудачных попыток аутентификации, а также предварительный просмотр файлов. Интересной функцией является «Установить защиту PIN-кодом» - она позволяет защитить сервис от несанкционированного доступа и будет требовать ввода PIN-кода, если вызвать сервис в момент его работы в фоновом режиме.

Рисунок 13 . Состав настроек Boxcryptor на Android

Настроив сервис с учетом собственных потребностей, можно приступать к его использованию непосредственно с целью шифрования и расшифрования.

Шифрование и расшифрование файлов и каталогов в Boxcryptor

Общий принцип шифрования, реализованный в этом сервисе, напоминает сказку про Кощея Бессмертного: смерть Кощея в игле, игла в яйце, яйцо в утке, утка в зайце и так далее. В этом сервисе в качестве таких компонентов выступает несколько криптографических ключей, каждый из которых закрывается (шифруется) следующим в цепочке алгоритмических действий шифрования. В целом можно выделить несколько используемых криптографических сущностей (ключи/пароли):

• Пароль.
• Ключ AES.
• Пара ключей RSA:
• Открытый ключ.
• Закрытый ключ.

И уже в зависимости от инициатора криптографических преобразований ключи AES и RSA определяются для:

• Пользователя.
• Компании (Группы пользователей).

Ключи формируются непосредственно на устройстве пользователя при создании учетной записи пользователя или компании (группы пользователей). На сервер Boxcryptor отправляются все ключи, кроме пароля пользователя, но все они передаются зашифрованными (за исключением открытого ключа RSA).

Рисунок 14 . Общий принцип шифрования файлов, реализованный в Boxcryptor

Все операции по шифрованию/расшифрованию файлов осуществляются только локально на компьютерах пользователей, и уже потом выполняется синхронизация с облачным хранилищем. Процедура шифрования файла заключается в:

• Формировании индивидуального ключа для файла (ключ AES).
• Шифровании файла на этом ключе.
• Шифровании ключа файла на открытом ключе RSA пользователя. Скольким пользователям будет предоставлен доступ к файлу, столько раз и выполняется эта операция, чтобы сформировать для каждого пользователя свой «секрет».
• Добавлении зашифрованных ключей файла для каждого пользователя в конец зашифрованного содержимого файла - так получается зашифрованный файл.
• Шифровании закрытых ключей RSA пользователя на основании пароля пользователя.
• Сохранении всех секретов на сервере Boxcryptor.

Расшифрование файла осуществляется в обратной последовательности, только вместо открытого ключа RSA используется закрытый. Однако все эти преобразования скрыты от глаз пользователя.

Данный сервис подкупает простотой его использования для шифрования и расшифрования. Все операции выполняются в один клик. Необходимо с помощью «Проводника» в рамках виртуального диска Boxcryptor выбрать файл, размещенный в облачном хранилище, вызвать на его наименовании контекстное меню и нажать «шифровать» или «расшифровать» (в зависимости от целей). В случае шифрования около имени файла появляется зеленый квадрат с замком, обозначающий факт выполнения шифрования.

Рисунок 15 . Шифрование файла в десктопной версии Boxcryptor на Windows

Непосредственно в самом облачном хранилище файл будет переименован посредством добавления к нему расширения «.bc». Меняется и внешний вид его отображения в облачном хранилище, чтобы увидеть это, достаточно вызвать на зашифрованном файле контекстное меню и выбрать пункт «Показать исходник в Dropbox». При открытии зашифрованного файла непосредственно в облаке появится сообщение о необходимости его преобразования и выборе кодировки. Фрагмент такого сообщения показан на рисунке ниже.

Рисунок 16 . Отображение зашифрованного файла в десктопной версии Boxcryptor на Windows и DropBox

Аналогичным образом осуществляется шифрование каталогов. При шифровании каталога к его наименованию добавляется суффикс «_encrypted», и на обозначении каталога в «Проводнике» появляется зеленый квадрат с замком.

Еще один способ шифрования файла - это его перемещение/копирование в ранее зашифрованный каталог. Таким образом, он автоматически шифруется.

Рисунок 17 . Автоматическое шифрование файла в десктопной версии Boxcryptor на Windows

Как уже упоминалось ранее, этот сервис может осуществлять шифрование не только для облачных хранилищ, но и для защиты локально размещенных файлов. Действия аналогичны. Зашифрованные и исходные файлы хранятся в облачных хранилищах, локально на устройстве пользователя (при защите локально размещенных файлов) и в виртуальном диске Boxcryptor. На сервер Boxcryptor файлы не попадают ни в каком виде. Открыть зашифрованный файл в читабельном виде можно только в рамках виртуального диска Boxcryptor или после его копирования с этого диска. В исходном же местоположении зашифрованный файл будет открываться в нечитаемом виде с выводом соответствующих уведомлений (сообщение о необходимости его преобразования и выборе кодировки).

В случае отсутствия сетевого окружения файлы могут быть зашифрованы в рамках виртуального диска Boxcryptor, и на их изображении будет отображаться значок синхронизации «», а при появлении сети будет выполнена синхронизация с облачными хранилищами.

Расшифрование осуществляется посредством выбора пункта «Расшифровать» и приводит к получению исходного файла. Если расшифрование применяется к каталогу, то автоматически расшифровываются все файлы, содержащиеся в нем.

Рисунок 18 . Расшифрование файла в десктопной версии Boxcryptor на Windows

При использовании сервиса на устройствах с операционной системой Android шифрование выполняется тоже довольно просто. Необходимо в рамках сервиса перейти в интересующий каталог облачного хранилища и с помощью кнопки «» выбрать файл на устройстве для его загрузки в облако. Как раз в момент загрузки сервис выдаст сообщение о необходимости определиться - должно ли быть выполнено шифрование.

Рисунок 19 . Шифрование файла в Boxcryptor на Android

Управление правами доступа к зашифрованному файлу/каталогу в Boxcryptor

Предоставление доступа к зашифрованному каталогу осуществляется через контекстное меню, вызываемое на зашифрованном файле. Доступ можно предоставить группе пользователей (добавленной на стадии настройки сервиса) или отдельному пользователю (указывая адрес его электронной почты). Опять же есть нюанс - доступ можно предоставить только тем, кто является пользователем Boxcryptor, и предоставить его может, соответственно, тот, кто обладает необходимыми правами.

Рисунок 20 . Управление правами доступа к зашифрованному объекту в десктопной версии Boxcryptor на Windows

При регистрации в операционной системе с другой учетной записью доступ к виртуальному диску Boxcryptor будет ограничен. Соответственно, другой пользователь, при отсутствии у него необходимых полномочий, в том числе и установленных при настройке сервиса (параметр «Подключать для всех пользователей» - см. рисунок 12), не то что не сможет использовать файлы, размещенные в рамках виртуального диска, он просто не увидит такого ресурса. Фактически именно на этом диске файлы шифруются для последующего их размещения в исходные хранилища (а на самом виртуальном диске они хранятся в открытом виде).

Предоставление зашифрованного файла лицу, не являющемуся пользователем Boxcryptor

Если необходимо передать зашифрованный файл лицу, не являющемуся пользователем Boxcryptor, это можно сделать благодаря наличию интеграции продукта с сервисом Whisply. Реализовать такую передачу можно воспользовавшись соответствующим пунктом контекстного меню, вызываемого на зашифрованном файле в «Проводнике».

Рисунок 21 . Безопасная передача файла, зашифрованного в десктопной версии Boxcryptor на Windows, через сервис Whisply

После чего в браузере откроется страница сервиса Whisply, связанная с передачей файла. Для завершения передачи необходимо будет пройти следующие шаги:

1. Удостовериться в правильности передаваемого файла.
2. Определить параметры доступа к файлу: время, по истечении которого файл станет никому не доступен; возможность осуществления получателем скачивания файла только один раз или многократно.
3. Установить пароль.
4. Отправить ссылку на скачивание (включая способ отправки: на адрес электронной почты, SMS-сообщением или скопировав в буфер обмена для последующего представления адресату).
5. Отправить пароль (по аналогии с отправкой ссылки на скачивание).

Рисунок 22 . Работа с сервисом Whisply по передаче файла, зашифрованного в Boxcryptor

В результате выполнения этих шагов адресат получит зашифрованный файл с возможностью его чтения. Кроме того, при изменении зашифрованного файла в облаке у адресата будет возможность по этой же ссылке получить самую актуальную версию файла, но только в течение срока действия ссылки.

Шифрование имен файлов в Boxcryptor

Шифрование имен файлов, так же, как и шифрование/расшифрование файла, осуществляется через контекстное меню. В результате шифрования имени - имя файла в облачном хранилище будет представлено совокупностью иероглифов (за исключением расширения «.bc»).

Рисунок 23 . Шифрование имени файла в десктопной версии Boxcryptor на Windows

Вернуть нормальное имя файла можно с помощью отмены шифрования имени через контекстное меню.

Мастер-ключ пользователя Boxcryptor

Эта функция позволяет получить зашифрованные файлы компании, если пользователь забыл пароль или уволился, не передав свои полномочия другим пользователям. Чтобы сгенерировать такой ключ, необходимо перейти на вкладку «Профиль» в настройках Boxcryptor и в строке «Мастер-ключ» нажать «Сгенерировать». В появившемся окне необходимо ввести пароли для нового ключа и сгенерировать сам ключ. После генерации сформированный ключ необходимо внести через веб-интерфейс в соответствующую политику.

Рисунок 24 . Генерация мастер-ключа пользователя в десктопной версии Boxcryptor на Windows

При появлении потребности использования мастер-ключа его необходимо просто разблокировать, введя соответствующий пароль на вкладке «Профиль» в настройках сервиса. Это позволит ответственному лицу получить доступ ко всем зашифрованным файлам всех пользователей компании.

Выводы

Мы рассмотрели основные функции сервиса Boxcryptor, предназначенного для защиты данных отдельных пользователей и компаний в целом при их размещении в облачных хранилищах. Для отдельных пользователей предлагается три вида подписки:

• бесплатная – Free – с ограниченным функционалом;
• платная – Unlimited Personal – расширенный по сравнению с Free состав функций;
• платная – Unlimited Business – наиболее полный состав функций, предназначена для защиты не только личной, но и бизнес информации отдельных сотрудников, небольших компаний и частных предпринимателей.

Компаниям предложен отдельный вид подписки, являющийся самым полным и представляющим собой самостоятельный бизнес-пакет - Company Package.

Отличительной особенностью Company Package является наличие функций, ориентированных именно на компании, например:

• Формирование мастер-ключа пользователя и сброс паролей пользователей, обеспечивающие возможность расшифровки файлов компании в случае утраты паролей, с помощью которых было выполнено шифрование.
• Поддержка Active Directory, позволяющая синхронизировать учетные записи пользователей Boxcryptor c учетными записями пользователей из Active Directory компании, что позволяет немного облегчить жизнь системному администратору.
• Управление пользователями и устройствами, способствующее централизованному управлению всеми пользователями компании и конфигурационными параметрами сервиса на корпоративных устройствах.
• Возможность проведения аудита (мониторинга), способствующего обнаружению нехарактерного поведения пользователя.
• Двухфакторная аутентификация, обеспечивающая аутентификацию пользователей посредством применения решения компании Duo Security.

Основными достоинствами сервиса являются:

• Разнообразие поддерживаемых платформ: Windows XP SP3 и выше, macOS X 10.7.5 и выше, iOS 7 и выше (iPhone/iPad/iPod), Android 4.0.3 и выше, Windows Phone, Windows RT, Blackberry 10.
• Наличие portable-версии (для платформ Windows, macOS, Linux).
• Большое количество поддерживаемых сервисов облачных хранилищ: Яндекс.Диск, Dropbox, Google Drive, Box, OneDrive, Amazon Cloud Drive, Amazon S3, CloudMe, Cloudwatt, Cubby, Egnyte, GMX, iCloud Drive, livedrive, Orange, SDS, SpiderOak, storegate, Strato HiDrive, SygarSync, Telekom, WEB.de.
• Выполнение шифрования/расшифрования файлов локального хранилища (Local Storage).
• Интуитивно понятный интерфейс.
• Наличие бесплатной подписки.
• Использование надежных и проверенных временем алгоритмов шифрования - RSA и AES.
• Возможность работы в офлайн-режиме и последующей синхронизации с облачным хранилищем.
• Выполнение шифрования/расшифрования в один клик мышки.
• Выполнение шифрования/расшифрования «на лету».
• «Автоматическое шифрование» файлов при их размещении в шифрованном каталоге.
• Возможность безопасного предоставления доступа к файлу.
• Восстановление доступа к зашифрованным файлам компании с помощью мастер-ключа.
• Наличие расширения для браузера Chrome.
• Защита от несанкционированного доступа. При запуске сервиса требуется ввод пароля от учетной записи пользователя Boxcryptor. Доступ к сервису может быть ограничен учетной записью пользователя операционной системы.
• Техническая поддержка от производителя для пользователей платных типов подписки.

К минусам сервиса можно отнести:

• Минимальный набор функционала в бесплатной подписке.
• Снижение производительности системы при использовании шифрования имен файлов (особенно в случае большого количества файлов).
• Отсутствие в составе поддерживаемых провайдеров облачных хранилищ одного из наиболее распространенных в России - Mail.ru. Однако производители предлагают связаться с ними, если в списке поддерживаемых провайдеров вы не обнаружили нужного, - они проведут проверку.
• Невозможность выполнения отдельных операций непосредственно в локально установленной версии сервиса (требуется применение веб-интерфейса), например:
• Выбрать тип подписки Company Package и активировать пробный период в 30 дней.
• Добавить политику, связанную со сгенерированным мастер-ключом.
• Отсутствие автоматического подключения облачных хранилищ, ассоциированных с учетной записью пользователя Boxcryptor, при его запуске на мобильных устройствах с той же учетной записью. Т. е. на новых устройствах, где устанавливается Boxcryptor, провайдеры сервисов облачных хранилищ должны быть обнаружены и добавлены автоматически, но на мобильных устройствах их приходится добавлять вручную.

Пользователи Dropbox сохраняют миллион файлов каждые 5 минут. Всего сервисом пользуются 25 миллионов человек. При этом создатели не гарантируют неприкосновенность твоих данных, а система аутентификации уже давала сбой.

Предыстория

Девятнадцатого июня Dropbox устроил своеобразный «день открытых дверей». В течение 4 часов кто угодно мог зайти в чужой аккаунт с помощью произвольного пароля. Создатели сервиса, возможно, даже и не заметили бы проблемы, если бы информацию об уязвимости не опубликовал независимый security-исследователь (pastebin.com/yBKwDY6T). За последнее время это уже не первая щекотливая история, связанная с безопасностью файлов, которые пользователи со всего мира так охотно доверяют облачному хранилищу Dropbox.

Тут надо напомнить, что с самого начала существования сервиса разработчики заверяли пользователей, что ответственно подходят к безопасности данных. Так, все файлы во время синхронизации передаются исключительно по защищенному SSL-соединению, а хранятся на сервере в зашифрованном виде (AES-256). Изменив недавно пользовательское соглашение, те же самые люди недвусмысленно дали понять, что лишь ограничивают доступ к файлам для своих сотрудников, но при появлении необходимости, в том числе по запросу правоохранительных органов, Dropbox непременно предоставит доступ к аккаунту любого юзера. Вот такое шифрование.

Я не параноик и скрывать мне, в общем-то, нечего, но открывать кому-либо свои личные файлы мне совершенно не хочется. К тому же я всегда был не в восторге от того, что данные в открытом виде лежат на каждом компьютере, который засинхронизирован с моим аккаунтом Dropbox. Самое время все это безобразие поправить.

Поднимаем EncFS

Справедливости ради стоит сказать, что у сервиса есть официальный wiki (wiki.dropbox.com), где приведены конкретные советы по тюнингу безопасности. Железобетонная правда заключается в том, что данные необходимо шифровать на локальной машине, а в облако их передавать уже в закриптованном виде. В частности, предлагается разместить в папке Dropbox’а контейнер TrueCrypt или FreeOTFE и уже внутри него хранить все конфиденциальные документы. Метод действенный - не поспоришь: даже если аккаунт будет скомпрометирован, злоумышленник не сможет расшифровать данные. И все бы было хорошо, если не одно «но». При таком подходе можно забыть о рациональной синхронизации файлов: при изменении любого документа будет синхронизироваться весь криптоконтейнер целиком, какого бы размера он ни был (например, 1 Гб). К тому же, в этом случае теряется важная опция Dropbox’а, позволяющая откатить любые изменения и вернуться к произвольной версии файла.

К счастью, более изящное решение предлагается все в том же wiki - использовать file-by-file-шифрование, то есть применять криптографию для каждого из файлов в отдельности. Для этого идеально подходит EncFS, вирту альная криптографическая файловая система. При монтировании EncFS указывается директория-источник (исходная директория с зашифрованными файлами, которая может располагаться в Dropbox’е) и точка монтирования. После монтирования каждому файлу в директории-точке монтирования соответствует определенный файл из зашифрованной директории. Таким образом, ты работаешь с файлами в открытом виде, а EncFS прозрачно размещает их зашифрованные версии внутри Dropbox’а. Поскольку каждый файл криптуется в отдельности, Dropbox может синхронизировать изменения инкрементально для каждого из них. Это очень добротная технология, которая давно используется под Linux’ом и основана на технологии FUSE (Filesystem in Userspace), позволяющей программистам создавать виртуальные файловые системы. Несмотря на свои корни, ее сейчас можно успешно использовать как под Mac OS X, так и Windows. Начнем с последней.

Windows

После неприятной истории с системой авторизации Dropbox предприимчивые немецкие ребята оперативно зарелизили утилиту BoxCryptor (www.boxcryptor.com), которая создает в системе виртуальный криптографический диск. Каждый помещенный на него файл автоматически шифруется с использованием стандарта AES-256.

Физически зашифрованные данные размещаются в произвольной директории, например, в папке Dropbox, в то время как на виртуальном диске они находятся в открытом виде, и к ним без проблем можно обратиться из любого приложения. Разработчики поступили очень мудро и не стали изобретать велосипед, а просто реализовали основные возможности EncFS для использования под Windows. И пусть BoxCryptor поддерживает пока не все возможности технологии, но этого вполне достаточно для надежной защиты данных.

Приложение после установки автоматически определяет папку, используемую Dropbox’ом, и предлагает разместить в ней директорию с зашифрованными файлами. Для шифрования данных тебе необходимо придумать парольную фразу, а также выбрать букву для диска, на котором будут располагаться файлы в открытом виде. Если ты не хочешь, чтобы данные без твоего ведома находились в открытом виде, пароль можно не сохранять и вводить его каждый раз, когда ты будешь монтировать диск. Поставив галку напротив «Advanced Mode», ты получишь доступ к некоторым тонким настройкам BoxCryptor. Это в частности может потребоваться, если есть необходимость использовать возможность Dropbox’а для отката к предыдущей версии файла.

Дело в том, что BoxCryptor по умолчанию шифрует и имена файлов, превращая их в абракадабру, тем самым мешая работе системы версионности, которая реализована в Dropbox. Поэтому если такая возможность тебе нужна, то шифрование имен файлов придется отключить.

С этого момента ты должен увидеть директорию BoxCryptor внутри своего Dropbox’а, а в системе должен появиться виртуальный диск (у меня - X:). Теперь у тебя в Dropbox’е есть папка, где ты можешь хранить конфиденциальные файлы. Тут важно запомнить два важных правила. Первое - никогда не сохраняй файлы напрямую в директорию BoxCryptor, это место, где данные хранятся в зашифрованном виде (и в таком же виде синхронизируются с облаком). Поэтому работать с документами надо через тот самый виртуальный диск. И второе - никогда не удаляй из папки BoxCryptor файл encfs6.xml. В нем находится важная для EncFS информация, которая необходима для того, чтобы дешифровать данные. В бесплатной версии программы можно создать логический раздел, объемом не более двух гигабайт, то есть ровно такого же раздела, сколько по умолчанию предоставляет Dropbox. На случай, если тебя это ограничение не устраивает, и деньги платить не хочется, есть открытая реализация EncFS для Windows - encfs4win (gitorious.org/encfs4win). В ней, само собой, никаких ограничений нет.

В основе, как и в случае с BoxCryptor, лежит библиотека Dokan (dokandev.net), которая является аналогом FUSE под Windows и необходима для монтирования в системе сторонних файловых систем.

Linux

Во многих дистрибутивах Linux все необходимое для использования EncFS встроено по умолчанию, но это не всегда упрощает задачу. Важно использовать самую свежую версию разработки (>= 1.7), в которой был исправлен ряд ошибок. А во многих дистрибутивах, к сожалению, поставляется более старый релиз (чаще всего 1.6). Это, к примеру, касается Ubuntu 10.10, которая установлена у меня на одном из ноутбуков. Большой проблемы здесь нет. Нужно лишь установить новую версию EncFS и для удобства работы с ней еще GUI-утилиту Cryptkeeper:

sudo apt-get install encfs cryptkeeper

После окончания установки мы можем запустить Cryptkeeper через меню «Applications - System Tools - Cryptkeeper» и импортировать зашифрованную директорию:

1. В области уведомлений выбираем «Cryptkeeper - Import EncFS folder».
2. Далее указываем директорию, где находятся зашифрованные файлы (то есть папку BoxCryptor’а).
3. И определяем желаемую точку монтирования, через которую мы сможем обращаться к данным в открытом виде.

После этого в меню Cryptkeeper появится пункт для быстрого подключения тома EncFS: например, «Cryptkeeper > /home/step/Documents/Safe». После ввода пароля в системе появится необходимый нам том с расшифрованными файлами. Можно было обойтись и без всяких GUI-утилит, просто подключив EncFS-том в консоли:

encfs ~/Dropbox/BoxCryptor/ ~/BoxCryptor

Первый параметр указывает на расположение зашифрованного тома, а второй - на точку монтирования файлов в открытом виде.

Mac OS X

Установка EncFS под Mac OS X, пожалуй, сложнее всего реализуется из-за необходимости инсталлировать дополнительные инструменты. Но это все равно не займет много времени, а установленные инструменты все равно еще не раз пригодятся в работе. Главная загвоздка тут в том, что все распространяемые бинарники EncFS для макоси безнадежно устарели, поэтому нам придется все собирать вручную.

Порядок действий здесь такой:

1. Чтобы сразу обзавестись компилятором и другими необходимыми инструментами для сборки EncFS, лучше всего установить пакет разработчика. XCode(developer.apple.com). Идеально подойдет бесплатная 3-я версия.

2. Далее потребуется MacFUSE (code.google.com/p/macfuse), портированная под Mac OS X версия проекта FUSE, который в свою очередь использует EncFS. Просто запускаем загруженный MacFUSE.pkg, и установщик все сделает сам.

ruby -e "$(curl -fsSL https://raw.github.com/gist/323731)"

4. Вот теперь мы можем загрузить исходники EncFS и собрать их у себя на компьютере. Homebrew сделает все за нас, подгрузив все необходимые зависимости (не зря же мы его ставили):

brew install encfs

5. Все - EncFS в системе! Можно зайти в терминал и примонтировать к системе каталог BoxCryptor’а (чаще всего это ~/Dropbox/BoxCryptor) в ту папку, где будут располагаться файлы в открытом виде (скажем, ~/ Dropbox/BoxCryptor):

encfs ~/Dropbox/BoxCryptor ~/BoxCryptor

От работы в консоли избавит отличная GUI-утилита MacFusion (www.macfusionapp.org) с подключенным плагином для поддержки EncFS (thenakedman.wordpress.com/encfs).

Выбираем альтернативу

BoxCryptor и EncFS, в принципе, не единственная разработка, предлагающая дополнительный слой шифрования поверх Dropbox. Аналогичный функционал (с шифрованием по AES-256) предлагает также SecretSync (getsecretsync.com/ss). На официальном сайте проекта сейчас доступны версии для Windows и Linux, а релиз для OS X обещается в самом ближайшем будущем. Правда, написан клиент на Java, а я при всем своем уважении к этому языку программирования, очень не любою реализованные с его помощью десктопные приложения.

Так что можно сказать, что BoxCryptor повезло:). Попробуем теперь посмотреть на проблему с другой стороны. Раз сам сервис не выполняет те обязанности, которые мы от него ожидаем, то может быть его просто поменять на что-то другое? Задача, как ни крути, не уникальна - есть целый ряд проектов, предлагающих синхронизацию файлов между разными компьютерами и устройствами, но со значительно большим упором на безопасность данных.

Один из наиболее нашумевших из них - Wuala (www.wuala.com), который позиционируется создателями как «безопасное онлайнхранилище». Сервис в последнее время агрессивно развивается и предлагает практически все те же самые возможности, что есть у Dropbox’а. Уже сейчас доступны клиенты для Windows, Linux, Mac, а также iPhone и Android.

Для аутентификации Wuala использует стандарт RSA-2048, а для шифрования файлов - AES-128. Безопасность добавляет еще и распределенный подход сервиса к хранению ресурсов. Дело в том, что в основе сервиса лежит технология, снижающая затраты серверов благодаря использованию простаивающих ресурсов. Когда в хранилище добавляется новый файл, он шифруется и разбивается на большое количество фрагментов. Угадай, где размещаются эти фрагменты? В облаке и... компьютерах других пользователей. Да-да, сервис предлагает юзерам программу «торговли» своими мощностями. Все честно: если пользователь поделится частью своего диска с сетью Wuala, он получает дополнительное пространство в облаке (для этого необходимо, чтобы компьютер был включен не менее 4 часов в день).
Таким образом, жесткие диски Wuala-юзеров составляют распределенную сеть, которая используется сервисом для улучшения скорости загрузки файлов, доступности и сокращения своих расходов. Чтобы гарантировать, что данные никогда не будет утеряны, применяются алгоритмы коррекции ошибок и серьезная избыточность. На старте пользователю бесплатно выделяется 1 Гб, но он может прокачать аккаунт за счет реферальной программы, привлекая других людей (так же, как в Dropbox’е), а также «продажи» своего дискового пространства. По правде говоря, полностью перейти на Wuala я пока не решился.

Есть несколько мелочей, которые пока мешают это сделать. В моей папке Dropbox есть несколько общих папок, которые мы активно используем с другими сотрудниками для совместной работы над документами. Это значит, что перейти на Wuala придется всем.

Приложение для мобильного телефона, хотя и предоставляет доступ к файлам в облаке, но пока сильно ограничено в возможностях. А интерфейс для доступа к файлам через браузер реализован через тормозной Java-апплет. Поэтому связка Drobox+BoxCryptor - мой выбор на данный момент. Все работает, все привычно, все безопасно - короче говоря, мне нравится.

Доступ к шифрованным файлам через веб

При использовании BoxCryptor ты уже не сможешь просмотреть защищенные файлы через веб. Точнее говоря, скачать-то их можно, но только в зашифрованном виде. Выручить может Portable-версия BoxCryptor, которая поможет расшифровать загруженные из облака файлы. Правда, если ты не отключил шифрование имен файлов, то найти нужные документы может быть ой как непросто. Имей это в виду. Вообще Portable-версия BoxCryptor предназначена для использования в тех ситуациях, когда у пользователя ограничены права в системе. Она, к слову, отлично ладит с перемещаемой сборкой Dropbox’а - DropboxPortableAHK (dropportable.ho.am).

Хроника фейлов Dropbox

7 апреля - исследователь Дерек Ньютон рассказал в своем блоге (bit.ly/dropbox_fail) некоторые подробности об авторизации Dropbox. Оказалось, всю информацию для аутентификации программа хранит в файле config.db. Он находится в %APPDATA%Dropbox и представляет собой базу данных SQLite.

Среди многих других полей одно из них - host_id - наиболее интересное. Оно определяется клиентом после первой авторизации и не меняется со временем. И вот в чем засада. Его значение никак не привязано к системе. Скопировав config.db на другую машину, злоумышленник легко получает доступ к данным чужого аккаунта. Без уведомления пользователя! Более того, даже если юзер сменит логин и пароль, тоже ничего не изменится - host_id все равно останется валидным. На данный момент идентификатор привязывается к конкретному устройству и может быть отозван через веб-интерфейс.

19 апреля - Dropbox меняет пользовательское соглашение, напрямую заявляя, что при необходимости может расшифровать файлы пользователей и предоставить их для следствия по законам США.

26 апреля - на GitHub’е появляется открытый проект Dropship (github.com/driverdan/dropship), позволяющий быстро получить в своем аккаунте любой файл, который есть в облаке Dropbox. Все, что необходимо, - знать его хэш. С автором - Владимиром ван дер Лааном - тут же связался главный технический директор сервиса и вежливо попросил убрать исходники. Пользователи программы отреагировали созданием многочисленных зеркал проекта на github и на самом Dropbox. В течение короткого времени им также пришла просьба представителя Dropbox о немедленном удалении файлов проекта.

19 июня - в работу сервиса был запущен релиз с серьезной уязвимостью в системе авторизации. В результате любой пользователь мог зайти в чужой аккаунт, не зная пароля. Dropbox оправдывается, что за время, которое ушло на исправления уязвимости, вход осуществляли менее 1% пользователей.

Сервисы облачного хранения данных очень популярны благодаря повышенному уровню доступности наших файлов и документов. Но как мы можем усилить их конфиденциальность и безопасность?

1. Используйте настройки облака

Провайдеры облачных хранилищ предлагают отдельные настройки для обеспечения конфиденциальности пользовательских данных. Использование этих конфигураций наверняка улучшит общее состояние безопасности. Первым вашим шагом на пути к защите своих облачных данных должна быть защита самой учетной записи. Для начала, используйте надежный пароль для ваших учетных записей в онлайн-хранилищах. Затем активируйте ‘двухшаговую верификацию’ . Для более широкого понимания, двухшаговая верификация и двухфакторная аутентификация - это способ защиты процессов входа на сервис. Для этого используется мобильный телефон клиента в качестве второго требования для входа на сервис. При этом пользователю необходимо ввести специальный код безопасности вместе со своим именем пользователя и паролем при входе на необходимый веб-сайт. Этот специальный код безопасности предоставляется пользователю путем отсылки СМС на заранее указанный мобильный телефон . Код автоматически генерируется и отсылается при каждой попытке входа . Поэтому, даже если ваши имя пользователя и пароль скомпрометированы, у вас в руках все еще есть мобильный телефон. Таким образом, хакерам не удастся получить доступ к вашему облачному хранилищу, так как у них не будет кода безопасности, который отсылается на ваш мобильный телефон.

Таким же образом, облачные хранилища предлагают несколько параметров для обмена файлами . Используйте эти параметры перед тем, как разделять файлы с другими. Например, вы можете сделать файл общедоступным, а это значит, что доступ к такому файлу имеет каждый. Существуют также и другие параметры ограничения этого разрешения . Вы можете задать параметры доступа таким образом, что только тот человек может получить доступ к файлу, у которого есть ссылка на файл вместе с разрешением на чтение. Некоторые сервисы предлагают защитить файлы на облаке паролями таким образом, чтобы тем, кто хочет получить доступ к файлам, необходимо было ввести пароль. Узнайте больше о настройках своей учетной записи , чтобы затем умело использовать такие инструменты для защиты конфиденциальности и улучшения параметров безопасности.

2. Шифруйте файлы локально

В интернете существует огромное количество инструментов для шифрования . Выбирайте только надежные приложения, чтобы зашифровать свои файлы локально перед тем, как отправить их на облако. Это значит, что ключ шифрования/дешифровки облачных файлов будет находиться исключительно у вас. Поэтому, если вдруг третьему лицу достанутся ваши файлы, то оно не сможет их просмотреть, так как ключ дешифровки находится только у вас. Вот некоторые из таких инструментов для шифрования: AES Crypt , MEO Encryption Software и т. д.

Лично я воспользовался программным обеспечением для шифрования AES Crypt на своем ПК с Windows. Программа очень проста в использовании и работает довольно быстро. AES Crypt поддерживает 256-разрядное шифрование . Бесплатная программа доступна по этой официальной ссылке . Загрузка этой небольшой программы занимает несколько секунд. С сайта вы получите Zip-архив. После извлечения архива, вы найдете папку ‘AesCrypt’, в которой содержится установщик программного обеспечения. После установки программы AES Crypt, вы увидите специальный параметр в контекстном меню , с помощью которого вы можете быстро воспользоваться приложением.

В операционной системе Windows ярлыки AES Crypt на рабочем столе и в меню пуск отсутствуют. Вам необходимо пользоваться инструментом непосредственно из контекстного меню, либо воспользоваться командной строкой. Как пользоваться последней описано на веб-сайте приложения.

Приложение может шифровать только сжатые/архивированные папки. Это требование не касается единичных файлов. Чтобы зашифровать файл, нажмите правой кнопкой мыши на файле и выберите параметр ‘AES Crypt’ из контекстного меню. Предоставьте пароль дешифровки и нажмите на кнопку ‘OK’.

Процесс шифрования запускается мгновенно. Примите во внимание тот факт, что вы должны помнить пароль дешифровки , чтобы дешифровать/разблокировать файл. Если вы забудете пароль, вы не сможете получить доступ к такому файлу.

Если вы хотите дешифровать свой файл, щелкните дважды по нему (или нажмите на правую кнопку мыши и из контекстного меню выберите опцию ‘AES Decrypt’).

После этого появится миниатюрное окно, содержащее поле для ввода пароля.

В это поле необходимо ввести пароль именно для этого файла, а затем нажать на кнопку ‘OK’. Таким образом вы дешифруете свой файл и сможете его открыть.

3. Используйте специальные инструменты для шифрования облачных данных

Существуют выделенные и специальные инструменты для шифрования данных, хранящихся на таких облачных сервисах, как Google Drive, OneDrive, Dropbox и т. д. Сторонние приложения позволяют шифровать файлы локально , то есть до того, как они будут синхронизированы с облачным хранилищем. Это сэкономит вам время на шифрование и загрузку на облако каждого файла отдельно. Вот некоторые из таких инструментов: Boxcryptor , Cloudfogger , и т. д. Эти инструменты, например, ‘Boxcryptor’, создадут специальную папку на вашем компьютере, которая будет подсоединена к локальной папке облачного хранилища (например, Dropbox) на одном и том же устройстве. Таким образом, если вы, к примеру, используете Boxcryptor для Dropbox, вам просто необходимо перенести файлы в папку Boxcryptor. Приложение шифрует файлы и отправляет их в папку Dropbox для дальнейшей синхронизации с сервером. В конечном счете зашифрованные файлы оказываются на Dropbox. Если какой-либо из этих файлов нуждается в редактировании, сделайте это в папке Boxcryptor. В этом случае отредактированный файл будет синхронизирован автоматически . Вот и все!

Надеюсь, что эта статься помогла вам улучшить конфиденциальность и безопасность ваших облачных данных. Оставайтесь с нами, и вы получите еще больше интересных и продвинутых советов. Благодарю за внимание.