Cryptomator - jak szyfrować pliki do publicznej chmury?
Usługi chmurowe są szeroko znanym rozwiązaniem służącym do przechowywania i udostępniania danych. Część osób wykorzystuje dyski chmurowe w roli storage dla kopii zapasowych poszczególnych plików, ale też jako metodę na oszczędność zajętości lokalnych zasobów dyskowych, szczególnie w przypadku telefonów. Najbardziej popularne rozwiązania chmurowe są rozwijane przez ogromne przedsiębiorstwa IT – do dyspozycji jest m.in. Dysk Google, OneDrive, Dropbox, Box. Wszystkie z wymienionych oferują różne plany cenowe (w tym pełni bezpłatne), a różnice pomiędzy poszczególnymi dotyczą przede wszystkim limitu pojemności – przy czym planu bezpłatnego nie zawsze można obiektywnie określić jako znacznie ograniczonego – przykładem jest Dysk Google oferujący aż 15 GB pojemności w tej wersji. Nic więc dziwnego, iż „chmura” stała się codziennym elementem pracy, ale też rozrywki dla dużego grona osób.
Oprócz serwisów dostępnych publicznie można wykorzystać różne rozwiązania self-hosted. W tej kategorii na wyróżnienie zasługuje Nextcloud, który od dłuższego czasu jest także profesjonalnym narzędziem do pracy zespołowej. Prostota instalacji (również jako kontener Docker) i intuicyjna obsługa to jego główne zalety. Dla urządzeń NAS jest to wręcz standardowa usługa przeznaczona do użycia jako lokalna chmura na dane. Nextcloud może mieć szczególne zastosowanie w firmach, w których dane muszą być przechowywane wyłącznie w sieci wewnętrznej.
Zdecydowana większość usług chmurowych zapewnia szyfrowanie danych – podczas komunikacji sieciowej, gdy są przesyłane, ale też szyfrowanie „at rest”, co oznacza, iż dane magazynowane na dyskach znajdujących się pod kontrolą dostawcy (aczkolwiek nie każdy dostawca posiada własne data center, a jedynie korzysta z usług typu Amazon Web Services czy Azure – wtedy „kontrola” jest ograniczona) również są zaszyfrowane. Nie oznacza to niestety, iż chmura jest w pełni bezpieczna – nigdy nie ma gwarancji, iż dostawca nie padnie ofiarą ataku, a zastosowane szyfrowanie okaże się niewystarczające. Naruszenie może też wystąpić z powodu niedbałości samego użytkownika (słabe hasło, wyciek poświadczeń czy przypadkowe udostępnienie danych nieautoryzowanym osobom) i jest to choćby bardziej realny scenariusz. Nie można zapomnieć o sztucznej inteligencji, bo część dostawców usług chmurowych wykorzystuje dane użytkowników do „treningu” modeli AI.
Dla osób i firm ceniących prywatność z powodzeniem sprawdzi się Nextcloud. Stosuje szyfrowanie po stronie serwera (nie jest to jednak domyślnie aktywne ustawienie), dane są przechowywane wyłącznie lokalnie, a do działania nie wymaga dostępu do sieci Internet – z pełnym przekonaniem do takich przypadków użycia można zarekomendować Nextcloud. Problem w tym, iż nie każdy posiada umiejętności techniczne potrzebne do wdrożenia takich rozwiązań, pomimo faktycznej łatwości instalacji. Może być też inny, bardziej trywialny powód – nie każdy chciałby przeznaczać czas na zapoznanie się z podstawami działania serwerów lub zlecać konfigurację innym osobom, a zwyczajnie chce używać równie znanych usług takich jak Dropbox czy Dysk Google. Właśnie wtedy świetnym rozwiązaniem może okazać się Cryptomator.
Podstawowe informacje o Cryptomator
Jest to narzędzie przeznaczone do szyfrowania plików przesyłanych do chmury, ale po stronie klienta – użytkownika wybranej chmury. Oznacza to, iż na zewnętrzny, „chmurowy” storage wysyłany jest już zaszyfrowany plik, co z oczywistych względów znacznie podnosi bezpieczeństwo danych. Z poziomu chmury (aplikacja otwarta w przeglądarce internetowej czy zainstalowana na urządzeniu klienta) zobaczymy zaszyfrowaną wersję pliku, a jej standardowy odczyt będzie możliwy wyłącznie po odszyfrowaniu dzięki zainstalowanej aplikacji Cryptomator.
Obsługa Cryptomator jest bardzo prosta i wręcz nie wymaga przygotowania opisu jej użycia. Z dużą pewnością będzie odpowiednia dla każdej osoby, której zależy na zachowaniu najwyższego bezpieczeństwa, a przy tym niekoniecznie chętnej do przysłowiowego „doktoryzowania się” z działania programu.
Cryptomator dostępny jest w dwóch planach: For Individuals i For Teams. Wersja For Teams skupia się rzecz jasna na zastosowaniach firmowych i jest bardziej rozbudowana – Cryptomator Hub w odróżnieniu od samej aplikacji Cryptomator zapewnia funkcjonalność udostępniania danych (możliwą do przeprowadzenia w standardowej wersji, jednak wymaga to współdzielenia hasła używanego do szyfrowania). Koszty zakupu planu For Individuals prezentują się następująco:
Porównanie planów Cryptomator
Jak widać, w opcji bezpłatnej dostępna jest aplikacja na systemy desktopowe Windows, macOS i Linux. Dość znaczne ograniczenie stanowi płatna aplikacja mobilna, jednak wydaje się, iż dla typowych zastosowań plan Free będzie wystarczający. Z drugiej strony kwota 20 euro za plan „lifetime” też nie jest szczególnie wygórowana.
Aplikacja Cryptomator w Google Play
Cryptomator jest rozwijany przez niemiecką firmę Skymatic GmbH.
Działanie, funkcjonalności i instalacja Cryptomator
Obsługa aplikacji nikomu nie powinna sprawiać trudności. Automatycznie wykrywa zainstalowane i zamontowane aplikacje chmurowe. Użytkownik ustawia jedynie hasło, po czym tworzony jest dysk wirtualny bądź specjalny katalog – dostęp do plików będzie odbywał się z tego poziomu, jak również przesyłanie danych do chmury należy realizować poprzez ich skopiowanie/przeniesienie do tej lokalizacji. Sprawi to, iż dane zostaną zaszyfrowane i „przekazane” do docelowego rozwiązania chmurowego. Plików utworzonych przez Cryptomator nie można usuwać czy modyfikować, bo spowoduje to niemożność odszyfrowania danych.
Cryptomator nie posiada możliwości zaszyfrowania plików już dodanych do chmury. jeżeli zależy nam na zabezpieczeniu tych danych, to wystarczy pobrać je z chmury na lokalny dysk, po czym przenieść do lokalizacji utworzonej przez Cryptomator.
Instalator pobieramy ze strony https://cryptomator.org/downloads/, a sama instalacja polega na zaakceptowaniu licencji oraz kliknięciu przycisku Install. Po starcie aplikacji pojawi się monit z pytaniem o automatyczne aktualizacje – w zależności od preferencji można wyrazić lub nie zgodę.
Ekran startowy aplikacji Cryptomator dla systemu Windows
Tworzenie nowego sejfu
Następnie wybieramy ikonę „plusa” i opcję Create New Vault… Wskazujemy nazwę sejfu (w naszym przypadku używamy Dropbox, więc użyliśmy nazwy Dropbox_enc), zaznaczamy wykrytą aplikację chmurową (jeśli nie udało się wykryć bądź lokalizacja jest nietypowa, to bez najmniejszych problemów można wskazać ją manualnie), a w kolejnym kroku możemy zweryfikować nasze ustawienia (nazwa sejfu i lokalizacja) oraz ewentualnie włączyć ustawienia eksperta, które ograniczają się do wskazania maksymalnej długości zaszyfrowanych nazw plików. Jak widać, Cryptomator nie wymaga od użytkownika zaawansowanej wiedzy technicznej, co w tym wypadku jest zdecydowanie pozytywną cechą.
Dodawanie sejfu w Cryptomator
Ostatnim elementem jest wybór hasła użytego do szyfrowania. Powinno to być dość złożone hasło, aby zminimalizować szanse na jego złamanie przez nieautoryzowane osoby. Opcjonalnie można wygenerować klucz odzyskiwania – myślę, iż warto to wykonać, bo nie będzie innej opcji przywrócenia danych (odszyfrowania), jeżeli zapomnimy ustawionego hasła.
Ustawienie hasła do sejfu Cryptomator
Po przejściu kreatora tworzenia sejfu pojawi się możliwość jego odblokowania. Wpisujemy więc podane wcześniej hasło, co spowoduje utworzenie wspomnianego dysku wirtualnego lub katalogu, w którym znajdować się mają wszelkie dane przeznaczone do zaszyfrowania.
Odblokowany sejf i utworzony dysk wirtualny
Warto teraz sprawdzić zawartość dysku w chmurze. Zobaczymy utworzony katalog o nazwie odpowiadającej nazwie sejfu zawierający wspomniane pliki używane przez Cryptomator.
Dane utworzone przez Cryptomator
W każdym nowym sejfie tworzony jest również plik WELCOME.rtf o niżej widocznej treści.
Zawartość pliku z podstawowymi informacjami o Cryptomator
Szyfrowanie danych przesyłanych do chmury
W celu zaprezentowania działania Cryptomator do wirtualnego dysku skopiowałem kilkadziesiąt plików JPEG.
Pliki znajdujące się na wirtualnym dysku Cryptomator
Jak można zobaczyć, z poziomu dysku jest standardowy dostęp do danych – można je odczytać w standardowy sposób, bo ich treść w tym widoku jest jawna. Natomiast w chwili utworzenia plików na wirtualnym dysku do chmury została przesłana zaszyfrowana wersja – chmura nie rozpozna tych plików jako zdjęcia. Dane są bezpiecznie zaszyfrowane i tylko poprzez dysk wirtualny możliwy jest dostęp do odszyfrowanej zawartości.
Zaszyfrowane pliki widoczne z poziomu chmury
Współdzielenie zaszyfrowanych zasobów
Dostęp do plików może odbywać się także z innego urządzenia – wystarczy zainstalować Cryptomator i wskazać lokalizację zamontowanego udziału chmurowego. Co więcej, z powodzeniem będzie działać udostępnianie plików. Nie musimy choćby w tym celu korzystać z Cryptomator Hub, bo wystarczy udostępnić katalog utworzony przez Cryptomator z użyciem odpowiedniej funkcji danej chmury. Inna osoba, która chciałaby odszyfrować pliki z poziomu swojego urządzenia, musi znać ustawione przez nas hasło.
Tutaj dla przykładu utworzyłem kolejny sejf Nextcloud_share zawierający kilka plików.
Sejf Cryptomator w Nextcloud
Poprzez aplikację Nextcloud z poziomu przeglądarki udostępniłem cały katalog Nextcloud_share innej osobie. Dostęp do zapisu podczas odszyfrowywania nie jest wymagany przez Cryptomator, natomiast jeżeli ta osoba miałaby modyfikować pliki, to oczywiście należy zaznaczyć odpowiednią opcję w ustawieniach udostępniania naszej chmury.
Udostępnianie katalogu w Nextcloud
Cryptomator w systemach Linux
Obsługa Cryptomator dla systemów Linux wygląda dokładnie tak samo, jak w wersji dla systemów Windows. Różnica polega na metodzie uruchomienia – w wypadku Linuxa dostępny jest plik w formacie AppImage, któremu wystarczy nadać uprawnienia do uruchamiania i (najlepiej) dodać do lokalizacji zdefiniowanej w zmiennej $PATH. Uruchomienie przebiega z poziomu terminala.
Cryptomator uruchomiony w systemie Ubuntu
Zamierzamy odczytać sejf znajdujący się na udostępnionym zasobie Nextcloud (aktualnie zamontowanym w systemie). W Cryptomator wybieramy w tym celu ikonę „plusa” i dalej Open Existing Vault…, a następnie wskazujemy jedynie lokalizację pliku vault.cryptomator. Po podaniu hasła użytego do zaszyfrowania otrzymamy dostęp do danych z poziomu katalogu utworzonego przez Cryptomator.
Monit o podanie hasła do sejfu Cryptomator
Odszyfrowane przez Cryptomator zasoby
Podsumowanie
Cryptomator stanowi wygodne i intuicyjne rozwiązanie mogące w zdecydowany sposób podnieść bezpieczeństwo danych przechowywanych w chmurze. Zastosowanie znajdzie w różnej wielkości firmach, jak również w całkowicie prywatnym wykorzystaniu. Można go z pełnym przekonaniem polecić z uwagi na brak konieczności rozumienia skomplikowanych kwestii kryptograficznych – obsługa ogranicza się do korzystania z interfejsu graficznego.
