Cloudopslag is handig om je bestanden online veilig op te slaan en om ze tussen meerdere apparaten te synchroniseren. Maar meestal krijgt je cloudprovider je bestanden onversleuteld te zien. Met Cryptomator los je dat op, zowel op je laptop als op je smartphone.
Auteur: Koen Vervloesem
Skymatic (https://skymatic.de/en/) is een startup uit Bonn die werkt aan instrumenten voor ‘digitale zelfverdediging’. Met Cryptomator (https://cryptomator.org/) biedt het software aan om je bestanden te versleutelen voordat je ze naar je cloudopslag stuurt, met een automatische ontsleuteling als je ze weer van je cloudopslag opent. Je krijgt dus client-side encryptie met een gebruiksvriendelijke interface.
Voordat we met Cryptomator aan de slag gaan, is het goed om even stil te staan bij wat het programma is en wat niet. Cryptomator is ontworpen om te voorkomen dat je cloudprovider je gegevens in de cloud kan inkijken. Je slaat je bestanden in een ‘kluis’ op voordat je ze naar de cloud uploadt. Alleen personen die het wachtwoord van die kluis kennen, kunnen de bestanden of bestandsnamen lezen of aanpassen. Je cloudprovider ziet alleen bestanden met willekeurige namen en een willekeurige inhoud.
Om de synchronisatie met je cloudopslag te laten werken, dient Cryptomator uiteraard wel bepaalde informatie onversleuteld te laten. Een kwaadaardige cloudopslagdienst kan daarom altijd zien hoeveel mappen en bestanden je in je kluis hebt en hoe groot de bestanden zijn, ook al zijn de namen van de mappen en bestanden versleuteld. Ook de aanmaak-, wijzigings- en toegangstijden blijven zichtbaar, anders werkt de synchronisatie niet. In de meeste gevallen is deze informatie niet zo belangrijk, maar het is wel iets om even rekening mee te houden.
Cryptomator beschermt bovendien niet de bestanden op je eigen computer. Als je bestanden uit je Cryptomator-kluis naar een andere map op je computer kopieert, zijn die gekopieerde bestanden niet versleuteld. Bovendien zijn de bestanden in je kluis beschikbaar voor al je programma’s zodra je de kluis met je wachtwoord ontgrendelt. Ook malware kan dan aan die onversleutelde bestanden. Je dient dan ook voldoende aandacht te besteden aan de beveiliging van je besturingssysteem.
Cryptomator bestaat voor Linux, macOS, Windows, iOS en Android. Voor de mobiele apps betaal je € 5,-. De desktoptoepassingen zijn gratis. De mobiele apps zijn niet open source, maar de desktoptoepassing is dat wel. Het gaat om een platform onafhankelijk programma dat in Java is geschreven.
In dit artikel hebben we Cryptomator 1.4.0 onder Ubuntu 18.10 getest. Download het programma van de homepage. Standaard stelt de website je voor om een AppImage-pakket te downloaden. Doe je dat, dan maak je het daarna uitvoerbaar met:
chmod a+x cryptomator-1.4.0-x86_64.AppImage
Op een Ubuntu-systeem met versie 18.04 of hoger kun je Cryptomator ook installeren via een PPA (Personal Package Archive):
sudo add-apt-repository ppa:sebastian-stenzel/cryptomator
sudo apt-get update
sudo apt-get install cryptomator
De eerste keer dat je Cryptomator uitvoert, vraagt het programma of je wilt dat het elke keer controleert of een nieuwere versie beschikbaar is. Als je van jezelf weet dat je het updaten van je software nogal eens verwaarloost, schakel dit dan in. Je kunt het later ook altijd nog in de instellingen aanpassen.
Het hoofdvenster is nu nog maagdelijk leeg. Links krijg je een hint: “Klik hier om een kluis toe te voegen”. Op deze plaats verschijnt je lijst met ‘kluizen’, de versleutelde directory’s bij je cloudproviders. Klik op het plusteken en dan ‘Maak Nieuwe Kluis’ om een nieuwe kluis aan te maken.
Geef je kluis een naam en selecteer de locatie van je bestanden op je cloudopslag. In principe kun je hier elke locatie kiezen, ook op je lokale opslag, maar Cryptomator is het interessantst in combinatie met cloudopslag, want voor lokale encryptie bestaan al heel wat gebruiksvriendelijke tools. We gaan ervan uit dat je al een cloudopslagdienst hebt geconfigureerd die je met een lokale directory op je Linux-laptop synchroniseert. Lees in het kader “Dropbox installeren in Ubuntu” hoe dat verloopt voor één mogelijke configuratie.
In Ubuntu installeer je de Dropbox-client eenvoudig door de integratie met de bestandsbeheerder Nautilus te installeren:
sudo apt install nautilus-dropbox
Eventjes na de installatie krijg je de melding dat je Dropbox dient op te starten. Klik op ‘Start Dropbox’, waarna het installatieprogramma van Dropbox wordt opgestart. Klik op ‘OK’. Na de installatie opent het programma een nieuw tabblad in je webbrowser en vraagt je om in te loggen op de website van Dropbox om je computer aan je Dropbox-account te koppelen. Herstart daarna Nautilus. In je persoonlijke map komt nu een directory Dropbox die continu gesynchroniseerd wordt gehouden met je online opslag bij Dropbox.
Cryptomator maakt een kluis aan met je opgegeven naam in de locatie die je hebt ingevoerd, bijvoorbeeld je Dropbox-map. Onmiddellijk daarna zie je een map met de opgegeven naam verschijnen in je Dropbox map. Cryptomator vraagt je nu om een wachtwoord in te voeren. Daarmee worden je bestanden in de kluis versleuteld. Tijdens het invoeren van je wachtwoord toont Cryptomator hoe sterk je wachtwoord is. Maak het sterk genoeg, maar zorg ervoor dat je het niet vergeet! Je bestanden zijn onherroepelijk verloren als je het wachtwoord voor je kluis vergeet. Klik na de keuze van je wachtwoord op ‘Creëer kluis’ om de versleutelde kluis aan te maken.
Je kluis is nu aangemaakt, maar nog altijd vergrendeld. Voer je zojuist ingestelde wachtwoord in en klik op ‘Ontgrendel Kluis’. Als je wachtwoord correct is, dan opent je bestandsbeheerder nu een virtuele map. Alle bestanden die je daarin plaatst, worden zonder dat je iets hoeft te doen versleuteld en naar je Dropbox-map verstuurd.
Deze bestanden zijn ook toegankelijk voor al je programma’s. Onder de motorkap werkt dat via FUSE (Filesystem in Userspace). Daardoor krijgen al je programma’s de onversleutelde versie van de bestanden te zien en hoeven zij niets van de encryptie te weten. Maar op de achtergrond versleutelt Cryptomator alle informatie die naar Dropbox gaat.
Dat kun je ook controleren door zelf de inhoud van de map die je hebt aangemaakt in je Dropbox-map te bekijken. Je ziet er directory’s en bestanden met onbegrijpelijke namen, en ook de inhoud van die bestanden is onleesbaar, omdat alles is versleuteld. Wanneer iemand er ooit iemand in slaagt om in je Dropbox-account in te breken, dan kan die persoon niets met de bestanden in je versleutelde map.
Zodra je in het venster van Cryptomator bij je kluis op ‘Vergrendel kluis’ klikt, dan verdwijnt je virtuele map en hebben je programma’s geen toegang meer. Je bestanden blijven veilig versleuteld in je Dropbox-map. Door je kluis opnieuw in Cryptomator te ontgrendelen, krijg je weer toegang.
Voordat je je kluis ontgrendelt, kun je met een klik op ‘Meer Opties’ enkele opties aanpassen. Zo is het mogelijk om je wachtwoord op te slaan, zodat je dat niet meer hoeft in te voeren om je kluis te ontgrendelen. Dat vermindert uiteraard al heel wat van de veiligheid van je bestanden, dus dat raden we niet aan. Je kunt je virtuele map in de opties ook een andere naam geven of je kunt een eigen koppelpunt kiezen in plaats van een submap van ~/.Cryptomator.
De ontwikkelaars van Cryptomator volgen Bruce Schneiers adagium, “Complexity kills security”. Het programma heeft dan ook geen toeters en bellen: het doet één ding en dat doet het goed. Het is dan ook vruchteloos zoeken naar geavanceerdere functies, zoals het veilig delen van bestanden met anderen, want daarvoor is het niet bedoeld.
Toch is dat laatste wel mogelijk. Tobias Hagemann, medeoprichter van Cryptomator, heeft op het forum van het programma uitgelegd hoe dat gaat (zie: https://community.cryptomator.org/t/how-do-i-share-files-with-others/41). Eerst moet je de andere persoon toegang geven tot je Cryptomator-kluis. Gebruik je bijvoorbeeld Dropbox, deel dan een link naar je Cryptomator-map met de andere persoon. Let op dat je de juiste map deelt: het is de map met de naam van je Cryptomator-kluis en in de map zie je een bestand met de naam masterkey.cryptomator.
Daarna moet je het wachtwoord van je kluis aan de andere persoon doorgeven. Uiteraard doe je dat op een veilige manier. Denk aan een versleutelde boodschappendienst, een versleutelde e-mail of gewoon onder vier ogen. De andere persoon kan dan de gedeelde map openen door in Cryptomator op het plusteken te klikken en dan ‘Open Bestaande Kluis’ te kiezen. Hij selecteert daar het bestand masterkey.cryptomator in de map van de kluis in zijn Dropbox-map en klikt op ‘Openen’. Na het invoeren van het wachtwoord van de kluis, koppelt Cryptomator de kluis aan.
Het probleem met deze aanpak om bestanden te delen is natuurlijk dat Cryptomator daarvoor niet gemaakt is. Het werkt wel voor eenvoudige situaties, maar zodra je individuele bestanden wilt delen of slechts een deel van de bestanden in je kluis, dien je dat via een omweg te doen. Je maakt dan meerdere kluizen aan: één die je voor jezelf houdt, één die je met je gezin deelt, één die je met collega’s deelt, enzovoort. Gelukkig is het in Cryptomator heel eenvoudig om nieuwe kluizen aan te maken, maar het blijft wat een geforceerde aanpak.
Bovendien kun je niet zomaar toegang tot een kluis ontzeggen. Je kunt wel het wachtwoord voor de kluis veranderen (als de kluis vergrendeld is, rechtsklik je erop en kies je Verander Wachtwoord), maar als de ander een reservekopie heeft gemaakt van de oude versie van het bestand masterkey.cryptomator, kan hij zelfs na je wachtwoordwijziging met de oude master key en het bijbehorende oude wachtwoord je kluis in Cryptomator ontgrendelen. Pas als je een nieuwe kluis met een nieuw wachtwoord aanmaakt en alle bestanden van de oude kluis naar de nieuwe verplaatst, worden de bestanden opnieuw versleuteld en kan de gebruiker die nieuwe bestanden niet meer ontsleutelen.
Maar uiteraard kun je niet voorkomen dat de gebruiker toen hij ooit toegang had alle ontsleutelde bestanden heeft gekopieerd naar zijn eigen computer, in onversleutelde vorm… En je kunt ook niet voorkomen dat de gebruiker het wachtwoord van je kluis alsnog met anderen deelt. Deel je wachtwoord voor een kluis dus alleen met personen die je vertrouwt en plaats daarin niet meer bestanden dan nodig.
Als je meer wilt weten over de werking van Cryptomator, dan vind je meer dan voldoende informatie op de webpagina van Cryptomator over de beveiligingsarchitectuur (https://cryptomator.org/security/architecture/). Je vindt hier onder andere hoe de masterkey wordt berekend en hoe de namen en de inhoud van je bestanden worden versleuteld.
De namen van je mappen en bestanden worden overigens niet alleen versleuteld. Je mappen worden ook opnieuw geordend, zodat de directorystructuur verborgen blijft. In de map ‘d’ in de map van je kluis in Dropbox komt voor elke map in je kluis (ook de hoofdmap zelf) een map met daarin een map met de bestanden en directory’s. Probeer uit de afbeelding van de vergelijking van de directorystructuur van je kluis en van de erbij horende Dropbox-map maar eens uit te maken wat nou wat is.
De directory ‘m’ in je kluis wordt overigens gebruikt om bestandsnamen in te korten tot een hash. Op die manier wordt compatibiliteit gewaarborgd met bepaalde Microsoft-producten die problemen hebben met lange padnamen. In de directory ‘m’ verschijnt dan een bestand met metadata om de oorspronkelijke bestandsnamen te reconstrueren.
Voor bedrijven bieden de ontwikkelaars Cryptomator Server (https://server.cryptomator.org/en/) aan. Dit is een bestandsserver met gebruikersbeheer (LDAP/Active Directory), auditlogs, een ingebouwde malwarescanner en versleutelde back-ups in de cloud. Je installeert Cryptomator Server in een Docker-container op je bedrijfsserver.
Terwijl het bij Cryptomator nogal omslachtig is om bestanden te delen, heeft Cryptomator Server daarvoor de functie Workspaces. Een workspace is te vergelijken met een Cryptomator-kluis, maar dan met de mogelijkheid om toegangsrechten voor verschillende gebruikers in te stellen. De workspaces zijn beschikbaar via een netwerkschijf, in een webbrowser of via de Cryptomator-app.
Cryptomator is een gebruiksvriendelijk open source programma om on-the-fly je bestanden op Dropbox, Google Drive, OneDrive, ownCloud, NextCloud, enz. te versleutelen. Er bestaan wel meer van dit soort programma’s om cloudopslag te versleutelen, maar Cryptomator valt op door zijn eenvoudige gebruik en omdat het cross-platform is. Bovendien hebben de ontwikkelaars veel aandacht besteed aan het uitleggen van hoe de software werkt. Dat geeft voor beveiligingssoftware een hele geruststelling.