Как зашифровать Ваши файлы и улучшить безопасность Dropbox

http://maketecheasier.com/encrypt-files-in-dropbox/2011/06/24
  • Перевод
imageDropbox — действительно отличный сервис. Он дает Вам свободные 2 гигабайта памяти, чтобы хранить Ваши файлы и предоставляет вам доступ и синхронизации их между различными компьютерами, независимо от того запускаете вы его на Windows, Mac, Linux или любой другой мобильной ОС. Однако, есть одна проблема. Все файлы, которые Вы храните в облаке, не зашифрованы. Кто бы ни взламывал Ваш аккаунт, может просмотреть и получить доступ ко всем файлам в Вашем аккаунте, включая те конфиденциальные документы, которые Вы синхронизировали по облаку.

Почему это важно? Ошибка, сделанная командой Dropbox несколько дней назад, оставляла личный кабинет Dropbox'a открытым в течение 4 часов. В течении этого времени кто угодно мог войти в любой аккаунт и получить доступ ко всем файлам в этом аккаунте без любого пароля. В то время как это затронуло только 1 % их пользователей (который составляет примерно 250 000, и это не маленькое число), если Вы — один из тех, аккаунты чьи попали под угрозу, либо у Вас есть конфиденциальные файлы в Вашем Dropbox, лучше зашифруйте его чтоб подобные вещи были вам не страшны.

Так как Вы никогда не знаете, когда подобный инцидент произойдет снова, лучше шифровать Ваши файлы прежде, чем Вы будете синхронизировать их с облаком, таким образом, у вас будет защита, благодаря которой вашему аккаунту будет все равно на подобные происшествия.

1. SecretSync


SecretSync — решение для пофайлового шифрования для Windows и Linux. После установки, Вы найдете новую папку “SecretSync” в своем пользовательском каталоге. Любые файлы, которые Вы помещаете в эту папку, будут зашифрованы и синхронизированы с Dropox.

Установка и использование SecretSync для Windows является довольно простой. Вы просто загружаете, устанавливаете и пользуетесь.

image

Требования Windows: Java 1.6 или более новый .NET Framework 2.0 или более новый

Для Linux, работа происходит исключительно из командной строки.

1. Необходимо сначала загрузить deb файл и установить его в Вашей системе.
2. Откройте терминал и введите
secretsync

Это запустит установщик и загрузит необходимые файлы с сайта SecretSync. Это также запустит процесс настройки.

image

После установки, введите
secretsync start
для запуска службы SecretSync. Вы должны будете увидеть новую папку SecretSync в корне диска. Любые файлы, которые Вы помещаете в эту папку, будут шифроваться и синхронизироваться с Dropbox.

Чтобы заставить SecretSync запускаться автоматически каждый раз когда Вы входите в систему, идите в “System-> Preferences-> Startup Applications” и добавьте новый элемент запуска.

Требования Linux: Java 1.6 или более новая версия.

2. Encfs


Encfs является лучшим вариантом чем SecretSync, потому что она хранит ключи шифрования на Вашей локальной машине, и она может работать в Linux (изначально), Windows (через BoxCryptor) и Mac (через MacFuse), что есть отлично, если Вы используете Dropbox больше чем на одной операционной системе.

В Ubuntu, откройте терминал и введите:
sudo apt-get install encfs
sudo addgroup <имя пользователя> fuse


Чтобы создать зашифрованную папку, введите команду:
encfs ~/Dropbox/.encrypted ~/Private

Вышеупомянутая команда дает encfs команду создавать зашифрованную скрытую папку (с именем .encrypted) в Dropbox и монтировать его в Частной Папке в Вашем Корневом каталоге.

Когда вам будет предложен выбор, нажмите кнопу «p» и Enter.

image

Затем, оно попросит, чтобы Вы ввели свой пароль. Будьте очень осторожны с тем, что Вы вводите, так как оно не будет отображаться на экране.

Это все. Любые файлы, которые Вы будете помещать в частную папку, будут шифроваться и синхронизироваться с Dropbox.

Чтобы заставить зашифрованную папку автоматически подключаться каждый раз, когда Вы входите в систему, можно использовать gnome-encfs.

1. Загрузите gnome-encfs здесь (или исходники здесь) в вашу домашнюю папку.
2. Введите следующую команду:

sudo install ~/gnome-encfs /usr/local/bin
gnome-encfs -a ~/Dropbox/.encrypted ~/Private


image


GUI для Encfs


В Linux, Cryptkeeper является приложением, которое обеспечивает графический интерфейс для encfs. В нем не включены все параметры конфигурации encfs, но если Вам нужен легкий способ быстро все это развернуть, то он очень пригодиться.

image


В терминале введите:
sudo apt-get install cryptkeeper

Cryptkeeper работает апплетом панели задач. Если Вы используете Unity, используйте следующую команду, чтобы заставить его работать:
gsettings set com.canonical.Unity.Panel systray-whitelist "['Cryptkeeper']"
setsid unity


BoxCryptor


BoxCryptor не является GUI для encfs, но его метод шифрования является совместимым с encfs. Если Вы создали зашифрованную папку в Linux, Вы можете использовать BoxCryptor в Windows, чтобы смонтировать ту же самую зашифрованную папку.
image


3. TrueCrypt


TrueCrypt является другим мощным и кроссплатформенным инструментом шифрования.
Про него уже много написано на хабре по этому не будем писать о нем.

Один недостаток TrueCrypt — то, что необходимо создать фиксированный размер виртуального контейнера прежде, чем можно будет использовать его. Кроме того, файлы можно синхронизировать только после того, как Вы размонтировали его. Это означает, что Вы не сможете синхронизировать свои файлы в режиме реального времени.

А какими методами пользуетесь Вы, чтобы защитить Ваши файлы в Dropbox?
Поделиться публикацией
AdBlock похитил этот баннер, но баннеры не зубы — отрастут

Подробнее
Реклама
Комментарии 54
  • –11
    >>А какими методами пользуетесь Вы, чтобы защитить Ваши файлы в Dropbox?
    Не понятно почему средства шифрования и Dropbox в одном топике?
    Только файлы в Дропбокс следует шифровать?
    Можно профиль Google Chrome зашифровать например.
    У кого на сколько гипертрофированное чувство собственной безопасности.

    • +4
      Пусть уже Dropbox встроит нормальное шифрование
      • +3
        По идее их архитектура не позволяет это сделать. Сейчас они экономят на том, что не хранят дубликаты файлов и с шифрованием объем хранилища возрастёт в разы.
        • 0
          Ниче подобного, можно шифровать не контейнер, а сущности/элементы, копии которых и хранятся с контролем ревизий.
          • 0
            Если я не правильно вас понял, то поправьте пожалуйста. Вы предлагаете шифровать данные уже на стороне сервера? В таком случае безопасность повыситься лишь незначительно, тк в дальнейшем сотрудники смогут их расшифровать.

            Безопасным хранилище будет только если шифрование происходит на стороне клиента и ключем, который сервер и сотрудники дропбокса никогда не получат. Но в случае шифрования на клиенте возникает проблема хранения о которой я говорил выше.

            Два одинаковых зашифрованых файла дадут разную хеш сумму, вообще они и шифровались для того, чтобы стать неотличимыми.
            • 0
              И вы, конечно, написали это, осознавая, что существует такая замечательная вещь как ассиметричное шифрование, не так ли? ;)

              Дубликаты файлов в пределах одного аккаунта можно обрабатывать на стороне клиента перед синхронизацией.
              • 0
                В пределах одного аккаунта это неэффективно, сейчас они вообще не хранят дубликаты, глобально. Ну вы же не будете забивать дропбокс кучей одинаковых файлов?

                Я рассуждаю скоорее логикой :). Данные они гоняют вроде и так по https, весь скандал завязан на возможности сотрудников получить данные клиентов…
      • +2
        А может просто не стоит использовать небезопасный дропбокс для хранения секретов?
        • +8
          благодаря encfs он стает вполне безопасным.
        • +1
          > А какими методами пользуетесь Вы, чтобы защитить Ваши файлы в Dropbox?

          Мой метод: не пользоваться Дропбоксом.
          • +1
            а какая у вас альтернатива?
            • +2
              Wuala (http://www.wuala.com)
              Они файлы шифруют ещё перед загрузкой, на стороне клиента.
              • +1
                Спасибо за наводку, обязательно пропробую. Хорошо когда есть выбор =)
                • 0
                  Wuala даёт 1 GB бесплатно, в то время как на dropbox у меня 8,5 (из максимально возможных на данный момент 11).
                  • +2
                    Дропбокс тоже на старте даёт только 2Гб (http://www.dropbox.com/features). И в wuala Вы свой объём тоже можете увеличить, привлекая новых пользователей или отдавая кусочек своего винчестера для ихнего облака.

                    И я не сказал, что Дропбокс — это плохо.

                    Просто для моих задач гораздо лучше подошёл 1Гб надёжно шифруемого пространства, чем просто 2Гб места.

                    Всего лишь вопрос предпочтений.
                    • НЛО прилетело и опубликовало эту надпись здесь
                      • +1
                        В дропбоксе тоже есть шифрование, только вот ключи оказывается доступны сотрудникам, упс?.. Есть независимый анализ вуалы или открытая спецификация/код для проверки, что шифрование есть, работает и имплементировано без нарушений?

                        Если нет, то не стоит быть таким увереным в своей защищенности. наступая на те же грабли, уже получив ими по носу, может оказаться еще больнее ;)
                      • 0
                        Тю, всего 3Гб.
                        При среднемесячном онлайне клиента 63% и хранении чужих 20Гб на диске имеем: «Online storage earned: 63Gb».
                  • 0
                    Вообще есть iFolder от Novel (не путать с ifolder.ru), но тогда надо поднимать свой сервер VDS с Linux. Зато оно чисто ваше =).
                    • 0
                      Собственноручно написанная программа, реализующая любой стандартный алгоритм, с добавленными по вкусу солью и перцем. Написано лично — значит надежно.
                      Это для тех, кто умеет писать, разумеется. ))
                  • 0
                    TrueCrypt
                    • +1
                      Тогда ждет пересинхронизация всего контейнера, что есть не гуд, да и потом надо его для этого размонтировать-монтировать постоянно.
                      • +3
                        что собственно и написано в конце топика.
                        • 0
                          У меня из всего только 1 папка важная для защиты. остальные как книги, мелочи всякие без надобности шифровать.
                          В этой папке размер суммарный файлов не более 5 мб. Потому мне удобно.
                          • 0
                            у меня 2 гб truecrypt диск был поэтому пришлось искать альтернативы.
                            • 0
                              В вашем случае конечно нужна альтернатива
                        • +1
                          Тоже пользуюсь Truecrypt. Весьма неудобно каждый раз производить кучу действий по нахождению на диске контейнера, его монтированию, вводу пароля…

                          С удовольствием попробую другие способы шифрования.
                          • 0
                            Ээээ… Во-первых, он позволяет добавить в контейнер в избранные и тогда тот будет монтироваться на одну и ту же букву диска.
                            Во вторых, ничто не мешает написать скрипт для автоматизации процесса монтирования/размонтирования тома, вплоть до ввода пароля (например для домашнего компьютера).
                            • 0
                              На каком языке, по вашему, лучше писать подобный скрипт?
                              • +4
                                В Windows можно использовать родной Task Scheduler. Создать задачу монтирования контейнера при входе в систему. Команда будет примерно такая:

                                C:\Program Files\TrueCrypt\TrueCrypt.exe /v путь_и_имя_контейнера /q /a /e /m rm

                                При установке, TrueCrypt резервирует под себя расширение .tc, для которого можно поменять в реестре команду по умолчанию на:

                                C:\Program Files\TrueCrypt\TrueCrypt.exe /v "%1" /q /a /e /m rm

                                В этом случае, при двойном клике по .tc файлу или ярлыку на такой файл (например на рабочем столе) будет открываться маленькое окошко для ввода пароля и после монтирования будет открываться окно Проводника.
                                • 0
                                  Скрипт должен быть такой, чтобы ничего не требовал, а под Windows это .NET и всё, что компилируется в самостоятельный *.exe.
                                  Я написал на AutoIt и откопилировал в exe. На домашнем компьютере он берёт пароль из специального файла и монтриует автоматически. Плюс второй крипт для размонтирования.
                          • +2
                            всё это хорошо. но только для настольных систем, а не для "любой другой мобильной ОС".
                            • 0
                              В блоге Dropbox про 1% пользователей написано, что в этот период вошло только 1% пользователей, а количество тех аккаунтов, которые затронула печальная ошибка кода, составило менее 100:
                              >[Update — Fri, 1:59pm] – Today we sent an email directly to users whose accounts were likely compromised during the recent security lapse. According to our records, there were fewer than a hundred affected users and neither account settings nor files were modified in any of these accounts
                              • +3
                                Я так понимаю, (1) — проприетарная программа? Тогда к ней гораздо меньше доверия, чем к encfs. Ибо цель всех этих телодвижений убрать вектор атаки, связанный с хранением информации у чужого дяди. А с (1) вы предоставляете доступ к вашим ключам программе с закрытыми исходными кодами, да ещё и бетте. Лично мне сайт и подобные маркетинговые фразы доверия не внушают:

                                «Dropbox is an excellent company with its user's interests at heart. We simply provide an additional layer of privacy and security to an already great, and secure, service. „
                                • +1
                                  На linux пользовался encfs, но когда понадобилось иметь доступ одновременно из linux и windows — стал использовать TrueCrypt (небольшой раздел, чтобы синхронизировался недолго). Конечно, напрягает немного, что для синхронизации надо размонтировать раздел, и если сделать изменения одновременно в нескольких местах без размонтирования, то просиходит дублирование файла с криптованным разделом.

                                  Про BoxCryptor не знал (даже не задаваля целью найти что-то подобное :)), спасибо, будем попробовать.
                                  • 0
                                    Если зашифровать файлы в дропбоксе через Encfs, то нельзя будет их расшарить, не поделившись паролем.
                                    • +4
                                      вас никто не заставляет шифровать все файлы.
                                    • 0
                                      Я правильно понимаю, что в результате применения encfs теряется доступ из произвольного места через web-интерфейс?
                                      • 0
                                        ну почему же если установить в произвольном месте encfs или любой другой вариант доступ появляется.
                                        • +2
                                          Доступ-то появляется, но уже не через простой веб-интерфес :)
                                          С другой стороны — это нормально, это то, чего и добиваемся. С security-sensitive данными надо работать только в надежных местах, а там есть все необходимое. Те вещи, к которым надо доступ через веб, совсем не обязательно шифровать.
                                          • +1
                                            Единственный момент — encfs по-умолчанию имена файлов тоже шифрует и поэтому откат в web-интерфейсе сложно сделать. Но шифрование имён файлов можно отключить.
                                        • +2
                                          Duplicity, кстати, шифрует «из коробки» (via GnuPG) и вроде бы дружит с Dropbox (см. упоминание в q&a).
                                          • –4
                                            Учитывая количество пользователей Dropbox и всего остального, мне кажется что оригинальная статейка тупо пиарит BoxCryptor который платный в необрезанном варианте.
                                            • 0
                                              TrueCrypt вариант для супер секретных файлов. Контейнер в 10 мегабайт ещё можно синхронизировать. Хотя каждый раз монтировать/размонтировать не очень удобно. А вот если контейнер даже 100 МБ, то аплоадить по 100 мегабайт в день несколько раз не есть гуд.

                                              Я ещё пользусь WinRAR'ом. Архивирую в архив *.rar с 12 значным рандомным паролем и мне спокойно. Не думаю, что это слишком простая защита, брутиться будет очень долго.
                                              • +1
                                                Можете проверить, насколько долго.

                                                (12 символов это маловато)
                                                • +1
                                                  It would take

                                                  About 408 thousand years

                                                  Я спокоен ;)
                                                  • +1
                                                    Это при условии, что у злоумышленника будет единственный настольный компьютер, который к тому же не будет апгрейдиться.

                                                    Смотрите, сейчас 408 тысяч лет, а через некоторое время мощности компьютеров ещё возрастут, появятся квантовые процессоры или что-то в этом духе, и цифры сократятся до вполне обозримых.

                                                    Всё-таки лучше использовать максимально длинные пароли, для вас затрат никаких, а надёжность взлетает просто потрясающе.
                                              • 0
                                                все это конечно прекрасно, но для меня (и думаю не для одного меня) главный вопрос — как пользоваться зашифрованными данными дропбокса на мобильном? никак? тогда спасибо мне не нужно шифрование, для меня главный смысл дропбокса — иметь везде и всегда доступ к документам в нем.
                                                • 0
                                                  Каким документам?
                                                  Список продуктов от жены? Или ценник в екселе на продукцию фирмы?
                                                  Или список 1с пользователей с полным описанием?

                                                  Никто не заставляет шифровать ВСЁ.
                                                  Другое дело, что Вы считаете список продуктов тоже секретным.

                                                  У каждого свои тараканы в голове.
                                                  • 0
                                                    у меня каждый документ (сканы, экселевские таблицы и вордовские доки) в рабочей папке дропбокса достаточно конфиденциальны, но в то же время к ним часто приходится обращаться находясь не в офисе — ОЧЕНЬ часто. В отсутствии доступа к этим документам с мобильного теряется потребность в дропбоксе вообще. Это в моем случае, — у всех свои потребности.
                                                • НЛО прилетело и опубликовало эту надпись здесь
                                                  • +1
                                                    У keepassx есть консольный вариант??
                                                  • 0
                                                    >>> 3. TrueCrypt
                                                    >>>…
                                                    >>> Кроме того, файлы можно синхронизировать только после того, как Вы размонтировали его. >>> Это означает, что Вы не сможете синхронизировать свои файлы в режиме реального времени.

                                                    Возможно, получится использовать механизм Shadow Copy для получения «снапшота» криптоконтейнера, который в свою очередь и синхронизировать с DropBox'ом.

                                                    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.