Спосіб зручного шифрування даних в хмарі (власними засобами)

Шановне товариство!

Хочу поділитися способом зручного прозорого шифрування даних, які ми передаємо/викачуємо з хмари.

Але почати слід з огляду поточної ситуації.

Існують хмари, в яких можна зберігати багато різної інформації. Іноді скоєно безкоштовно. Це приваблює. Безліч сервісів прямо таки борються в бажанні надати вам якомога більше гігабайтів і функцій. Однак, треба розуміти, що безкоштовний сир буває тільки в мишоловці. Небезпека полягає в тому, що свої файли ви передаєте на зберігання чужому дядькові з невідомими, по відношенню до вас, намірами. А небезпека саме файлів, як об'єкта інформації, в тому і полягає, що з нього можна зробити копію і ви про цей факт ніяк не дізнаєтеся. Також файли можна проаналізувати з різними цілями. Загалом, багато чого.

Дотримуються точки зору «мені нема чого приховувати, хай дивляться», — далі можуть не читати. Продовжуйте насолоджуватися витоками фоток з iCloud, що відбулися нещодавно, видаленням з хмари неліцензійного контенту і т.п. Ті ж, кому кому важлива конфіденційність особистого життя і в цілому неприємно підглядання за вами в замкову щілину і запускання рук великого брата у ваші особисті справи — читаємо далі.

Хмари використовувати можна. Але потрібно робити правильно. Рішенням тут є шифрування даних. Однак, потрібно розуміти, що шифрування шифрування ворожнечу. Багато сервіси кричать про те, що у них найкращі алгоритми шифрування. Але ці ж сервіси скромно мовчать про те, що самі вони можуть отримати доступ до ваших даних у будь-який час. Тому найбільш правильним варіантом є варіант шифрування/дешифрування даних на ВАШОМУ боці. Таким чином, хмара завжди має справу тільки з зашифрованим контентом. При цьому, у клієнта шифрування і хмарного сервісу не повинен бути один власник. Ідеальний випадок — це відкриті вихідні коди клієнта шифрування.

Отже, що ми маємо з таким підходом:

Плюси:

1. Власник хмари ніколи не має доступу до вмісту ваших файлів. Ніяк.
2. Всі вузли в ланцюжку проходження вашого трафіку не мають доступу до ваших даних. Це, наприклад, власник wifi точки кафе, провайдер, власник магістральних ліній, адміни сітки на вашій роботі і тощо

Це здорово.

Мінуси:

1. У Вас з'являються зайві турботи щодо забезпечення шифрування/дешифрування, зайве навантаження на комп'ютер.

Кому що важливіше. Але, давайте домовимося, що:

1. Хмара для вас — не корпоративний інструмент для роботи. Хоча і тут можуть бути варіанти у вигляді роздачі пароля колегам.
2. Хмара для вас — сховище особистих даних.

Стан справ на поточний момент

1. На даний момент жоден сервіс не надає вышеописаную модель шифрування вмісту. Воно і зрозуміло, йому це невигідно.
2. Погугливши, я з подивом виявив, що даною проблемою особливо ніхто не переймається. Можливо, з хмарами повторюється той же трюк, що і з соціальними мережами n-надцять років тому. Коли люди, не думаючи, самі про себе все виклали в мережу. Хто з ким у яких стосунках, де служив і працював. Подарунок всім спецслужбам і шахраям.

Поточні варіанти вирішення завдання щодо забезпечення безпеки власних файлів у хмарі:

1. Шифрування, що надається власником хмари. Захищає тільки від інших користувачів, але не від власника хмари.
2. Складування у хмару файлів в архівах або запаролених шифрованих контейнерах (типу truecrypt). Незручно користуватися, так як для того, щоб внести невелику зміну або просто завантажити файл — потрібно скачувати/заливати весь контейнер цілком. Що часто буває нешвидко, якщо він великий.
3. VPN захищає тільки канал зв'язку, але не вміст хмари.
4. Програма BoxCryptor. Вона вміє шифрувати файли надсилаються/сливаемые з хмари. Але її механізм роботи незручний. У вас на комп'ютері повинна бути синхронізована копія всіх даних хмари. У цій копії ви працюєте з даними, а програма в шифрованому вигляді заливає/зливає їх в хмару. Синхронізує загалом. Незручно.

А ми що хочемо?

Ми хочемо, щоб у нас із собою була флешка, вставляємо її в будь свій (чи не свій комп'ютер з підключенням до інтернету, запускаємо з неї якусь програму. У нас в системі з'являється віртуальний диск, зайшовши в який (хто експлорером, хто Total Commander), ми потрапимо в наш акаунт у хмарі. Бачимо наші файли, робимо з ними що нам потрібно. А потім все вимикаємо і йдемо. А от якщо в наш аккаунт зайти без запуску цієї чарівної проги, то ми (або зловмисник, адмін-сніффер, власник хмари тощо) побачимо купу сміття — як в іменах файлів, так і в їх вмісті.

Як варіант — поставити цю програму стаціонарно на всі свої комп'ютери і забути про її існування і необхідності періодичного запуску. Такий метод буде працювати з усіма типами хмар, які підтримують стандарт WebDAV і дозволяють зберігати просто довільні файли, що задовольняють стандартам файлових систем.

Погугливши, я знайшов тільки 2 варіанти вирішення питання шифрування майже в тому вигляді, в якому мені потрібно.

1. Плагін WebDav для Total Commander. Додає хмарний акаунт у Total Commander і він стає видно як диск. У який можна копіювати файли. Проте, він поки що не підтримує шифрування. Мої спроби переконати автора включити в нього шифрування і стати Гислеру першим, хто вирішить цю проблему — не увінчалися успіхом.
2. Програма CarotDAV, про яку вже писали на цьому сайті. Вона вміє шифрувати файли та імена по-одиночці. І все б добре, але вона має інтерфейс провідника, що незручно.

І ось, власне, сталося те, заради чого я пишу цей длиннопост.

Я зміг умовити автора включити підтримку монтування віртуального диска в його програму. Мені була вислана його тестова версія, яку зараз я тестую.

Власне, програма легка, все працює як треба. Але найголовніше — от тепер ви точно можете бути впевнені, що ваші файли в хмарі належать тільки вам — при збереженні легкого і зручного способу доступу до них.

Запрошую всіх, кому стало цікаво і кому така програма необхідна, приєднатися до тестування.

P.S. Автор на сайті заявляє, що може вислати исходники.

Посилання на додаткові матеріали
habrahabr.ru/post/207306/
habrahabr.ru/post/209500/

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.