Программа хранилище файлов с шифрованием. Шифрование для Dropbox. Dropbox: синхронизация файлов — просто, но небезопасно. Состояние дел на текущий момент

В последнее время пользователи становятся всё мобильнее, услуги фрилансеров – востребованней, а компании переходят на удаленные рабочие места. В этих условиях становится как никогда важной доступность данных когда угодно, где угодно и с любого устройства (как стационарного, так и мобильного). Вместе с тем растет спрос на облачные сервисы хранения данных, как со стороны отдельных пользователей, так и компаний.

Использование облачных хранилищ позволяет публиковать свои файлы, редактировать их и делиться ими с друзьями и коллегами. С помощью сервисов облачных хранилищ можно не только хранить сами файлы, но и историю их изменений, а также синхронизировать данные на своих устройствах.

На фоне растущего интереса к облачным хранилищам возникает и потребность в защите данных, хранящихся в облаках. Некоторые провайдеры облачных сервисов предоставляют возможность резервирования и шифрования данных, но существуют и различные самостоятельные сервисы, обеспечивающие защиту данных при их размещении в облачном хранилище. Как раз об одном из таких сервисов, поддерживающем большинство провайдеров облачных хранилищ, - сервисе Boxcryptor - мы расскажем в этой статье. Данный сервис реализован немецкой компанией Secomba GmbH (Werner-von-Siemens-Str. 6, 86159 Augsburg).

Системные требования Boxcryptor

Сервис Boxcryptor представлен производителем в следующих форматах:

• Плагин для браузера Google Chrome.
• Портативная (portable) версия.
• Версия, требующая локальной установки.

В статье рассматривается версия, требующая локальной установки. Сервис поддерживает развертывание на следующих платформах:

• Windows XP SP3 и выше (при наличии.NET Framework 4.0).
• macOS X 10.7.5 и выше.
• iOS 7 и выше (iPhone/iPad/iPod).
• Android 4.0.3 и выше.
• Windows Phone.
• Windows RT.
• Blackberry 10.

Для взаимодействия локальной версии сервиса с облачными хранилищами необходимо наличие:

• Учетных записей пользователя для облачных хранилищ, в которых планируется держать зашифрованные версии файлов.
• Свободного места на локальном хранилище в объеме, соответствующем объему файлов, размещенных в облачном хранилище и подлежащих шифрованию. В целом, свободное место на локальном диске должно быть сопоставимо объему места, предоставляемому облачными хранилищами, например:
• Яндекс.Диск предоставляет 10GB;
• Dropbox - 2GB;
• Google Drive - 15GB;
• Box - 10GB;
• OneDrive - 15GB;
• Amazon S3 - 5GB;
• CloudMe - 3GB;
• iCloud Drive - 5GB;
• Telekom - 25GB и т. д.

Функциональные возможности

Состав доступных функциональных возможностей сервиса зависит от типа приобретаемой подписки (лицензии).

Таблица 1 . Функциональные возможности Boxcryptor в зависимости от типа подписки

Функциональные возможности	Краткое описание	Наличие в составе подписки
		Free	Unlimited Personal	Unlimited Business	Company Package
Использование алгоритмов шифрования AES-256 и RSA	Шифрование содержимого файлов, размещаемых в облачном хранилище	Да	Да	Да	Да
Безопасное предоставление доступа	Предоставление сторонним лицам доступа к своим зашифрованным файлам	Да	Да	Да	Да
Поддержка мобильных приложений	Возможность развертывания приложения на мобильных устройствах	Да	Да	Да	Да
Шифрование имени файлов	Маскирование наименования файла, размещаемого в облачном хранилище	Нет	Да	Да	Да
Поддержка неограниченного набора облачных платформ	Возможность защиты данных не на одном, а на нескольких облачных хранилищах	Нет	Да	Да	Да
Отсутствие количественного ограничения поддерживаемых устройств	Возможность развернуть сервис более чем на двух устройствах	Нет	Да	Да	Да
Техническая поддержка	Наличие неограниченной технической поддержки со стороны производителя	Нет	Да	Да	Да
Создание групп пользователей	Возможность объединения пользователей в группы для последующего обмена файлами с группой в целом	Нет	Нет	Да	Да
Коммерческое использование	Возможность использования сервиса для корпоративных целей	Нет	Нет	Да	Да
Персональное использование	Возможность использования только одним пользователем	Да	Да	Да	Нет
Использование подписки более чем одним пользователем	Возможность добавлять неограниченное число пользователей для использования одной подписки (лицензии).	Нет	Нет	Нет	Да
Мастер-ключ	Возможность расшифровки файлов компании, доступных ее сотрудникам, без знания их паролей	Нет	Нет	Нет	Да
Сброс паролей пользователей компании	Возможность сброса и замены паролей пользователей компании, используемых при шифровании, без потери доступа к данным в зашифрованных файлах компании	Нет	Нет	Нет	Да
Поддержка Active Directory	Синхронизация пользователей Boxcryptor c пользователями из Active Directory компании	Нет	Нет	Нет	Да
Определение политик	Создание политик безопасности, с целью соответствия внутренним и внешним требованиям (длинна пароля, шифрование имен файлов и т. д.)	Нет	Нет	Нет	Да
Управление пользователями и устройствами	Централизованное управление пользователями и конфигурационными параметрами	Нет	Нет	Нет	Да
Аудит	Наблюдение за поведением пользователей с целью обнаружения подозрительных событий безопасности (нехарактерные для пользователя попытки входа, нарушение установленных политик и т. д.) и реагирование на них	Нет	Нет	Нет	Да
Двухфакторная аутентификация	Применение двухфакторной аутентификации пользователей с помощью решения компании Duo Security	Нет	Нет	Нет	Да

Стоимость подписки на Boxcryptor

Стоимость подписки на Boxcryptor следующая:

• Free - бесплатно.
• Unlimited Personal - 36 € ($ 48) в год.
• Unlimited Business - 72 € ($ 96) в год.
• Company Package:
• 8 € за одного пользователя в месяц - при приобретении на 1 год.
• 6,4 € за одного пользователя в месяц - при приобретении на 3 года.

На полную подписку для личного использования (Unlimited Personal) производитель предоставляет скидку для студентов в размере 25%.

Подписки «Free», «Unlimited Personal» и «Unlimited Business» предназначены только для 1 пользователя:

• Free и Unlimited Personal - применение только для личных целей (защита личной информации) только одним пользователем. Данные подписки предназначены для отдельных физических лиц;
• Unlimited Business - применение не только для защиты личной, но и корпоративной информации, но опять же только одним пользователем. Данная подписка ориентирована, как правило, для сотрудников юридического лица или для индивидуальных предпринимателей. Только с учетом того, что для каждого сотрудника своя подписка (лицензия).

В отличии от персональных подписок, подписка «Company Package» позволяет для одной лицензии добавлять неограниченное число пользователей.

Работа с Boxcryptor

Установка десктопной версии сервиса Boxcryptor

Сервис довольно прост в использовании, особенно это касается ограниченного состава функций, предоставляемых в рамках подписки типов Free и Unlimited Personal. Хотя именно эти два типа могут быть наиболее востребованы у российских пользователей. Чтобы воспользоваться предлагаемыми функциями, необходимо скачать с сайта производителя дистрибутив для соответствующей платформы .

В рамках этой статьи рассмотрена работа сервиса на примере дистрибутива для самых распространенных у российского пользователя платформ: Microsoft Windows и Android. На момент подготовки материала на сайте производителя для операционной системы Microsoft Windows доступна версия Boxcryptor 2.3, а для Android - версия 2.1 (а также Beta версия 2.49.559). Для других платформ состав функций аналогичен - подробное описание функций сервиса для каждой платформы приведено производителем на своем сайте в соответствующих руководствах пользователя .

При установке продукта предлагается ознакомиться и принять «Лицензионное соглашение», заключаемое между производителем Secomba GmbH и конечным пользователем, а также «Политику защиты данных».

После установки и запуска потребуется пройти аутентификацию, при наличии учетной записи Boxcryptor, или создать такую учетную запись.

Рисунок 1 . Регистрация в десктопной версии Boxcryptor на Windows

При создании учетной записи (профиля) выводится уведомление о том, что вам необходимо запомнить пароль, в противном случае будет утрачен доступ ко всем зашифрованным файлам. Только согласившись с этим и приняв на себя ответственность о сохранении пароля, можно продолжить регистрацию.

Здесь же в рамках создания профиля потребуется определиться с типом подписки (лицензии).

Рисунок 2 . Выбор типа подписки в десктопной версии Boxcryptor на Windows

Выбирать приходится только из трех типов, четвертый и самый полный тип подписки Company Package доступен для выбора только на сайте (где также происходит и заполнение профиля для этого типа). Производители предлагают в отношении подписок типа «Company Package» и «Unlimited Business» следующие пробные периоды:

• Company Package – пробный период в 30 дней для ознакомления с функциональными возможностями.
• Unlimited Business – бесплатное тестирование в течении 1 недели.

Активация данных возможностей доступна только через веб-интерфейс из учетной записи Boxcryptor.

При выборе подписки типов Unlimited Personal или Unlimited Business запустится браузер, и в нем откроется страница оплаты.

После того как все процедуры выбора и оплаты выполнены, запускается сам сервис.

В версии, установленной на смартфоне с операционной системой Android, также необходимо будет пройти аутентификацию.

Рисунок 3 . Аутентификация в Boxcryptor на Android

При первом запуске:

• В правом нижнем углу экрана в области уведомлений появляется соответствующая иконка.
• Открывается «Учебник» по работе с сервисом.
• Сервис автоматически осуществляет поиск облачных хранилищ, связанных с устройством, и в случае их отсутствия открывается окно с настройками.
• В «Проводнике» появляется созданный виртуальный диск, используемый для шифрования файлов и синхронизации с облачными хранилищами.

Рисунок 4 . Первый запуск десктопной версии Boxcryptor на Windows

Если в Windows уже подключено какое-либо облачное хранилище, то оно появится в «Проводнике» Boxcryptor в области виртуального диска.

Рисунок 5 . Содержимое виртуального диска Boxcryptor в десктопной версии на Windows

Дальнейшая работа по шифрованию и расшифрованию файлов (каталогов) осуществляется в рамках этого виртуального диска Boxryptor с сопоставленными ему облачными хранилищами (например, Dropbox).

Первый запуск на устройстве c операционной системой Android также потребует определить облачное хранилище, сопоставляемое Boxcryptor.

Рисунок 6 . Первый запуск Boxcryptor на Android и определение облачного хранилища

Настройка Boxcryptor

Чтобы выполнить настройку параметров сервиса, необходимо выбрать соответствующий пункт («Настройки») в контекстном меню, вызываемом на иконке в области уведомлений (см. рисунок 4). Все основные и расширенные настройки выполняются в рамках соответствующих вкладок окна «Настройки Boxcryptor».

Рисунок 7 . Настройки десктопной версии Boxcryptor на Windows

Определение локальных каталогов, которые используются для хранения важной информации, подлежащей шифрованию с помощью Boxcryptor, выполняется нажатием «Добавить» на вкладке «Расположения» и последующего выбора интересующего каталога.

Чтобы привязать облачное хранилище, указанное на вкладке «Расположение», к Boxcryptor, достаточно нажать на слово «Ссылка» и заполнить соответствующие конфигурационные формы.

Рисунок 8 . Привязка облачного хранилища в десктопной версии Boxcryptor на Windows

В результате добавления локального каталога и привязки облачного хранилища соответствующие локации появятся в перечне.

Рисунок 9 . Каталог и облачное хранилище, подключенные в десктопной версии Boxcryptor на Windows

Параметры учетной записи, за которой закреплена подписка на сервис, могут быть скорректированы на вкладке «Профиль». Параметры, редактирование которых возможно («Имя», «Фамилия», «Email» и «Пароль»), отмечены символом. Кроме того, эта вкладка предоставляет:

• Сведения о типе подписки.
• Возможность генерации мастер-ключа, необходимого для восстановления доступа к зашифрованным данным компании в случае, например, увольнения сотрудника, ответственного за эти данные. Эта возможность доступна только для подписки Company Package.
• Возможность экспорта ключей для обеспечения работы с сервисом при отсутствии сетевого окружения (в офлайн-режиме).

Рисунок 10 . Конфигурационные параметры учетной записи в десктопной версии Boxcryptor на Windows

Для того чтобы предоставить доступ к зашифрованному файлу, хранящемуся в облаке, например, коллегам по работе, потребуется сформировать группу и добавить их в эту группу. Однако есть один нюанс: добавлять в группы можно только тех, кто также является пользователем Boxcryptor (с таким же типом подписки). В рамках этих настроек можно:

• Добавлять и исключать участников группы.
• Покидать группу.
• Переназначать (отзывать) полномочия владельца группы участнику группы (выбрав участника и вызвав на нем контекстное меню).

Рисунок 11 . Создание группы в десктопной версии Boxcryptor на Windows

Более точная настройка может быть выполнена с помощью конфигурационных параметров, вкладки «Дополнительно». Основной набор параметров позволяет скорректировать наименование созданного сервисом виртуального диска Boxcryptor и соответствующую ему букву, а также настроить возможность одновременного запуска сервиса с операционной системой, проверку обновлений и шифрование имен файлов. Активировать шифрование имен файлов сами производители рекомендуют только в том случае, когда в этом действительно есть необходимость, так как этот вид шифрования влияет на производительность системы (особенно при большом количестве файлов). Для возможности более тонкой настройки потребуется выбрать пункт «Больше настроек».

Рисунок 12 . Расширенные настройки десктопной версии Boxcryptor на Windows

В составе расширенных настроек могут быть включены/выключены следующие параметры:

• «Включить использование корзины» - отвечает за удаление файлов и каталогов в корзину, откуда они могут быть восстановлены.
• «Подключать как жесткий диск» - Boxcryptor при установке создает виртуальный диск для шифрования файлов и каталогов, а эта опция позволяет придать диску статус физического с точки зрения системы.
• «Подключать для всех пользователей» - отвечает за доступность/недоступность диска Boxcryptor всем пользователям, чьи учетные записи присутствуют на рабочем месте, где развернут сервис.
• «Включить поддержку длинных путей» - позволяет снять/установить ограничение длины пути до файла в 256 символов. Однако это может вызвать проблемы в рамках систем, не поддерживающих большую длину.
• «Подключать в Менеджере Томов Windows» - позволяет добавить виртуальный диск Boxcryptor к Менеджеру Томов Windows.
• «Не показывать файлы и папки, начинающиеся с точки» - позволяет исключить/включить из состава видимых файлов те, которые начинаются с точки. Такие файлы формируются, как правило, сервисами облачных хранилищ, и их случайное шифрование может привести к непоправимым последствиям.
• «Скрывать файлы и папки, если их имена невозможно расшифровать» - эта опция позволяет скрыть те файлы с зашифрованными именами, в отношении которых у пользователя нет прав на их расшифровку.
• «Не показывать предупреждения OneDrive» - позволяет исключить предупреждения, формируемые при работе с сервисами облачного хранилища OneDrive, так как в этом облачном хранилище есть возможность сохранения файлов в облаке без синхронизации с локальным носителем, а Boxcryptor шифрует файлы только локально.
• «Автоматически определять съемные диски» - позволяет определять подключаемые съемные носители информации в качестве локаций, присоединяемых к Boxcryptor.
• «Автоматически определять сетевые диски» - позволяет определять сетевые диски в качестве локаций, присоединяемых к Boxcryptor.

Boxcryptor на Android обладает более скромным составом конфигурационных параметров. Автоматически активированными являются: шифрование имен файлов, обнуление настроек сервиса после трех неудачных попыток аутентификации, а также предварительный просмотр файлов. Интересной функцией является «Установить защиту PIN-кодом» - она позволяет защитить сервис от несанкционированного доступа и будет требовать ввода PIN-кода, если вызвать сервис в момент его работы в фоновом режиме.

Рисунок 13 . Состав настроек Boxcryptor на Android

Настроив сервис с учетом собственных потребностей, можно приступать к его использованию непосредственно с целью шифрования и расшифрования.

Шифрование и расшифрование файлов и каталогов в Boxcryptor

Общий принцип шифрования, реализованный в этом сервисе, напоминает сказку про Кощея Бессмертного: смерть Кощея в игле, игла в яйце, яйцо в утке, утка в зайце и так далее. В этом сервисе в качестве таких компонентов выступает несколько криптографических ключей, каждый из которых закрывается (шифруется) следующим в цепочке алгоритмических действий шифрования. В целом можно выделить несколько используемых криптографических сущностей (ключи/пароли):

• Пароль.
• Ключ AES.
• Пара ключей RSA:
• Открытый ключ.
• Закрытый ключ.

И уже в зависимости от инициатора криптографических преобразований ключи AES и RSA определяются для:

• Пользователя.
• Компании (Группы пользователей).

Ключи формируются непосредственно на устройстве пользователя при создании учетной записи пользователя или компании (группы пользователей). На сервер Boxcryptor отправляются все ключи, кроме пароля пользователя, но все они передаются зашифрованными (за исключением открытого ключа RSA).

Рисунок 14 . Общий принцип шифрования файлов, реализованный в Boxcryptor

Все операции по шифрованию/расшифрованию файлов осуществляются только локально на компьютерах пользователей, и уже потом выполняется синхронизация с облачным хранилищем. Процедура шифрования файла заключается в:

• Формировании индивидуального ключа для файла (ключ AES).
• Шифровании файла на этом ключе.
• Шифровании ключа файла на открытом ключе RSA пользователя. Скольким пользователям будет предоставлен доступ к файлу, столько раз и выполняется эта операция, чтобы сформировать для каждого пользователя свой «секрет».
• Добавлении зашифрованных ключей файла для каждого пользователя в конец зашифрованного содержимого файла - так получается зашифрованный файл.
• Шифровании закрытых ключей RSA пользователя на основании пароля пользователя.
• Сохранении всех секретов на сервере Boxcryptor.

Расшифрование файла осуществляется в обратной последовательности, только вместо открытого ключа RSA используется закрытый. Однако все эти преобразования скрыты от глаз пользователя.

Данный сервис подкупает простотой его использования для шифрования и расшифрования. Все операции выполняются в один клик. Необходимо с помощью «Проводника» в рамках виртуального диска Boxcryptor выбрать файл, размещенный в облачном хранилище, вызвать на его наименовании контекстное меню и нажать «шифровать» или «расшифровать» (в зависимости от целей). В случае шифрования около имени файла появляется зеленый квадрат с замком, обозначающий факт выполнения шифрования.

Рисунок 15 . Шифрование файла в десктопной версии Boxcryptor на Windows

Непосредственно в самом облачном хранилище файл будет переименован посредством добавления к нему расширения «.bc». Меняется и внешний вид его отображения в облачном хранилище, чтобы увидеть это, достаточно вызвать на зашифрованном файле контекстное меню и выбрать пункт «Показать исходник в Dropbox». При открытии зашифрованного файла непосредственно в облаке появится сообщение о необходимости его преобразования и выборе кодировки. Фрагмент такого сообщения показан на рисунке ниже.

Рисунок 16 . Отображение зашифрованного файла в десктопной версии Boxcryptor на Windows и DropBox

Аналогичным образом осуществляется шифрование каталогов. При шифровании каталога к его наименованию добавляется суффикс «_encrypted», и на обозначении каталога в «Проводнике» появляется зеленый квадрат с замком.

Еще один способ шифрования файла - это его перемещение/копирование в ранее зашифрованный каталог. Таким образом, он автоматически шифруется.

Рисунок 17 . Автоматическое шифрование файла в десктопной версии Boxcryptor на Windows

Как уже упоминалось ранее, этот сервис может осуществлять шифрование не только для облачных хранилищ, но и для защиты локально размещенных файлов. Действия аналогичны. Зашифрованные и исходные файлы хранятся в облачных хранилищах, локально на устройстве пользователя (при защите локально размещенных файлов) и в виртуальном диске Boxcryptor. На сервер Boxcryptor файлы не попадают ни в каком виде. Открыть зашифрованный файл в читабельном виде можно только в рамках виртуального диска Boxcryptor или после его копирования с этого диска. В исходном же местоположении зашифрованный файл будет открываться в нечитаемом виде с выводом соответствующих уведомлений (сообщение о необходимости его преобразования и выборе кодировки).

В случае отсутствия сетевого окружения файлы могут быть зашифрованы в рамках виртуального диска Boxcryptor, и на их изображении будет отображаться значок синхронизации «», а при появлении сети будет выполнена синхронизация с облачными хранилищами.

Расшифрование осуществляется посредством выбора пункта «Расшифровать» и приводит к получению исходного файла. Если расшифрование применяется к каталогу, то автоматически расшифровываются все файлы, содержащиеся в нем.

Рисунок 18 . Расшифрование файла в десктопной версии Boxcryptor на Windows

При использовании сервиса на устройствах с операционной системой Android шифрование выполняется тоже довольно просто. Необходимо в рамках сервиса перейти в интересующий каталог облачного хранилища и с помощью кнопки «» выбрать файл на устройстве для его загрузки в облако. Как раз в момент загрузки сервис выдаст сообщение о необходимости определиться - должно ли быть выполнено шифрование.

Рисунок 19 . Шифрование файла в Boxcryptor на Android

Управление правами доступа к зашифрованному файлу/каталогу в Boxcryptor

Предоставление доступа к зашифрованному каталогу осуществляется через контекстное меню, вызываемое на зашифрованном файле. Доступ можно предоставить группе пользователей (добавленной на стадии настройки сервиса) или отдельному пользователю (указывая адрес его электронной почты). Опять же есть нюанс - доступ можно предоставить только тем, кто является пользователем Boxcryptor, и предоставить его может, соответственно, тот, кто обладает необходимыми правами.

Рисунок 20 . Управление правами доступа к зашифрованному объекту в десктопной версии Boxcryptor на Windows

При регистрации в операционной системе с другой учетной записью доступ к виртуальному диску Boxcryptor будет ограничен. Соответственно, другой пользователь, при отсутствии у него необходимых полномочий, в том числе и установленных при настройке сервиса (параметр «Подключать для всех пользователей» - см. рисунок 12), не то что не сможет использовать файлы, размещенные в рамках виртуального диска, он просто не увидит такого ресурса. Фактически именно на этом диске файлы шифруются для последующего их размещения в исходные хранилища (а на самом виртуальном диске они хранятся в открытом виде).

Предоставление зашифрованного файла лицу, не являющемуся пользователем Boxcryptor

Если необходимо передать зашифрованный файл лицу, не являющемуся пользователем Boxcryptor, это можно сделать благодаря наличию интеграции продукта с сервисом Whisply. Реализовать такую передачу можно воспользовавшись соответствующим пунктом контекстного меню, вызываемого на зашифрованном файле в «Проводнике».

Рисунок 21 . Безопасная передача файла, зашифрованного в десктопной версии Boxcryptor на Windows, через сервис Whisply

После чего в браузере откроется страница сервиса Whisply, связанная с передачей файла. Для завершения передачи необходимо будет пройти следующие шаги:

1. Удостовериться в правильности передаваемого файла.
2. Определить параметры доступа к файлу: время, по истечении которого файл станет никому не доступен; возможность осуществления получателем скачивания файла только один раз или многократно.
3. Установить пароль.
4. Отправить ссылку на скачивание (включая способ отправки: на адрес электронной почты, SMS-сообщением или скопировав в буфер обмена для последующего представления адресату).
5. Отправить пароль (по аналогии с отправкой ссылки на скачивание).

Рисунок 22 . Работа с сервисом Whisply по передаче файла, зашифрованного в Boxcryptor

В результате выполнения этих шагов адресат получит зашифрованный файл с возможностью его чтения. Кроме того, при изменении зашифрованного файла в облаке у адресата будет возможность по этой же ссылке получить самую актуальную версию файла, но только в течение срока действия ссылки.

Шифрование имен файлов в Boxcryptor

Шифрование имен файлов, так же, как и шифрование/расшифрование файла, осуществляется через контекстное меню. В результате шифрования имени - имя файла в облачном хранилище будет представлено совокупностью иероглифов (за исключением расширения «.bc»).

Рисунок 23 . Шифрование имени файла в десктопной версии Boxcryptor на Windows

Вернуть нормальное имя файла можно с помощью отмены шифрования имени через контекстное меню.

Мастер-ключ пользователя Boxcryptor

Эта функция позволяет получить зашифрованные файлы компании, если пользователь забыл пароль или уволился, не передав свои полномочия другим пользователям. Чтобы сгенерировать такой ключ, необходимо перейти на вкладку «Профиль» в настройках Boxcryptor и в строке «Мастер-ключ» нажать «Сгенерировать». В появившемся окне необходимо ввести пароли для нового ключа и сгенерировать сам ключ. После генерации сформированный ключ необходимо внести через веб-интерфейс в соответствующую политику.

Рисунок 24 . Генерация мастер-ключа пользователя в десктопной версии Boxcryptor на Windows

При появлении потребности использования мастер-ключа его необходимо просто разблокировать, введя соответствующий пароль на вкладке «Профиль» в настройках сервиса. Это позволит ответственному лицу получить доступ ко всем зашифрованным файлам всех пользователей компании.

Выводы

Мы рассмотрели основные функции сервиса Boxcryptor, предназначенного для защиты данных отдельных пользователей и компаний в целом при их размещении в облачных хранилищах. Для отдельных пользователей предлагается три вида подписки:

• бесплатная – Free – с ограниченным функционалом;
• платная – Unlimited Personal – расширенный по сравнению с Free состав функций;
• платная – Unlimited Business – наиболее полный состав функций, предназначена для защиты не только личной, но и бизнес информации отдельных сотрудников, небольших компаний и частных предпринимателей.

Компаниям предложен отдельный вид подписки, являющийся самым полным и представляющим собой самостоятельный бизнес-пакет - Company Package.

Отличительной особенностью Company Package является наличие функций, ориентированных именно на компании, например:

• Формирование мастер-ключа пользователя и сброс паролей пользователей, обеспечивающие возможность расшифровки файлов компании в случае утраты паролей, с помощью которых было выполнено шифрование.
• Поддержка Active Directory, позволяющая синхронизировать учетные записи пользователей Boxcryptor c учетными записями пользователей из Active Directory компании, что позволяет немного облегчить жизнь системному администратору.
• Управление пользователями и устройствами, способствующее централизованному управлению всеми пользователями компании и конфигурационными параметрами сервиса на корпоративных устройствах.
• Возможность проведения аудита (мониторинга), способствующего обнаружению нехарактерного поведения пользователя.
• Двухфакторная аутентификация, обеспечивающая аутентификацию пользователей посредством применения решения компании Duo Security.

Основными достоинствами сервиса являются:

• Разнообразие поддерживаемых платформ: Windows XP SP3 и выше, macOS X 10.7.5 и выше, iOS 7 и выше (iPhone/iPad/iPod), Android 4.0.3 и выше, Windows Phone, Windows RT, Blackberry 10.
• Наличие portable-версии (для платформ Windows, macOS, Linux).
• Большое количество поддерживаемых сервисов облачных хранилищ: Яндекс.Диск, Dropbox, Google Drive, Box, OneDrive, Amazon Cloud Drive, Amazon S3, CloudMe, Cloudwatt, Cubby, Egnyte, GMX, iCloud Drive, livedrive, Orange, SDS, SpiderOak, storegate, Strato HiDrive, SygarSync, Telekom, WEB.de.
• Выполнение шифрования/расшифрования файлов локального хранилища (Local Storage).
• Интуитивно понятный интерфейс.
• Наличие бесплатной подписки.
• Использование надежных и проверенных временем алгоритмов шифрования - RSA и AES.
• Возможность работы в офлайн-режиме и последующей синхронизации с облачным хранилищем.
• Выполнение шифрования/расшифрования в один клик мышки.
• Выполнение шифрования/расшифрования «на лету».
• «Автоматическое шифрование» файлов при их размещении в шифрованном каталоге.
• Возможность безопасного предоставления доступа к файлу.
• Восстановление доступа к зашифрованным файлам компании с помощью мастер-ключа.
• Наличие расширения для браузера Chrome.
• Защита от несанкционированного доступа. При запуске сервиса требуется ввод пароля от учетной записи пользователя Boxcryptor. Доступ к сервису может быть ограничен учетной записью пользователя операционной системы.
• Техническая поддержка от производителя для пользователей платных типов подписки.

К минусам сервиса можно отнести:

• Минимальный набор функционала в бесплатной подписке.
• Снижение производительности системы при использовании шифрования имен файлов (особенно в случае большого количества файлов).
• Отсутствие в составе поддерживаемых провайдеров облачных хранилищ одного из наиболее распространенных в России - Mail.ru. Однако производители предлагают связаться с ними, если в списке поддерживаемых провайдеров вы не обнаружили нужного, - они проведут проверку.
• Невозможность выполнения отдельных операций непосредственно в локально установленной версии сервиса (требуется применение веб-интерфейса), например:
• Выбрать тип подписки Company Package и активировать пробный период в 30 дней.
• Добавить политику, связанную со сгенерированным мастер-ключом.
• Отсутствие автоматического подключения облачных хранилищ, ассоциированных с учетной записью пользователя Boxcryptor, при его запуске на мобильных устройствах с той же учетной записью. Т. е. на новых устройствах, где устанавливается Boxcryptor, провайдеры сервисов облачных хранилищ должны быть обнаружены и добавлены автоматически, но на мобильных устройствах их приходится добавлять вручную.

Я уже неоднократно говорил о сложности ситуации с бизнесом и облачными технологиями (да по сути и не только с бизнесом, а любым клиентом, который хранит сколько-нибудь конфиденциальную информацию). С одной стороны - удобство и экономия, дающие преимущество над конкурентами. С другой - “сырость” алгоритмов и механизмов защиты информации, которая материализовавшись даже одной утечкой данных за несколько лет, может вылиться в такие убытки, как в материальном смысле так и для репутации, что вся экономия пойдет прахом.

Впрочем, если подойти к вопросу всесторонне, то вероятность реализации наихудшего варианта можно значительно снизить. В конце концов, спасение утопающих - дело рук самих утопающих. Одно только шифрование файлов с клиентской стороны добавляет дополнительный важный барьер защиты - ведь на сервере хранения они не расшифровываются. Другим вариантом может быть использование более защищенных сервисов.

Шифрование более надежный метод, но накладывает определенные ограничения на работу с файлами. В частности зашифрованные файлы нельзя просматривать онлайн, их сложнее передавать другим пользователям - для того чтобы просмотреть содержание зашифрованного файла понадобится как минимум пароль, а в некоторых случаях еще и программа для расшифровки.

Перед тем как углубиться в детали, рекомендую проконсультироваться с опубликованной ранее статьей (), посвященной информационной безопасности и облачным технологиям, оттуда вы в частности узнаете, почему так опасно применять дважды один и тот же пароль и как настроить двухэтапную аутентификацию в Dropbox (что значительно снизит шансы взлома вашей учетной записи практически без каких-либо усилий с вашей стороны). А теперь - поподробнее о сегодняшней теме.

Создать контейнер в TrueCrypt

– это open-source криптографическое ПО, которое создает на жестком диске криптографический контейнер, в который вы помещаете файлы, или папки с файлами. Контейнер отображается как папка или отдельный подраздел на жестком диске и “снаружи” виден как большой массив бинарных данных, к которым без программы и знания кодовой фразы получить доступ невозможно. При помощи программы TrueCrypt вы можете работать с данными внутри зашифрованного архива так, как будто это обычная папка. Операции шифрования/дешифрования выполняются “на лету”. В таком архиве вы можете спокойно работать не опасаясь что к важным данным получит доступ кто-то посторонний, а для большей сохранности (в конце концов, потеря информации из-за технического сбоя - также распространенное явление) такой архив есть смысл хранить в вашей папке Dropbox.

Почему именно Dropbox? Причин несколько. Во-первых у Dropbox нет ограничения на размер хранимого фала, что позволяет делать криптоконтейнер сколь угодно большим. Во-вторых, Dropbox умеет обнаруживать изменения в структуре синхронизируемых файлов и копировать только их. На практике это означает, что при внесении изменений в огромный архив, Dropbox будет синхронизировать только небольшую часть данных, которая была модифицирована, а не весь файл, как делает большинство других сервисов.

Создать архив в облаке с помощью BoxCryptor

Если уж все равно использовать в качестве хранилища облачный сервис, то почему бы не создать криптоархив сразу там? Видимо так рассуждали создатели популярного приложения , которое вопреки тому, что можно подумать исходя из названия, работает с любым облачным сервисом. BoxCryptor создает в папке выбранного сервиса криптоархив, где хранятся все файлы, которые вы можете туда добавлять и изменять через создаваемый программой виртуальный диск. Также имеются приложения для мобильных платформ, что позволит вам получить доступ к криптоархиву со своего планшета/телефона. Существуют приложения для Android (работает с криптоархивами, хранящимися в Dropbox/Google Drive, поддержка Skydrive обещана в ближайшем будущем) и iOS (работает только с архивам, хранящимися в Dropbox, поддержка Google Drive и Skydrive обещана в ближайшем будущем). Бесплатная версия BoxCryptor может работать только с одним архивом и не шифрует имена файлов, в остальном ограничений нет. Аналогичные услуги предоставляют конкурирующие сервисы CloudFogger и SecretSync.

Использовать облачный сервис c поддержкой шифрования на стороне клиента

До сих пор речь шла только об действиях по защите информации со стороны клиента, которые вам необходимо предпринимать самостоятельно. Однако есть и облачные сервисы, где этот процесс автоматизирован. Это в частности, SpiderOak и Wuala . Принцип работы их клиентов таков, что перед пересылкой информации на сервер она шифруется клиентом локально, как результат – что хранится на их серверах не знают даже сами хозяева сервиса, так как ключ хранится в клиентском ПО. Процесс установки и настройки клиента SpiderOak слегка сложнее чем Dropbox, зато присутствуют уникальные возможности, например защита паролем расшариваемых файлов и т.д.

Шифровать отдельные файлы

Если у вас не так много файлов или вам нужно только переслать файлы в зашифрованном виде, то есть смысл просто запаковать необходимые файлы в шифрованный архив. Для таких задач отлично подходит популярный архиватор 7zip - просто выберите при создании архива опцию “шифрование” и укажите пароль.

Полнодисковое шифрование

Рассмотрим обратную ситуацию – вы постоянно работаете с конфиденциальной информацией значительного объема. В этом случае есть смысл использовать решения для полнодискового шифрования наподобие FileVault для OS X, BitLocker для Windows или EncFS для Linux. Такие решения могут применяться как для создания отдельного шифрованного раздела на жестком диске так и для шифрования всего диска целиком. В последнем случае незашифрованным остается только небольшой раздел, который содержит загрузочные файлы системы, а в качестве методов авторизации могут применяться как пароли, так и более сложные методы аутентификации и авторизации, например USB-брелок, на котором записан ключ. Такие методы защиты замедляют работу системы и делают восстановление файлов весьма проблематичным в случае сбоя, но обеспечивают наибольшую безопасность данных. Разумеется, все данные, хранимые в облачных сервисах также будут зашифрованы, так как они будут загружаться в облако уже шифрованными, правда получить к ним доступ через веб-клиент будет невозможно.

За последние несколько лет появилось столько сервисов для удаленного хранения и синхронизации пользовательских данных, что отказаться от их использования уже почти невозможно. Тем не менее многих останавливают вопросы конфиденциальности. В конце концов, загружая файлы в облако, мы передаем их на чужой компьютер, а значит, доступ к нашей информации может иметь еще кто-то, кроме нас.

С другой стороны, сложно отказаться от многочисленных удобств, которые нам дают сервисы для хранения данных: наличие резервной копии файлов, возможность получить доступ к своим документам с любого устройства из любой точки мира, удобная передача файлов другим людям. Можно найти несколько способов решения проблемы безопасности удаленного хранения файлов. О некоторых из них и пойдет речь в этом обзоре.

⇡ Cloudfogger — бесплатное шифрование для любого облака

Возможно, самый простой способ заботы о безопасности файлов, хранящихся в облаке, — шифровать их вручную. Для этого можно использовать защищенные паролем архивы или же одно из множества существующих приложений для шифрования. Но для тех, кто имеет дело с большим числом документов, в которые постоянно вносятся изменения, такие способы не очень хорошо подходят. Раз уж сервисы для удаленного хранения файлов избавляют нас от необходимости загружать на них файлы вручную, то и процесс шифрования стоит автоматизировать. Это можно реализовать при помощи специализированной программы Cloudfogger. Она работает с Windows, Mac, а также может быть установлена на устройства с Android и iOS.

Приложение шифрует данные с использованием 256-разрядного шифрования алгоритмом AES (Advanced Encryption Standard), перед тем как они загружаются в облако. Файлы попадают на серверы Dropbox и других облачных хранилищ исключительно в зашифрованном виде, поэтому доступ к ним можно получить только в том случае, если на устройстве, с которого вы хотите открыть файл, тоже установлен Cloudfogger.

Очень удобно, что шифрование не вызывает неудобств в работе: ключ для доступа к файлам вводится лишь один раз, при загрузке системы, после чего можно работать с ними в обычном режиме. Но если, к примеру, ноутбук будет украден, то при следующем запуске злоумышленник уже не сможет узнать содержание файлов в защищенных папках.

В начале работы с Cloudfogger нужно создать учетную запись (причем для большей безопасности можно отключить опцию восстановления пароля, но в этом случае забывать его категорически не рекомендуется). Затем приложение само попытается найти папки популярных облачных сервисов Dropbox, SkyDrive, Google Drive и прочих. Но даже если Cloudfogger не справился с этой задачей в автоматическом режиме, все равно можно вручную выбрать директории, содержимое которых требуется шифровать.

Кроме этого, есть возможность определить отдельные файлы из любых других папок. Сделать это проще всего при помощи контекстного меню «Проводника» — Cloudfogger добавляет в него свой список команд.

Также предусмотрена возможность исключать из шифрования отдельные директории и файлы из тех папок, которые защищены Cloudfogger. Такие данные будут загружаться на облачные сервисы в обычном режиме. Стоит иметь в виду, что после того как синхронизируемая папка будет защищена Cloudfogger, потребуется некоторое время на повторную загрузку данных из нее в облачное хранилище.

Еще одна функция Cloudfogger — обмен зашифрованными файлами с другими людьми. Если данные, содержащиеся в облачных хранилищах, будут защищены приложением, стандартные способы отправки ссылок на них другим людям не подойдут. Но вот если разрешить доступ к файлам в интерфейсе Cloudfogger, можно безопасно обмениваться ими с другими людьми. Файлы, зашифрованные Cloudfogger, можно передавать на флешке или отсылать по почте.

Технически доступ к файлам работает так: каждый файл Cloudfogger (.cfog) содержит уникальный ключ AES, который в зашифрованном виде хранится в самом файле. Такие 256-разрядные ключи защищены ключами RSA, которые уникальны для каждого пользователя. Расшифровка происходит только в том случае, если доступ к файлу пытается получить тот пользователь, чей ключ RSA соответствует прописанному в заголовке файла.cfog. Если таких пользователей несколько, данные об их ключах, соответственно, заносятся в заголовки файлов.

Еще одно специализированное решение для обеспечения безопасности файлов на «облачных» сервисах — Boxcryptor. Первоначально созданное как дополнение к Dropbox, сегодня это приложение поддерживает все популярные сервисы для удаленного хранения файлов. Правда, в бесплатной версии доступно шифрование данных, хранящихся лишь на одном сервисе, а также нельзя включить шифрование имен файлов.

Boxcryptor автоматически определяет наличие установленных клиентов популярных сервисов для хранения файлов в облаке (поддерживается даже «Яндекс.Диск»), создает виртуальный диск и добавляет в него соответствующие папки. В настройках можно управлять всеми подключенными папками: добавлять новые, на время отключать шифрование и так далее.

Сервис предлагает поддержку всех основных платформ, как настольных, так и мобильных. Есть даже расширение для Google Chrome. Для работы с Boxcryptor потребуется создание учетной записи — забывать свой пароль категорически не рекомендуется!

⇡ Tresorit — облачный сервис с повышенным вниманием к безопасности

Если из соображений безопасности вы еще не используете никаких сервисов для удаленного хранения файлов, стоит обратить внимание на молодой проект Tresorit, запущенный около полугода назад. Сервис создан как альтернатива стандартным решениям для хранения файлов в облаке и готов обеспечить гораздо более высокий уровень конфиденциальности файлов.

Tresorit обеспечивает шифрование файлов на стороне пользователя. Таким образом, все данные хранятся на серверах сервиса уже в зашифрованном виде. Для шифрования используется стойкий алгоритм AES-256. При создании учетной записи пользователя предупреждают о том, что в случае потери пароля получить доступ к данным на удаленном сервере будет невозможно. Никаких способов для восстановления пароля не предусмотрено, поскольку пароль не хранится нигде: ни в установленном приложении, ни на серверах сервиса. А для пользователей, потерявших пароль, разработчики Tresorit предлагают единственное решение — зарегистрироваться заново.

За повышенную безопасность придется заплатить отказом от некоторых привычных функций. Например, вы не сможете получить доступ к своим файлам с чужого компьютера — веб-интерфейса у Tresorit нет. Пока что разработчики даже не обещают такой возможности, объясняя это тем, что в JavaScript множество уязвимостей. Впрочем, с учетом возможности установки приложения Tresorit на мобильных устройствах, этот недостаток не кажется таким уж серьезным — в конце концов, если нет возможности всюду носить за собой ноутбук, то смартфон уж точно почти всегда при пользователе.

Для обмена файлами используются приглашения, рассылаемые по почте. Настраивая общий доступ, можно назначать людям разные роли: одни могут только просматривать файлы, другие — вносить в них изменения и добавлять в папки новые файлы, третьи — плюс к этому еще и приглашать новых пользователей.

⇡ MEGA — безопасные 50 Гбайт в облаке с синхронизацией

До недавнего времени новое детище Кима Доткома вряд ли могло рассматриваться как альтернатива привычным сервисам для удаленного хранения файлов. Дело в том, что единственным способом загрузки файлов в него было перетаскивание их в окно браузера. Соответственно, ни об автоматической загрузке, ни о синхронизации речи не было.

Но с выходом приложения для Android , а также бета-версии клиента для Windows у сервиса появились эти две важнейшие возможности.

О самом сервисе и о принципах безопасности, на основе которых он создан, мы уже подробно писали в материале «Mega-возвращение Кима Доткома: 50 Гбайт в облаке бесплатно» , поэтому остановимся лишь на основных моментах. Итак, MEGA был создан как ответ на закрытие Megaupload американскими властями. Серверы, на которых хранятся пользовательские данные, расположены в Новой Зеландии. Все файлы шифруются на стороне пользователя, то есть перед отправкой на сервис, благодаря чему получить доступ к ним без знания пароля невозможно. В отличие от Tresorit, MEGA работает в браузере и дает возможность пользователям просматривать списки файлов, удалять и перемещать их, но онлайн-просмотр недоступен, так как они зашифрованы. Для просмотра файл нужно предварительно скачать на диск. Для шифрования используется 2048-разрядный ключ RSA, а забытый пароль восстановить невозможно, поскольку он одновременно является и ключом шифрования.

Поначалу у пользователей не было даже возможности поменять пароль, введенный при регистрации, но теперь такая возможность появилась. Более того, если пользователь уже вошел в свою учетную запись MEGA в браузере, но не помнит текущий пароль, он может его сменить, введя новый и затем перейдя по подтверждающей ссылке в письме, которое отправляется на привязанный к аккаунту адрес электронной почты.

Клиент MEGASync дает возможность синхронизировать содержимое любых папок на диске с виртуальными папками, имеющимися в учетной записи Mega. Прямо при первоначальной настройке можно выбрать, какие папки куда нужно бекапить.

Позже в настройках приложения можно добавить дополнительные папки. Настройки клиента также дают возможность просматривать информацию о свободном месте (напомним, Mega предлагает целых 50 Гбайт бесплатно), ограничивать скорость загрузки, использовать прокси.

Клиент MEGA для Android позволяет не только скачивать файлы, хранящиеся на сервере, но и автоматически загружать на сервис все фотографии и видеофайлы, сделанные камерой устройства. Также в клиенте доступны все основные операции по работе с файлами: удаление, перемещение, создание ссылок на файлы для обмена с другими людьми, поиск.

⇡ Заключение

Наличие на компьютере файлов, о содержании которых не стоит знать никому постороннему, — это еще не повод отказываться от использования сервисов для удаленного хранения данных. Просто нужно позаботиться о конфиденциальности, установив ПО для обеспечения дополнительной защиты или же отдав предпочтение одному из сервисов с шифрованием на стороне пользователя. Наиболее привлекательным среди всех рассмотренных решений выглядит Mega. Сервис предлагает очень большой объем дискового пространства бесплатно, обеспечивает шифрование файлов до загрузки на сервер без использования дополнительных утилит, а также дает возможность просматривать список файлов и управлять ими в браузере и с мобильного устройства на Android.

Последняя статья из данной рубрики, в которой я затрону тему облачных хранилищ, типа Dropbox. Уже были известны случаи о взломе облачных хранилищ, поэтому о безопасности своих данных придётся забыть, точнее, если вы ничего не предпринимаете, конечно.

В данном материале я покажу интересное программное обеспечение, которое защитит ваши файлы в облаке. Утилита эта называется BoxCryptor и помогает создать виртуальный диск, способный сразу зашифровать нужные данные по типу AES.

Достоинства программы

• Простота использования;
• Наличие бесплатной версии, но можно приобрести и платную;
• Взаимодействие практически со всеми облачными хранилищами;
• Надёжность программы;
• Работа только с отдельными файлами, а не с контейнерами.

BoxCryptor хорошо справляется со своими задачами и шифрование файлов происходит мгновенно, как и расшифровка. Если ваш пароль вдруг попал к недоброжелателям, то для них файлы все равно окажутся нечитаемыми.

Перед использованием нужно разобраться, какой версией вы готовы пользоваться. Если вы не собираетесь платить, то бесплатная версия вам подойдет, правда в ней немного ограничен функционал тем, что вы можете работать только с одним виртуальным диском. В неограниченной версии вы можете работать с несколькими дисками и папками, есть возможность шифрования имён файлов. Такая версия стоит 40 долларов.

Предыдущие статьи:

Установка и работа с BoxCryptor

Скачать утилиту можно на официальном сайте . Нажмите там кнопку «Download Boxcryptor» . Далее загрузится установщик программы. С установкой программы у вас проблем произойти не должно.

После установки нам предлагают зарегистрироваться. Нажмите на ссылку внизу «Создать профиль Boxcryptor» .

Вводим имя, фамилию и адрес почты, а также пароль. Жмём «Дальше».

В следующем окне появляется сообщение, что потеря пароля грозит вам плохими последствиями, то есть восстановить зашифрованные данные не получится. Отмечаем галочку и идём «Дальше». Начнётся процесс регистрации.

Нам предлагают выбрать версию. Я выберу Free , то есть бесплатную.

Теперь вам нужно войти в свой аккаунт, и мы можем начинать работать с программой. Мы увидим приветственное окно, а потом откроется виртуальный диск, у меня он обозначен буквой X. Если у вас на компьютере не будет установлено ни одно ПО Облака, то придётся это сделать, иначе программа об этом вам напомнит. Также вы увидите окно «Учебник по BoxCryptor». Если никогда не работали с такими программами, то изучите его.

Теперь нужно сделать следующее: заходим на виртуальный диск и видим там папку облачного сервиса, в моём случае Dropbox. Я открываю эту папку и шифрую там какой-нибудь каталог. Для этого нажму по нему правой кнопкой мыши перейду в раздел Boxcryptor и выберу пункт «Зашифровать» .

Появится окно с предупреждением о закрытии всех открытых папок и шифровании файлов внутри папки. Высветится сообщение, что операция успешно завершена. Нажимаем ОК.

Теперь папка будет с припиской «_encrypted» . Файлы, которые вы будете туда перекидывать тут же будут зашифрованы. Заметим, что если вы будете закачивать файлы в облако не из виртуального диска, то они не будут шифроваться. Шифровать можно не только папки, но и любые файлы.

Если хотите, можете указать права доступа для зашифрованного файла или папки. Для этого нужно выбрать пункт «Управлениями правами доступа» . Так, вы сможете добавить доверенного пользователя, который может пользоваться зашифрованными данными.

При открытии зашифрованной папки из Dropbox вы увидите реально защищенные файлы, с которыми работать нельзя. Вы можете это делать только из виртуального диска.

Чтобы снять шифрование нужно нажать по нужному файлу или папки правой кнопкой мыши, перейти в «Boxcryptor» и выбрать пункт «Расшифровать» .

Появится предупреждение, в котором нажимаем «Да» . Расшифровка делается мгновенно. Кстати, при желании, вы можете переименовывать зашифрованные данные.

Вот и всё, что я хотел вам рассказать о защите данных в облачных хранилищах. Таких программ существует очень много и все их разбирать смысла нет. Тем более ориентируясь на эту статью вы можете сделать это сами.

Уважаемое сообщество!

Но начать следует с обзора текущей ситуации.

Существуют облака, в которых можно хранить много различной информации. Иногда совершено бесплатно. Это прельщает. Множество сервисов прямо таки борются в желании предоставить вам как можно больше гигабайтов и функций. Однако, надо понимать, что бесплатный сыр бывает только в мышеловке. Опасность заключается в том, что свои файлы вы передаете на хранение чужому дяде с неизвестными, по отношению к вам, намерениями. А опасность именно файлов, как объекта информации, в том и заключается, что с него можно сделать копию и вы об этом факте никак не узнаете. Также файлы можно проанализировать с разными целями. В общем, много чего.

Придерживающиеся точки зрения «мне нечего скрывать, пусть смотрят» - дальше могут не читать. Продолжайте наслаждаться утечками фоток из iCloud, произошедшими недавно, удалением из облака нелицензионного контента и т.п. Те же, кому кому важна конфиденциальность личной жизни и в целом неприятно подглядывание за вами в замочную скважину и запускание руки большого брата в ваши личные дела - читаем дальше.

Облака использовать можно. Но нужно делать правильно. Решением здесь является шифрование данных. Однако, нужно понимать, что шифрование шифрованию рознь. Многие сервисы кричат о том, что у них самые лучшие алгоритмы шифрования. Но эти же сервисы скромно молчат о том, что сами они могут получить доступ к вашим данным в любое время. Поэтому самым правильным вариантом является вариант шифрования/дешифрования данных на ВАШЕЙ стороне. Таким образом, облако всегда имеет дело только с зашифрованным контентом. При этом, у клиента шифрования и облачного сервиса не должен быть один владелец. Идеальный случай - это открытые исходники клиента шифрования.

Итак, что мы имеем с таким подходом:

1. Владелец облака никогда не имеет доступа к содержимому ваших файлов. Никак.
2. Все узлы в цепочке следования вашего траффика не имеют доступа к вашим данным. Это, например, владелец wifi точки кафе, провайдер, владелец магистральных линий, админы сетки на вашей работе и т.п.

Это здорово.

1. У Вас появляются лишние заботы по обеспечению шифрования/дешифрования, лишняя нагрузка на компьютер.

Кому что важнее. Но, давайте договоримся, что:

1. Облако для вас - не корпоративный инструмент для работы. Хотя и тут могут быть варианты в виде раздачи пароля коллегам.
2. Облако для вас - хранилище личных данных.

Состояние дел на текущий момент

1. На данный момент ни один сервис не предоставляет вышеописаную модель шифрования контента. Оно и понятно, ему это невыгодно.
2. Погуглив, я с удивлением обнаружил, что данной проблемой особо никто не озабочивается. Возможно, с облаками повторяется тот же трюк, что и с социальными сетями n-надцать лет назад. Когда люди, не думая, сами о себе все выложили в сеть. Кто с кем в каких отношениях, где служил и работал. Подарок всем спецслужбам и мошенникам.

Текущие варианты решения задачи по обеспечению безопасности собственных файлов в облаке:

1. Шифрование, предоставляемое владельцем облака. Защищает только от других пользователей, но не от владельца облака.
2. Складирование в облако файлов в запароленных архивах или шифрованных контейнерах (типа truecrypt). Неудобно пользоваться, так как для того, чтобы внести небольшое изменение или просто скачать файл - нужно скачивать/заливать весь контейнер целиком. Что часто бывает небыстро, если он большой.
3. VPN защищает только канал связи, но не содержимое облака.
4. Программа BoxCryptor. Она умеет шифровать файлы отправляемые/сливаемые из облака. Но её механизм работы неудобен. У вас на локальном компьютере должна быть синхронизированная копия всех данных облака. В этой копии вы работаете с данными, а программа в шифрованном виде заливает/сливает их в облако. Синхронизирует в общем. Неудобно.

А мы что хотим?

Мы хотим, чтобы у нас с собой была флешка, вставляем её в любой свой (или не свой) компьютер с подключением к интернету, запускаем с нее некую программу. У нас в системе появляется виртуальный диск, зайдя в который (кто эксплорером, кто Total Commander) мы попадем в наш аккаунт в облаке. Видим наши файлы, делаем с ними что нам нужно. А потом все выключаем и уходим. А вот если в наш аккаунт зайти без запуска этой волшебной проги, то мы (или злоумышленник, админ-сниффер, владелец облака и т.п.) увидим кучу мусора - как в именах файлов, так и в их содержимом.

Как вариант - поставить эту программу стационарно на все свои компьютеры и забыть о её существовании и необходимости периодического запуска. Такой метод будет работать со всеми типами облаков, которые поддерживают стандарт WebDAV и позволяют хранить просто произвольные файлы, удовлетворяющие стандартам файловых систем.

Погуглив, я нашел только 2 варианта решения вопроса шифрования почти в том виде, в каком мне нужно.

1. Плагин WebDav для Total Commander. Добавляет облачный аккаунт в Total Commander и он становится виден как диск. В который можно копировать файлы. Однако, он пока не поддерживает шифрование. Мои попытки упросить автора включить в него шифрование и стать Гислеру первым, кто решит эту проблему - не увенчались успехом.
2. Программа CarotDAV, про которую уже писали на данном сайте. Она умеет шифровать файлы и имена по-одиночке. И все бы хорошо, но она имеет интерфейс проводника, что неудобно.

И вот, собственно, свершилось то, ради чего я пишу этот длиннопост.

Собственно, программа легкая, все работает как надо. Но самое главное - вот теперь вы точно можете быть уверены, что ваши файлы в облаке принадлежат только вам - при сохранении легкого и удобного способа доступа к ним.

Приглашаю всех, кому стало интересно и кому такая программа необходима, присоединиться к тестированию.