ВходBoxcryptor — шифрование данных в облачных сервисах. Шифрование для Dropbox
Данные, находящиеся на жестком диске, USB-флеш-накопителе и внешних носителях, лучше всего шифровать с помощью VeraCrypt. Программа базируется на известном инструменте TrueCrypt, но предлагает еще больше функций, чем предшествующая версия.
Последователь TrueCrypt под названием VeraCrypt полностью зашифрует ваш дискДля использования внешних носителей данных создаются зашифрованные контейнеры для данных на дисках. Эти контейнеры состоят из одного файла, который открывает свое содержимое только с помощью VeraCrypt и правильного пароля.
Для создания контейнера выберите в главном меню VeraCrypt опцию «Создать зашифрованный контейнер для файлов» (Create an encrypted file container) и следуйте инструкциям программы. Установленный в вашем ПК жесткий диск вам нужно закодировать полностью, включая систему Windows.
Это дает решающее преимущество: при физическом доступе к вашей системе взломщики не смогут изменить ваш пароль для Windows и получить доступ к вашим данным. Для этого в VeraCrypt вам нужно выбрать опцию «Закодировать раздел системы или весь системный диск» (Encrypt the system partition or entire system drive).
Защита мобильных устройств
Чтобы не пришлось каждый раз вводить сложный пароль в iOS, используйте дактилоскопический сенсор Touch ID на смартфонах iPhone 5s, 6/Plus, 6s/6s Plus, SE Для того чтобы защитить ваши данные в устройствах под управлением Android и iOS, придется шифровать систему. У Apple это уже стандартно. Даже ФБР не может взломать их шифр. Это наглядно демонстрирует недавний случай, когда компетентные органы попытались считать iPhone террориста.
По мнению экспертов, агенты не могли взломать код, они просто восстановили его методом «грубой силы». Чтобы без особых сложностей избежать такого вмешательства, вместо четырехзначного числа для доступа нужно использовать сложный пароль.
Для этого зайдите в «Настройки | Touch ID и пароль | Изменить пароль» и там нажмите «Параметры пароля». Здесь выберите «Произвольный код (буквы + цифры)». Даже ФБР с его возможностями понадобятся десятилетия для взлома такого пароля.
Устройства с Android изначально не кодируются. Вам придется решать этот вопрос в ручном режиме Разведывательным органам только и остается, что считывать сохраненную резервную копию пароля в iCloud. Поэтому наш совет таков: создавайте только локальные резервные копии через iTunes.
И доступ к ним будет только у вас. От уже имеющихся в облаке резервных копий вы можете избавиться, удалив все сохраненное в «Настройках | iCloud | Хранилище | Управлять | Резервные копии» через «Удалить копию» с серверов Apple.
Чтобы активировать шифрование при использовании Android, выберите «Настройки | Безопасность», а затем - «Зашифровать телефон». Но будьте осторожны: как и в случае с iOS, данные будут утрачены, если вы забудете код доступа!
Шифрование данных в облаке
Если ваши данные лежат в облачных хранилищах, например, Dropbox или в центре GMX, есть вероятность доступа к ним третьих лиц. Эти аккаунты вы можете защитить программой Boxcryptor (). Она шифрует содержимое Dropbox и прочих сервисов с использованием собственного кода.
Boxcryptor защитит ваши данные во всех крупных облачных сервисах Для доступа к данным вам понадобится программа и приложение Boxcryptor на всех ваших устройствах. Инструмент интегрируется в систему и удобно шифрует или дешифрует данные в фоновом режиме. Кроме того производитель указывает на то, что он не владеет шифровальными ключами. Если вы забудете пароль, то потеряете свои данные.
Если у вас появляется необходимость организации шифрованного хранилища для удаленного размещения файлов, вариантов решения этой задачи достаточно. И вот еще один – на наш взгляд, вариант надежный и достаточно удобный.
Архитектура
В рассматриваемом варианте за основу берем систему облачного хранения данных , которая была установлена в OS Debian Linux v7.1 и развернута в виде виртуальной машины под гипервизором Proxmox Virtual Environment v3.1.
Система облачного хранения данных установлена на зашифрованный диск ОС Linux, доступ к данным возможен только по протоколу HTTPS, для авторизации помимо стандартного пароля необходимо ввести также одноразовый пароль (OTP). Регулярно осуществляется резервное копирование. Предусмотрена возможность экстренного отключения и удаления всех данных ownCloud.
Гипервизор Proxmox Virtual Environment
Гипервизор Proxmox Virtual Environment представляет собой специализированный дистрибутив OS Debian Linux v7.1, удаленный доступ к системе возможен по протоколу SSH на стандартном порту TCP 22. Однако основным рабочим инструментом для управления виртуальными машинами является Web-интерфейс.
Раз в сутки происходит генерирование горячей копии (snapshot) виртуальной машины ownCloud с экспортом ее на серверы NFS, используя стандартные возможности Proxmox VE.
На скриншоте виртуальная машина в Web-интерфейсе имеет идентификатор 100 (ownCloud). Доступ к ее консоли возможен через пункт контекстного меню «Console».
Например, вот так выглядит ввод пароля для шифрованного диска во время загрузки:
Облачное хранилище данных ownCloud
О том, как установить ownCloud, можно узнать из хорошей статьи – там уже перечислены основные возможности и н екоторые плюсы этой платформы. Тем не менее, мнения в нашей команде разделились, и наши админы предлагают более простой способ установки ownCloud для дистрибутива ОС Linux Debian и многих других, нежели предложенный автором статьи. Доступны готовые репозитории: http://software.opensuse.org/download/package?project=isv:ownCloud:community&package=owncloud В этом случае все необходимые зависимости ставятся автоматически, а от вас будет лишь требоваться скорректировать настройки под свою специфику.
Итак, мы развернули ownCloud на базе ОС Debian Linux v7.1 внутри виртуального контейнера. Удаленный доступ к хранилищу возможен по протоколу SSH на стандартном порту TCP 22. Основная работа с ownCloud осуществляется через Web-интерфейс, возможно также подключение через протокол WebDAV и использование клиентов синхронизации (Sync):
Кстати, поскольку доступ к ownCloud осуществляется через HTTPS логи доступа и ошибок ведутся сервером Apache в файлах «/var/log/apache2/access.log
» и «/var/log/apache2/error.log
» соответственно. Также ownCloud имеет свой собственный лог «/var/www/owncloud/data/owncloud.log
«.
Одноразовые пароли OTP
Для усиления безопасности доступ к ownCloud через Web-интерфейс возможен с использованием двухфакторной авторизации: традиционный пароль и одноразовый пароль OTP. Функционал OTP реализуется с помощью внешнего дополнения One Time Password Backend . Встроенной поддержки OTP у ownCloud нет.
Настройка основных параметров OTP осуществляется в разделе «Admin» под административной учетной записью:
На скриншотах – настройки двухфакторной авторизации и одноразовых паролей подобранные для обеспечения совместимости с аппаратными генераторами FEITIAN OTP c200.
Алгоритм: Time-based One Time Password (TOTP)
Количество цифр в пароле: 6
Время жизни пароля: 60 секунд
Чтобы двухфакторная авторизация вступила в действие, необходимо назначить пользователю Token Seed. До этого момента он может заходить в ownCloud, используя только лишь обычный пароль. Поэтому сразу после создания пользователя необходимо перейти в раздел Personal и ввести Token Seed в одноименное поле.
Генерировать Token Seed, используя встроенные возможности модуля OTP ownCloud, не рекомендуется, поскольку в алгоритме его работы наблюдаются проблемы. Формат ввода: Base32 (%32) UPPERCASE. Конвертировать Token Seed в разные форматы можно с помощью утилиты www.darkfader.net/toolbox/convert
Конкретно для этого проекта использовался Token Seed, вшитый в аппаратный Token FEITIAN OTP c200. В общем случае можно использовать любой генератор паролей, а затем приводить его к нужному формату, используя приведенный в тексте конвертер.
Примером такого приложения для ОС Android может служить Google Authenticator: https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2
Проинициализированный Token Seed выглядит следующим образом:
Для отключения OTP достаточно удалить Token Seed из настроек.
Если это невозможно (например, если генератор OTP утерян, поэтому доступа к личному кабинету пользователя нет), то отключение OTP возможно только путем прямой модификации данных в СУДБ MySQL. Для этого необходимо запустить из командной строки клиент MySQL:
# mysql -uowncloud –p
Enter password:
Затем выполнить запрос, аналогичный следующему, изменив значение поля «user» на необходимое:
mysql> delete from owncloud.oc_user_otp where `user` = "test";
Из-за архитектурных ограничений OTP работает только при доступе к ownCloud через Web-интерфейс, но не через WebDAV. Этот недостаток компенсируется тем, что список IP-адресов, которые могут использовать WebDAV, строго ограничен. Отвечают за это директивы «Allow from» в файле настроек сервера Apache «/etc/apache2/conf.d/owncloud.conf». Обратите внимание, что директивы там указываются дважды.
IP-адреса перечисляются через пробел. Необходимо удостовериться в том, что в списке обязательно присутствуют IP обратной петли 127.0.0.1, а также публичный IP сервера самого ownCloud. В противном случае в работе WebDAV возможны сбои. После изменения настроек Apache его необходимо перезапустить:
service apache2 restart
Защита от брутфорса
В свежих версиях ownCloud ведется лог неудачных попыток авторизации: «/var/log/owncloud/auth.log «. Содержимое «/var/log/owncloud/auth.log » контролирует сервис Fail2ban. Если им в течение короткого времени фиксируется 5 или более неудачных попыток авторизации с одного IP-адреса, то этот адрес блокируется фильтром пакетов IPTables на 10 минут. Если после автоматической разблокировки попытки продолжаются, то IP блокируется повторно навсегда. Следить за работой Fail2ban можно в логе «/var/log/fail2ban.log «.
Список IP-адресов, которые не должны блокироваться ни при каких обстоятельствах, задается параметром ignoreip в файле настроек «/etc/fail2ban/jail.conf «. IP перечисляются через пробел.
После изменения настроек Fail2ban его необходимо перезапустить:
service fail2ban restart
В случае необходимости вручную разблокировать какой-либо IP, необходимо выполнить на сервере из CLI команду, аналогичную следующей, скорректировав в ней адрес:
iptables -D fail2ban-Owncloud -s 187.22.109.14/32 -j DROP
Уважаемое сообщество!
Но начать следует с обзора текущей ситуации.
Существуют облака, в которых можно хранить много различной информации. Иногда совершено бесплатно. Это прельщает. Множество сервисов прямо таки борются в желании предоставить вам как можно больше гигабайтов и функций. Однако, надо понимать, что бесплатный сыр бывает только в мышеловке. Опасность заключается в том, что свои файлы вы передаете на хранение чужому дяде с неизвестными, по отношению к вам, намерениями. А опасность именно файлов, как объекта информации, в том и заключается, что с него можно сделать копию и вы об этом факте никак не узнаете. Также файлы можно проанализировать с разными целями. В общем, много чего.
Придерживающиеся точки зрения «мне нечего скрывать, пусть смотрят» - дальше могут не читать. Продолжайте наслаждаться утечками фоток из iCloud, произошедшими недавно, удалением из облака нелицензионного контента и т.п. Те же, кому кому важна конфиденциальность личной жизни и в целом неприятно подглядывание за вами в замочную скважину и запускание руки большого брата в ваши личные дела - читаем дальше.
Облака использовать можно. Но нужно делать правильно. Решением здесь является шифрование данных. Однако, нужно понимать, что шифрование шифрованию рознь. Многие сервисы кричат о том, что у них самые лучшие алгоритмы шифрования. Но эти же сервисы скромно молчат о том, что сами они могут получить доступ к вашим данным в любое время. Поэтому самым правильным вариантом является вариант шифрования/дешифрования данных на ВАШЕЙ стороне. Таким образом, облако всегда имеет дело только с зашифрованным контентом. При этом, у клиента шифрования и облачного сервиса не должен быть один владелец. Идеальный случай - это открытые исходники клиента шифрования.
Итак, что мы имеем с таким подходом:
1. Владелец облака никогда не имеет доступа к содержимому ваших файлов. Никак.
2. Все узлы в цепочке следования вашего траффика не имеют доступа к вашим данным. Это, например, владелец wifi точки кафе, провайдер, владелец магистральных линий, админы сетки на вашей работе и т.п.
Это здорово.
1. У Вас появляются лишние заботы по обеспечению шифрования/дешифрования, лишняя нагрузка на компьютер.
Кому что важнее. Но, давайте договоримся, что:
1. Облако для вас - не корпоративный инструмент для работы. Хотя и тут могут быть варианты в виде раздачи пароля коллегам.
2. Облако для вас - хранилище личных данных.
Состояние дел на текущий момент
1. На данный момент ни один сервис не предоставляет вышеописаную модель шифрования контента. Оно и понятно, ему это невыгодно.
2. Погуглив, я с удивлением обнаружил, что данной проблемой особо никто не озабочивается. Возможно, с облаками повторяется тот же трюк, что и с социальными сетями n-надцать лет назад. Когда люди, не думая, сами о себе все выложили в сеть. Кто с кем в каких отношениях, где служил и работал. Подарок всем спецслужбам и мошенникам.
Текущие варианты решения задачи по обеспечению безопасности собственных файлов в облаке:
1. Шифрование, предоставляемое владельцем облака. Защищает только от других пользователей, но не от владельца облака.
2. Складирование в облако файлов в запароленных архивах или шифрованных контейнерах (типа truecrypt). Неудобно пользоваться, так как для того, чтобы внести небольшое изменение или просто скачать файл - нужно скачивать/заливать весь контейнер целиком. Что часто бывает небыстро, если он большой.
3. VPN защищает только канал связи, но не содержимое облака.
4. Программа BoxCryptor. Она умеет шифровать файлы отправляемые/сливаемые из облака. Но её механизм работы неудобен. У вас на локальном компьютере должна быть синхронизированная копия всех данных облака. В этой копии вы работаете с данными, а программа в шифрованном виде заливает/сливает их в облако. Синхронизирует в общем. Неудобно.
А мы что хотим?
Мы хотим, чтобы у нас с собой была флешка, вставляем её в любой свой (или не свой) компьютер с подключением к интернету, запускаем с нее некую программу. У нас в системе появляется виртуальный диск, зайдя в который (кто эксплорером, кто Total Commander) мы попадем в наш аккаунт в облаке. Видим наши файлы, делаем с ними что нам нужно. А потом все выключаем и уходим. А вот если в наш аккаунт зайти без запуска этой волшебной проги, то мы (или злоумышленник, админ-сниффер, владелец облака и т.п.) увидим кучу мусора - как в именах файлов, так и в их содержимом.
Как вариант - поставить эту программу стационарно на все свои компьютеры и забыть о её существовании и необходимости периодического запуска. Такой метод будет работать со всеми типами облаков, которые поддерживают стандарт WebDAV и позволяют хранить просто произвольные файлы, удовлетворяющие стандартам файловых систем.
Погуглив, я нашел только 2 варианта решения вопроса шифрования почти в том виде, в каком мне нужно.
1. Плагин WebDav для Total Commander. Добавляет облачный аккаунт в Total Commander и он становится виден как диск. В который можно копировать файлы. Однако, он пока не поддерживает шифрование. Мои попытки упросить автора включить в него шифрование и стать Гислеру первым, кто решит эту проблему - не увенчались успехом.
2. Программа CarotDAV, про которую уже писали на данном сайте. Она умеет шифровать файлы и имена по-одиночке. И все бы хорошо, но она имеет интерфейс проводника, что неудобно.
И вот, собственно, свершилось то, ради чего я пишу этот длиннопост.
Собственно, программа легкая, все работает как надо. Но самое главное - вот теперь вы точно можете быть уверены, что ваши файлы в облаке принадлежат только вам - при сохранении легкого и удобного способа доступа к ним.
Приглашаю всех, кому стало интересно и кому такая программа необходима, присоединиться к тестированию.
Большинство провайдеров облачных хранилищ и
Скрыто от гостей
Таких как Google Диск, Dropbox, Box и Microsoft OneDrive, предлагают некоторый уровень шифрования - по сути, скремблируют содержимое загруженных вами файлов. Для их раскодирования требуется ключ шифрования. Большинство провайдеров облачных хранилищ сами хранят ключ шифрования, вместо того, чтобы предоставить его пользователю и, таким образом, требуют от него или нее слепого доверия к тому, что компания не будет злоупотреблять доступом к вашим файлам, не допустит утечки данных ключа для хакеров или не передаст его отслеживающим органам государственной власти. Кроме того, любой, у кого есть физический доступ к вашему телефону или ноутбуку, может легко попасть в файлы в облаке, потому что большинство этих служб по умолчанию оставляют вас залогиниными в системе.
Несколько компаний облачного резервного копирования, таких как iDrive, позволяют пользователю создавать свой собственный закрытый ключ, шифруя данные на своем локальном компьютере перед загрузкой в облако. Но обычно эта возможность резервируется для более дорогостоящего пакета облачных услуг бизнес-уровня, а не для индивидуального использования. В настоящее время iDrive предлагает 75% скидку на свой 2TB-пакет, что делает его гораздо более доступным вариантом практически для всех, кто пожелает его использовать.
Если вы действительно серьезно заботитесь о конфиденциальности своих данных, но вы не хотите раскошеливаться на более дорогостоящие пакеты, у нас есть альтернативное решение. В нескольких приложениях вы можете зашифровать свои данные перед загрузкой в облако , гарантируя, что только вы сможете расшифровать ваши файлы. Фактически, любой пользователь в состоянии это сделать, однако в основном, данные приложения ориентированы на бухгалтеров, юристов, врачей и другие профессии, которые требуют высокого уровня конфиденциальности.
Мы составили список таких приложений для шифрования для вашего рассмотрения. Найдите то, которое наилучшим образом соответствует вашим потребностям, но имейте в виду, если вы когда-нибудь потеряете свой секретный ключ шифрования, эти данные будут потеряны для вас навсегда.
nCrypted Cloud
Скрыто от гостей
Перемещает ваши Google Drive, Dropbox и другие поддерживаемые папки облачных провайдеров в папку nCrypted Cloud. Он не шифрует все по умолчанию; вы должны щелкнуть по этим файлам в этих папках правой кнопкой мыши, чтобы их зашифровать или расшифровывать. Значок синего замка рядом со значком файла или папки указывает на то, что он был закодирован и теперь зашифрован обычным 256-битным стандартом AES.
Он также имеет облачный портал, доступ к которому возможен из любого браузера, который позволяет вам получать доступ ко всем своим облачным данным из одного места. Портал содержит подробные журналы о том, кто запрашивал и какие файлы, проводилась ли ревизия, а также предоставляет историю шифрования. Вы даже можете настроить его для отправки уведомлений о конкретных событиях.
NCrypted Cloud поддерживает несколько провайдеров облачных хранилищ. В настоящее время он совместим с Dropbox, Google Drive, Box и Egnyte.
NCrypted Cloud доступен бесплатно для Windows, Mac, iOS и Android. Бизнес-уровни также доступны за ежемесячную абонентскую плату.
Encrypto
В центре внимания
Скрыто от гостей
Находится отправка и совместное использование зашифрованных файлов, но его также можно использовать для локального и облачного шифрования хранилища. Просто перетащите любой файл в окно приложения, установите пароль и добавьте необязательный кодовый вопрос, ответ на который будет известен только вам и получателю. Затем файл шифруется и может быть сохранен на вашем компьютере и/или отправлен по электронной почте, через Dropbox или просто оправлен на USB-накопитель. Encrypto использует 256-битное шифрование AES. Как отправитель, так и получатель должны иметь уже установленный Encrypto для того, чтобы работала функция совместного использования файлов.
Скрыто от гостей
Encrypto доступна для Windows и Mac OSX.
Boxcryptor
Скрыто от гостей
Позволяет вам создавать папку в любом месте вашего компьютера, и все, что помещено в эту папку, зашифровывается с использованием 256-битного стандарта AES. Чтобы просмотреть файлы в этой папке, запустите приложение Boxcryptor, перейдите к нужному файлу и введите свой пароль/ключ. Если вы используете службу облачных хранилищ, такую как Google Диск или Dropbox, эта папка может быть помещена в соответствующую папку синхронизации приложения.
Содержимое файла скрыто, но имена файлов и их расширения все еще видны.
Недостатком подхода Boxcryptor - и даже большинства приложений в этом списке - является то, что файлы нельзя просматривать или открывать, скажем, в Google Docs. Если вы хотите просмотреть их на другом компьютере или смартфоне, вам придется установить Boxcryptor и загрузить файлы для их просмотра локально.
Boxcryptor доступен бесплатно для Windows, Mac, Android, iOS и Windows RT.
Cryptomator
Скрыто от гостей
Хранит файлы в зашифрованной папке хранилища где-то на вашем компьютере. Обычно эти файлы можно получить с помощью виртуального жесткого диска, так что вы не заметите различий при работе с вашими файлами, т.к. сам процесс подобен работе с файлами, находящимися на USB-накопителю. Все файлы индивидуально зашифрованы.
Вы можете создавать хранилища в любом месте вашего компьютера, например, в папке Google Диска или Dropbox. Затем просто перетащите файлы в хранилище (vault), чтобы зашифровать их. Для разблокировки хранилища требуется пароль. Файлы шифруются с помощью AES, а пароли защищены Scrypt.
Cryptomator является бесплатным приложением (pay-what-you-want (платитие сколько захотите) с открытым исходным кодом для Windows, MacOS, iOS и Android. Регистрация не требуется.
Sookasa
Скрыто от гостей
Работает очень похоже на BoxCryptor, но она ограничена Google диском и Dropbox. Специальная папка Sookasa создается внутри в папках синхронизации «Google Drive» или «Dropbox», и все, что помещено внутри этой папки, зашифровывается с использованием 256-битной AES. Чтобы просмотреть файл, его необходимо загрузить и расшифровать локально с помощью приложения Sookasa.
Sookasa позволяет пользователям обмениваться файлами и папками все на всего с помощью простого щелчка правой кнопки мыши. Установите пароль, настройте права доступа в режиме реального времени и установите срок действия ключей шифрования, и вы сможете обменяться данными через безопасные ссылки.
Sookasa доступна бесплатно для Windows, Mac, Android и iOS.
EncFSMP
Скрыто от гостей
Вероятно, самый минималистический инструмент в этом списке. Он во многом использует практически такой же открытый исходный кода, что и BoxCryptor, и работает аналогичным образом. Создайте зашифрованную папку в любом месте вашего локального диска, и все, что вы помещаете в эту папку, будет автоматически зашифровано. Вы можете создавать, редактировать и экспортировать пароли для этих папок.
EncFSMP является абсолютно бесплатной, без каких-либо уловок или необходимых дополнительных загрузок. У него нет никаких дополнительных функций для совместного использования или управления файлами.
Пользователи Linux будут рады узнать, что EncFSMP совместим с их системами, а также с Windows и Mac. Устройства Android могут использовать EncFSMP через приложение
Скрыто от гостей
(Обновлено : Cryptonite больше не доступен в Google Play, но вы можете скачать его с GitHub), но, к сожалению, EncFSMP не совместим с iOS.
Odrive
Скрыто от гостей
Является, как настольным, так и веб-инструментом, который позволяет связать все ваши учетные записи облачного хранилища. Вы можете разместить зашифрованную папку в любом месте, как, например, в ваших каталогах Google Диска или Dropbox. Любые файлы, помещенные в эти папки, автоматически зашифровываются с помощью хэшей SHA256.
Файлы шифруются только в облачном хранилище, а не на локальном компьютере. Это означает, что они не защищены на вашем жестком диске.
Odrive также может похвастаться функциями синхронизации и совместного использования, которые позволяют облачным файлам использоваться как локальные файлы.
Odrive использует политику шифрования «нулевого знания» (“zero knowledge”), то есть компания не знает или не хранит ваш ключ шифрования. Только пользователь может расшифровать свои файлы.
Бесплатно Odrive доступен в Windows, Mac и Linux.
Cloudfogger (Поддержка данного инструмента прекращена)
Обновлено: Поддержка Cloudfogger была прекращена.
Cloudfogger позволяет вам выбирать существующие папки для шифрования, вместо создания и шифрования новых. Это часто довольно удобно, особенно для тех, у кого есть много файлов, которые необходимо зашифровать, но они не хотят их перемещать. Это также полезно, если вы хотите зашифровать всё в папке синхронизации Dropbox или Google Диска.
Cloudfogger обещает, что вы можете получить доступ к своим файлам в локальной системе, как обычно, без необходимости вручную расшифровывать их. Он может похвастаться несколькими функциями обмена, включая электронную почту и USB.
Cloudfogger доступен бесплатно для Windows, Mac, iOS и Android.
Viivo (Поддержка данного инструмента прекращена)
Обновлено: PKWARE, родительская компания Viivo, заявла, что проект Viivo будет закрыт 1 Июня 2018 года.
Viivo создает две папки на вашем компьютере. Первая - это просто обычная папка, хранящаяся локально, где вы размещаете файлы. Вторая папка делает копию всего содержимого первой папки и шифрует его. Вторая папка - это та, которую вы будете загружать в облако. Например, её можно поместить в папку Dropbox или Google Диска. Это позволяет вам легко просматривать, создавать и редактировать файлы с использованием локальных незашифрованных версий и обновлять онлайн-зашифрованные версии без необходимости расшифровывать файлы каждый раз, когда они вам понадобятся.
Viivo требует регистрации через свое настольное приложение с использованием действительного адреса электронной почты. Он использует 256-битный стандарт шифрования AES. Viivo также сжимает файлы для экономии места и пропускной способности.
Viivo доступен бесплатно для Windows, Mac, iOS и Android.
Зашифруйте данные перед их загрузкой в облако
Когда вы загружаете данные в облачные хранилища - фотографии, документы, коммерческие тайны, данные военной разведки и т. д. - вы, вероятно, испытываете определенное ожидание относительно предоставления конфиденциальности. Это является вполне очевидным фактом, что другие люди не должны видеть вашу информацию, даже если она хранится на общем облачном сервере. К сожалению не все провайдеры облачных хранилищ могут гарантировать вам это важное требование.
Если вы хотите взять вопрос о конфиденциальности в свои руки, зашифруйте свои файлы одним из перечисленных выше приложений перед загрузкой их на Google Диск, OneDrive, Dropbox или Box.
Приложение Viivo доступно бесплатно для Windows, Mac, iOS и Android.
Я уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны - удобство и экономия, дающие преимущество над конкурентами. С другой - “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.
Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих - дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты - ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.
Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям - для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.
Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны). А теперь - поподробнее о сегодняшней теме.
Создать контейнер в TrueCrypt
– это open-source криптографическое ПО, которое создает на жестком диске криптографический контейнер, в который вы помещаете файлы, или папки с файлами. Контейнер отображается как папка или отдельный подраздел на жестком диске и “снаружи” виден как большой массив бинарных данных, к которым без программы и знания кодовой фразы получить доступ невозможно. При помощи программы TrueCrypt вы можете работать с данными внутри зашифрованного архива так, как будто это обычная папка. Операции шифрования/дешифрования выполняются “на лету”. В таком архиве вы можете спокойно работать не опасаясь что к важным данным получит доступ кто-то посторонний, а для большей сохранности (в конце концов, потеря информации из-за технического сбоя - также распространенное явление) такой архив есть смысл хранить в вашей папке Dropbox.Почему именно Dropbox? Причин несколько. Во-первых у Dropbox нет ограничения на размер хранимого фала, что позволяет делать криптоконтейнер сколь угодно большим. Во-вторых, Dropbox умеет обнаруживать изменения в структуре синхронизируемых файлов и копировать только их. На практике это означает, что при внесении изменений в огромный архив, Dropbox будет синхронизировать только небольшую часть данных, которая была модифицирована, а не весь файл, как делает большинство других сервисов.
Создать архив в облаке с помощью BoxCryptor
Если уж все равно использовать в качестве хранилища облачный сервис, то почему бы не создать криптоархив сразу там? Видимо так рассуждали создатели популярного приложения , которое вопреки тому, что можно подумать исходя из названия, работает с любым облачным сервисом. BoxCryptor создает в папке выбранного сервиса криптоархив, где хранятся все файлы, которые вы можете туда добавлять и изменять через создаваемый программой виртуальный диск. Также имеются приложения для мобильных платформ, что позволит вам получить доступ к криптоархиву со своего планшета/телефона. Существуют приложения для Android (работает с криптоархивами, хранящимися в Dropbox/Google Drive, поддержка Skydrive обещана в ближайшем будущем) и iOS (работает только с архивам, хранящимися в Dropbox, поддержка Google Drive и Skydrive обещана в ближайшем будущем). Бесплатная версия BoxCryptor может работать только с одним архивом и не шифрует имена файлов, в остальном ограничений нет. Аналогичные услуги предоставляют конкурирующие сервисы CloudFogger и SecretSync.
Использовать облачный сервис c поддержкой шифрования на стороне клиента
До сих пор речь шла только об действиях по защите информации со стороны клиента, которые вам необходимо предпринимать самостоятельно. Однако есть и облачные сервисы, где этот процесс автоматизирован. Это в частности, SpiderOak и Wuala . Принцип работы их клиентов таков, что перед пересылкой информации на сервер она шифруется клиентом локально, как результат – что хранится на их серверах не знают даже сами хозяева сервиса, так как ключ хранится в клиентском ПО. Процесс установки и настройки клиента SpiderOak слегка сложнее чем Dropbox, зато присутствуют уникальные возможности, например защита паролем расшариваемых файлов и т.д.