Hlavní navigace

Cryptomator: jednoduché šifrování cloudového úložiště

Roman Bořánek

Obáváte se o svá data v cloudových úložištích, ale šifrování à la VeraCrypt je pro vás příliš krolomné. Tak pro vás je tu Cryptomator. Jeho nastavení je až neuvěřitelně snadné, ale nedostatky se také najdou.

Pokud chcete šifrovat data lokálně, máte řadu možností. Včetně velmi snadno použitelných jako VeraCrypt nebo šifrování domovského adresáře v Ubuntu s eCryptfs, což vám distribuce nabídne už při instalaci. Co když ale chcete šifrovat data, která následně posíláte do cloudu? Zde už můžete narazit na řadu problémů a nesrovnalostí, protože s tím návrh šifrovacích řešení moc nepočítá. Takový VeraCrypt sice funguje, ale uploadovat při každé změně znovu celý kontejner, který může mít mnoho GB, není příliš efektivní a použitelné.

Zde přichází na scénu Cryptomator, který se zaměřuje na šifrování souborů v cloudových úložištích. První veřejná verze vyšla na konci roku 2014, stabilní verze potom před cca deseti měsíci. Nástroj je napsaný v Javě, což nás moc nepotěšilo, ale aspoň tak na všech podporovaných platformách (Linux, Windows, macOS) vypadá stejně. Pro Linux jsou k dispozici balíčky DEB a RPM a repozitáře PPA a AUR.

První pohled: jednoduchost sama

Při prvním spuštění si možná řeknete: a to je všechno? Skutečně je. Cryptomator se uživateli prezentuje pouze jedním jednoduchým oknem, kde hraje prim seznam tzv. trezorů. Jako trezor si představte adresář, jehož všechny obsažené adresáře a soubory jsou šifrovány. Takových trezorů můžete vytvořit celou řadu, každý je chráněn vámi vybraným heslem. Důležité je mít na vědomí, že v samotném adresáři-trezoru nesmíte nic měnit, protože zde Cryptomator pracuje se zašifrovanými soubory. Možná je tedy lepší adresář zašít někam mimo dohled uživatele.

Když data chcete číst, vybraný trezor v aplikaci připojíte a data se namountují jako nový disk přes WebDAV. Tam už můžete se soubory nakládat tak, jak je libo. Cryptomator změny zpracuje a zapíše do trezoru. WebDAV bohužel není úplně ideální řešení. Zobrazení ve správci souborů je trochu nepřehledné a navíc některé aplikace stále neumí přímo přistupovat k souborům přes WebDAV. Jinak Cryptomator nemá prakticky žádné nastavení a pouze v grafu ukazuje, jaká je aktuální rychlost šifrování a dešifrování dat.

Kde je ten cloud? Přestože se Cryptomator prezentuje hlavně jako šifrovátko do cloudu, v aplikací žádnou zmínku Dropboxu nebo dalších úložišť nenajdete, ani kolonky pro přihlašovací údaje. Je to zkrátka proto, že to Cryptomator nepotřebuje. Pokud trezor umístíte do adresáře Dropboxu, o jeho synchronizaci se postará klient Dropbox. Pokud jej umístíte jednoduše někam na pevný disk, obsah se synchronizovat nebude. Cryptomator řeší jen šifrování dat a je navržen tak, aby synchronizace šifrovaných dat nepředstavovala pro cloudové klienty problém.

Šifrování: na základě EncFS

Co se týče samotného způsobu šifrování, Cryptomator se velmi podobá nástroji EncFS, o kterém už jsme také psali. Cryptomator generuje náhodné klíče pomocí funkce SHA1PRNG. Nejdůležitější je samozřejmě hlavní klíč, který je zašifrovaný vaším heslem. Svůj klíč má potom také každý soubor, přičemž klíč souboru je zašifrován hlavním klíčem. Zvlášť se šifruje název souboru, jeho hlavička a samotný obsah. Konkrétně jsou použity algoritmy AES-CTR a AES-SIV. Detaily najdete na stránkách projektu.

Všechny klíče jsou v zašifrované podobě uloženy v samotném trezoru, takže se o ně nemusíte starat. Úplně vám stačí znát heslo. A ještě jednou raději opakuji  nijak nezasahovat do samotného trezoru a k datům vždy přistupovat pouze přes Cryptomator a WebDAV. Pokud byste v samotném trezoru něco omylem změnili, může se stát, že se k některým souborům už nedostanete.

Trezor připojený přes WebDAV

Trezor připojený přes WebDAV

Mobilní aplikace: pouze pro Dropbox a Google Drive

Cryptomator má i mobilní aplikaci pro Android, ale ta je zatím v betaverzi a její použití je omezené. Nelze v ní vytvořit lokální trezor a v cloudu lze použít pouze Dropbox a Google Drive. Je to dáno tím, že mobilní aplikace podobných služeb většinou nesynchronizují, pouze nabízejí možnost stažení a nahrání vybraného souboru, což Cryptomatoru nestačí. Řeší to tedy tak, že vás požádá o udělení přístupu k účtu a soubory organizuje sám přes API.

Jinak je aplikace jednoduchá, nabízí jen základní možnosti procházení souborů a práce s nimi, ale povedená. Jen škoda, že Cryptomator funguje stejně pasivně jako aplikace cloudových služeb a neumí třeba automaticky synchronizovat vybraný adresář, vše zkrátka musíte udělat ručně. Aplikace umí jak vytvářet nové trezory, tak připojovat se k těm existujícím. Stejná data tak můžete mít snadno přístupná na mnoha počítačích a mobilních zařízeních. Snad se aplikace ještě rozvine a začne podporovat i další úložiště.

Nevýhody: hlavně absence verzování

Šifrování po jednotlivých souborech má i své nevýhody. A to zejména fakt, že i když třetí strana nemůže přečíst samotný obsah souborů, může lecos zjistit i z jejich adresářové struktury, velikosti, apod. Zvlášť pokud potenciální útočník hledá něco konkrétního. Předpokládám, že pro takové to domácí použití to nevadí, nicméně pokud z nějakého důvodu chcete co nejlepší ochranu, šifrování na bázi souborů nepoužívejte. Použijte šifrování celého disku/oddílu/kontejneru, u kterého lze zjistit jen to, že máte jeden velký kus nečitelných dat.

A takto vypadá zašifrovaný trezor. Nečitelná data, nesrozumitelný název, ale velikost souborů může napovědět

A takto vypadá zašifrovaný trezor. Nečitelná data, nesrozumitelný název, ale velikost souborů může napovědět

Cryptomator bohužel vůbec nepodporuje verzování souborů. Soubory ani nelze přesunout do nějakého koše, vždy je lze pouze smazat. Pokud si myslíte, že vám s tím pomůže klient cloudové služby, tak ani ne. Klient vidí pouze zašifrovaná data. Čistě teoreticky by sice bylo možné všechno potřebné k zašifrovanému souboru obnovit nebo vrátit o verzi zpět, ale to je velmi krkolomné a asi to budete zkoušet jen v případě největší nouze. Protože pokud si otevřete historii změn v Dropboxu, uvidíte jen to, že se změnilo několik souborů s podivnými názvy.

Dalším nedostatkem je (ne)integrace nástroje do systému. Cryptomator funguje jako obyčejná aplikace. Nenabízí běh na pozadí, applet nebo možnost automatického spuštění po přihlášení. Vždy aplikaci musíte spustit a trezory ručně připojit. To nevadí, pokud chcete šifrovat jen malou část citlivých dat. Ale pokud chcete šifrovat třeba celé úložiště v cloudu, ke kterému pořád přistupujete, už je to otrava.

Závěr

Z Cryptomatoru mám poněkud rozporuplné dojmy. Pozitivní je hlavně jednoduchost použití, ale nástroj by přece jen zasloužil trochu víc možností. Největší problém mám s absencí použitelného verzování. Bez něj se docela vytrácí výhoda cloudu, která kromě synchronizace spočívá i v zálohování. Pokud nějak špatně upravíte a uložíte dokument, téměř všechna úložiště vám nabídnou možnost vrátit se k předchozí verzi. Cryptomator nikoliv.

Cryptomator tedy určitě není dokonalý, nicméně pokud chcete používat mainstreamová úložiště a data v nich šifrovat, moc jiných možností nemáte. Jak už bylo zmíněno, různé šifrované kontejnery jsou nevhodné proto, že se znovu musí nahrávat celý obří kontejner. Na Linuxu existuje pár alternativních řešení jako EncFS, ale ty je podstatně obtížnější nakonfigurovat a nedostatky Cryptomatoru samy o sobě nevyřeší. Synchronizace s mobilním zařízením také bude komplikovanější.

Našli jste v článku chybu?