Versleutelde cloudopslag met Cryptomator
We bewaren allemaal gegevens in de cloud, zodat we er overal over kunnen beschikken. Hoewel Google, Microsoft en Dropbox op hun blote knieën beloven dat ze hun uiterste best doen om de veiligheid van je bestanden te waarborgen, lezen we toch voortdurend over zogenaamde ‘hacking incidents’. Maar voordat je je bestanden naar de cloud stuurt, kun je ze ook eerst versleutelen. Cryptomator biedt een versleutelde cloudopslag.
Cryptomator werkt samen met clouddiensten die gegevens synchroniseren met de cloud. De applicatie maakt gebruik van AES-codering (256 bit) en versleutelt niet alleen de bestanden, maar ook de bestandsnamen en de structuur van de directory. Op https://cryptomator.org/ vind je de downloads voor Windows, macOS, Linux, Android en iOS. Die laatste zijn buitenbeentjes, daarover dadelijk meer.
Doordat de software op alle platformen werkt, weet je dat je de bestanden die je bijvoorbeeld op Windows hebt versleuteld, ook in Android kunt decrypteren. Als je het programma de eerste keer configureert, raden we aan om dit met de computerversie te doen. De installatie wijst zichzelf uit.
©PXimport
Kluis toevoegen
In tegenstelling tot bijvoorbeeld VeraCrypt werkt Cryptomator niet met één kluis, maar met verschillende kluizen. Elke kluis kan zoveel bestanden en mappen bevatten als je wilt. Er is geen limiet. Klik in het startvenster links onderaan op de knop Kluis toevoegen en volg daarna de wizard. Geef deze kluis een naam.
Daarna vraagt de tool waar die de kluis moet bewaren. Cryptomator is speciaal ontworpen om gegevens in de cloud te beschermen. Het is dus de bedoeling dat je hier een clouddienst (Google Drive, Dropbox, OneDrive enzovoorts) aanduidt, maar je kunt een kluis ook lokaal op de harde schijf van je computer bewaren als je Andere locatie selecteert. Via Andere locatie kun je bovendien navigeren maar de synchronisatiemap van een andere clouddienst.
©PXimport
Wachtwoord
Nadat je de locatie hebt aangeduid, moet je een wachtwoord typen. Aan de hand van gekleurde blokjes vertelt het programma of je wachtwoord krachtig genoeg is. Met een flutwachtwoord heeft encryptie trouwens weinig zin. Het gekozen wachtwoord moet minstens acht tekens bevatten.
Vergeet dit wachtwoord niet, anders heb je geen toegang meer tot de bestanden en is er slechts één mogelijkheid om het wachtwoord te resetten: de herstelsleutel. De mogelijkheid om een herstelsleutel te maken, vind je onder het vak waar je het wachtwoord voor de kluis ingeeft. Die sleutel is een lijst woorden die je het best op een veilige locatie bewaart, bijvoorbeeld in een wachtwoordmanager, op een usb-stick of door de sleutel af te drukken op papier.
©PXimport
Opensource en veiligheid
Bij het encryptieproces is de veiligheid uitsluitend afhankelijk van de sleutel. Het versleutelingsalgoritme zelf hoeft niet geheim te blijven, integendeel. Het gaat om opensource-software waarvan de gemeenschap van programmeurs en beveiligingsonderzoekers de broncode mag bekijken.
Dit heeft als voordeel dat de broncode voortdurend wordt aangepast aan de laatste normen, zonder dat de veiligheid van de versleutelde gegevens ooit in het gedrang komt. Bovendien is er geen risico dat je bestanden worden gegijzeld. Dat risico heb je wel als je een bestandsformaat gebruikt waarop een bepaald bedrijf het monopolie heeft.
Een derde, niet onbelangrijk voordeel is dat opensource-software gratis is. Cryptomator heeft geen helpdesk en er zijn geen contactgegevens, maar de community, het forum en de documentatie zijn sterk.
©PXimport
Ontgrendelen
Maak zoveel kluizen als nodig. Als zo’n kluis nog niet ontgrendeld is en je de inhoud via de webinterface benadert, dan zul je er nietszeggende bestanden vinden. Werk dus nooit in de map van de kluis zonder deze eerst te ontgrendelen.
Om de echte inhoud terug te vinden, open je Cryptomator, selecteer je de gewenste kluis en gebruik je de knop Ontgrendel. In dit pop-upvenster kun je de optie Bewaar wachtwoord activeren, waardoor deze sleutel in de sleutelhanger van het systeem wordt bewaard. Daarna typ je het wachtwoord en ontvang je de mededeling dat de kluis ontgrendeld is.
©PXimport
Hierdoor opent een virtuele drive op de computer. Als je die niet meteen ziet, gebruik je de opdracht Toon schijf. De drive krijgt in Windows een schijfletter, net zoals een externe harde schijf of usb-stick, en in macOS herken je de virtuele drive aan de naam van de kluis.
Wanneer je bestanden versleuteld wilt uploaden, moet je de bestanden in de virtuele schijf van Cryptomator slepen. Als je daarna de kluis vergrendelt en gaat kijken in deze map, zul je geen spoor vinden van de bestanden die je daarnet via Cryptomator hebt toegevoegd.
Kluisinstellingen
In Cryptomator is het mogelijk om enkele eigenschappen van de kluis te wijzigen. Hiervoor moet de kluis gesloten zijn. Selecteer in het startvenster van de applicatie de kluis en klik op de knop rechts beneden: Kluis-instellingen.
In het tabblad Algemeen kun je de naam van de kluis wijzigen en twee zaken automatiseren. Je kunt de kluis automatisch laten vergrendelen als je er een bepaalde tijd (standaard 30 minuten) niets mee hebt gedaan. En je kunt de kluis steeds automatisch laten ontgrendelen wanneer je Cryptomator start. Bovendien kun je de meldingen verbergen die aangeven dat de kluis vergrendeld is.
©PXimport
Schijfletter
In het tabblad Aankoppelen kun je ervoor zorgen dat de inhoud van de virtuele schijf steeds alleen-lezen is. Op die manier kan niemand de bestanden kopiëren, wijzigen of verwijderen.
Normaliter kent het systeem zelf een schijfletter toe aan de virtuele schijf, maar in dit tabblad kun je bij de optie Koppelpunt een bepaalde schijfletter toewijzen die altijd toegewezen zal worden aan de virtuele schijf.
Het derde tabblad gebruik je om het wachtwoord te wijzigen, om de herstelsleutel vast te leggen of om het wachtwoord te herstellen met de herstelsleutel.
©PXimport
Kluis delen
Als je iemand anders toegang hebt gegeven tot de cloudlocatie, kun je ook een kluis delen. Je moet de kluismap delen die het bestand masterkey.cryptomator bevat. Degene met wie je de bestanden deelt, moet in Cryptomator met de opdracht Open bestaande kluis hetzelfde wachtwoord als jij gebruiken. Het is niet mogelijk om slechts enkele bestanden uit dezelfde kluis te delen.
Als je de toegang van anderen tot de kluis wilt intrekken, dan volstaat het niet om het wachtwoord te wijzigen. De ander kan met de herstelsleutel van een oude sleutel nog steeds in de kluis komen. Beter is het om een nieuwe kluis aan te maken met een wachtwoord dat alleen jij kent, om vervolgens de inhoud over te zetten.
Niet opensource op mobiel
In tegenstelling tot wat er online vermeld wordt, zijn de mobiele versies closedsource en dus niet gratis. Alleen de desktopversies van Cryptomator zijn opensource. Voor Cryptomator en Cryptomator 2 betaal je in de App Store en in Google Play 11,99 euro. Je kunt de apps wel gratis downloaden en vervolgens 30 dagen proberen, compleet met alle functionaliteit. Zonder te betalen kun je daarna enkel de alleen-lezenmodus gebruiken.
Volgens Skymatic, een start-up uit Bonn, is de encryptietechnologie wel opensource, maar de apps zelf niet. Waarom het bedrijf onderscheid maakt tussen de desktop- en mobiele versies, is niet duidelijk.
Statistieken
Wanneer een kluis geopend is, verandert de knop Kluis-instellingen op het startscherm in Kluisstatistieken. Via deze knop volg je realtime hoeveel data er gelezen en geschreven worden.
Hoewel de klemtoon van Cryptomator ligt op de online bescherming, is het een volledig lokale toepassing. Het wachtwoord wordt nooit via het internet verzonden en zelfs als de bestanden op de virtuele schijf gemount zijn, laat Cryptomator nooit onversleutelde bestanden achter op de harde schijf.
De tool kan kluizen ontdekken die op andere machines zijn opgeslagen. Als je verhuist naar een andere computer, kun je de gecodeerde mappen ontgrendelen met elke installatie van Cryptomator.
©PXimport
Kluisbeheer
In het startvenster van Cryptomator wijzig je de volgorde van de verschillende kluizen door ze met de muisaanwijzer vast te grijpen en naar boven of beneden te slepen.
Je kunt uiteraard ook een kluis verwijderen. Daarvoor moet de kluis vergrendeld zijn. In het startscherm klik je met de rechtermuisknop op de kluis die je kwijt wilt en kies je de opdracht Verwijderen. Hiermee wordt de map met de bestanden niet echt gewist. Het enige wat gebeurt, is dat Cryptomator deze map niet langer zal versleutelen. Om de bestanden echt te wissen, gebruik je het bestandsbeheerprogramma van het systeem.
KEK
Het wachtwoord dat je instelt, produceert een KEK (Key Encryption Key): dat is een cryptografische sleutel die andere sleutels codeert. Door het wachtwoord te veranderen, verander je de KEK, maar de sleutels die met de KEK geëncrypteerd zijn, blijven gelijk.
Dit betekent concreet dat je bestanden niet opnieuw gecodeerd worden wanneer je het wachtwoord wijzigt. Je kunt ook geen zwak wachtwoord vervangen door een sterker exemplaar. Cryptomator zal dit weigeren. Als je de bestanden door een nieuw, veel sterker wachtwoord wilt laten beschermen, kun je beter een nieuwe kluis maken en de gegevens van de oude naar de nieuwe slepen.
Meer weten over de versleuteling van digitale gegevens? Bestel de cursusbundel Veilig met Encryptie!
©PXimport
AES-versleuteling
256bit-AES is momenteel de populairste en wellicht de veiligste manier van versleutelen. Deze encryptie werd ontwikkeld door de overheid van de Verenigde Staten als opvolger van de Data Encryption Standard (56 bit), die ondertussen al dertig jaar meeging en in de jaren 90 door bruut giswerk binnen 22 uur kon worden gekraakt.
AES maakt gebruik van symmetrische encryptie. Dat betekent dat zowel de verzender als de ontvanger dezelfde sleutels moet hebben. Als we de 2 miljard computers op deze planeet zouden inzetten om door brute force AES 256 bit te kraken, dan zou dit 13.669 biljoen biljoen biljoen biljoen jaar vergen. Of om heel precies te zijn: 13.668.946.519.203.305.597.215.004.987.461.470.161.805.533.714.878.481 jaar.
©PXimport
Biometrische beveiliging
Als je weet hoe de desktopversie werkt, dan kun je ook met de mobiele versies uit de voeten. In iOS werkt Cryptomator samen met de app Bestanden om op die manier toegang te krijgen tot de versleutelde gegevens.
Een voordeel van de iOS- en Android-versies is dat de app biometrische beveiliging ondersteunt, zodat je niet alleen met je wachtwoord, maar ook met je vingerafdruk of gezichtsherkenning toegang kunt krijgen tot de kluizen.
Herstelsleutel opvragen
Veel gebruikers beginnen met Cryptomator zonder een herstelsleutel vast te leggen. Geen probleem, je kunt dit rustig op een later tijdstip doen, zolang je het wachtwoord maar kent.
Selecteer in het startscherm een kluis die nog vergrendeld is. Daarna klik je op de knop Kluisinstellingen en daar gebruik je het tabblad Wachtwoord. Klik in dit pop-upvenster op de knop Toon herstelsleutel. Cryptomator vraagt eerst het wachtwoord van deze kluis. Nadat je dat hebt ingevoerd, krijg je een tekstveld met veertig woorden. Dat is de herstelsleutel. Je kunt deze tekst naar het klembord kopiëren en op een veilige locatie opslaan en/of op papier afdrukken.
©PXimport
Herstelsleutel gebruiken
Ben je het wachtwoord van een kluis vergeten? Ga dan naar de Kluisinstellingen en kies in het tabblad Wachtwoord voor de knop Wachtwoord herstellen. Daarna kun je de herstelzin plakken of typen.
Bovendien heeft Cryptomator een functie om de woorden automatisch aan te vullen. Typ enkele letters en selecteer het juiste woord uit de suggesties. Je kunt dan Tab of de rechterpijltoets gebruiken om het woord automatisch in te vullen.
Als het programma je herstelsleutel accepteert, moet je een nieuw wachtwoord toewijzen aan de kluis. Cryptomator zal geen nieuwe herstelsleutel generen, die blijft dezelfde.
Donkere modus
In de knoppenbalk van het programma gebruik je het tandwieltje om de voorkeuren te openen. Hiermee kun je het pictogram van het programma laten weergeven in het systeemvak of de applicatie automatisch samen met het systeem laten opstarten.
Het is tot slot ook mogelijk om het programma in de donkere modus weer te geven, maar alleen als je over een supporterscertificaat beschikt. Zo’n certificaat is een code die je per mail ontvangt als je de ontwikkeling van het product steunt door minimaal 15 euro te storten.