Как зашифровать документы в облаке

Мы используем облачные сервисы для хранения личных документов, фотографий и видео. И для того, чтобы файлы были недоступны для просмотра как администрацией сервиса, так и третьими лицами, можно понадеяться на пароль к учётной записи или папке. А можно создать собственный криптоконтейнер.

Он представляет собой файл с зашифрованными данными, доступ к которым можно получить, только зная пароль. Но для каждодневного использования это — не слишком практичный способ. Есть и другие, более практичные методы шифрования документов.

Для тех, кому хочется иметь фоновый режим работы «как в Dropbox» с одновременным доступом с ПК и мобильных устройств, можно предложить 2 способа. Первый — использование веб-сервиса с уже встроенной криптографией. Второй — использование любого cloud-сервиса в связке с криптографической файловой системой EncFS либо аналогичным решением.

Используем сервисы с криптографией

В этом случае придётся полагаться на то, что шифрование, заявленное сервисом, и вправду работает. Несколько вариантов — далее.

Screen Shot 2015-03-19 at 17.02.39

Spideroak.com

Этот сервис похож на криптографический аналог Dropbox, использует алгоритм шифрования AES-256. Создатели проекта обещают, что данные шифруются на стороне клиента при том, что ключ шифрования размещён на сервисе. Для мобильных устройств шифрование выполняется на сервере. Для тех, кто серьёзно озабочен безопасностью данных, это может стать недостатком.

Screen Shot 2015-03-19 at 17.02.51

Wuala.com

Второй сервис предлагает клиентское шифрование на основе AES-256, SHA-256 и RSA-2048. При этом каждый файл шифруется собственным ключом. Список всех ключей хранится на сервере и дополнительно шифруется.

Шифрование при помощи EncFS или аналогов

В этом подходе гибкость и удобство выше. Из положительных сторон — наличие вариантов с открытым кодом. Из недостатков — шифрование происходит либо по отдельным файлам, либо по блокам.

Есть вариант для гиков: класть в облачную папку TrueCrypt-овый контейнер и его потом обновлять. В случае, если облачный клиент не поддерживает загрузку изменяемых частей, то придётся каждый раз выполнять демонтаж / монтаж контейнера.

Самый простой способ такого шифрования — TrueCrypt-контейнер с неопределяемым скрытым контейнером внутри. Этот файл можно скрыть среди системных файлов Windows, а также установить 2 пароля: по введению первого открывается доступ к безобидным файлам; а всё содержимое можно увидеть лишь после введения второго пароля. У этого способа шифрования есть недостаток: имея доступ к нескольким версиям контейнера, можно проанализировать изменившиеся части и выявить закономерности, которые позволят взломать зашифрованный архив или файл из контейнера.

Для экстра-параноиков

Гики и фанаты криптозащиты говорят о необходимости внедрять новые протоколы для дискового шифрования и построения собственных кастомных решений. Из полезного на эту тему: советы по удалённому хранению информации на выделенном или виртуальном сервере — настройку и запуск можно изучить для связки SSHFS + EncFS. Список сервисов с ssh-шифрованием можно изучить по ссылке.