Encryptie in de cloud

Cloudopslag is een zeer praktische zaak voor bestandsopslag en back-up. Aangezien de gegevens echter aan “vreemden” worden toevertrouwd, is het beter om gevoelige gegevens te versleutelen. In dit artikel presenteren we verschillende opties voor veilige …

Encryptie in de cloud

Verschlüsselung
  1. Tijdschrift
  2. »
  3. Artikel
  4. »
  5. Sicherheit
  6. »
  7. Encryptie in de cloud

Cloudopslag is een zeer praktische zaak voor bestandsopslag en back-up. Aangezien de gegevens echter aan “vreemden” worden toevertrouwd, is het beter om gevoelige gegevens te versleutelen. In dit artikel presenteren we verschillende opties voor veilige encryptie met zeer verschillende benaderingen, zodat er voor elk type gebruiker een oplossing is.

Cloudopslag vervangt mobiele gegevensdragers

In 2006 vergat een jongeman genaamd Drew Houston zijn USB-stick mee te nemen van huis, waarop hij belangrijke gegevens had staan. Geërgerd hierover ontwikkelde hij een oplossing om dit probleem in de toekomst te vermijden. In 2007 werd uit dit probleem het bedrijf Dropbox opgericht.

Meer dan tien jaar later is cloudopslag standaard geworden en zelfs onderdeel van de nieuwere besturingssystemen. Of het nu gaat om Apple met iCloud, Google Android met Google Drive of Microsoft met zijn OneDrive: alle cloudopslag is min of meer verstandig geïntegreerd in het besturingssysteem en dient niet alleen als bestandsopslag, maar zorgt ook voor de synchronisatie van gegevens en instellingen over meerdere apparaten. Windows 10 heeft hier ook uitgebreide mogelijkheden, maar vereist een Microsoft-account in plaats van een lokaal account om in te loggen.

Einstellungen synchronisieren in Windows 10
Instellingen synchroniseren in Windows 10

Er zijn ook pure cloudaanbieders zoals Dropbox of het aanbod dat ook in Duitsland wijdverbreid is, zoals MagentaCLOUD van Telekom, HiDrive van Strato of cloudopslag van GMX, Web.de of 1und1.

Gratis cloud-opslag

Veel van de cloud-opslagplaatsen worden gratis aangeboden in een basisversie, maar kunnen tegen betaling worden uitgebreid met meer opslagruimte of verdere functies zoals versiebeheer, groepsfuncties enz. Vooral het aanbod van Microsoft met OneDrive en Google Drive is interessant, want beide bieden met 5 GB (OneDrive) en 15 GB voor Google Drive een voldoende grootte om mee te beginnen. Gebruikers van Office365 Personal krijgen van Microsoft zelfs 1 TB opslagruimte in OneDrive (of 1 TB per gebruiker voor Office365 Home).

Microsoft OneDrive mit 1 TB
Microsoft OneDrive met 1 TB

Klanten van Telekom moeten ook eens kijken naar MagentaCLOUD van Telekom, dat 25 GB gratis opslagruimte biedt.

MagentaCloud
MagentaCloud

Lees hier een vergelijking van de verschillende aanbieders van cloudopslag.

Beveiliging en gegevensbescherming

Aanbieders als Telekom met TelekomCloud (niet identiek aan MagentaCLOUD) of Microsoft met Microsoft Cloud Deutschland bieden nu ook (betaalde) oplossingen die volledig in Duitsland worden gehost en daarmee voldoen aan de wettelijke eisen, zoals de federale wet op de gegevensbescherming (BDSG).

Microsoft-Cloud-in-Deutschland-Infografik
Microsoft-Cloud-in-Duitsland infographic, beeldbron: Microsoft

Gebrek aan encryptie

Hoewel de gegevens meestal versleuteld met SSL naar de server van de provider reizen, zijn ze daar alleen beschermd met de gebruikersnaam en het wachtwoord van de gebruiker. De gegevens in de cloudopslag zijn in principe beveiligd zonder encryptie. Dus wie toegang heeft tot de account kan ook bij de gegevens. Maar zelfs als het account niet gehackt wordt: Of de provider zelf ook de gegevens scant of vreemden dat toestaat is meer dan onzeker, vooral omdat met name Amerikaanse bedrijven nogal “vriendelijk” overkomen tegenover Amerikaanse veiligheidsdiensten als de NSA en FBI. Bovendien werd al in juli 2012 bekend dat Microsoft OneDrive systematisch alle bestanden scant die er worden geüpload en de accounts eventueel verwijdert. Hoe Microsoft bepaalt of het gaat om een legale kopie van eigen bestanden (bijvoorbeeld muziek) of om materiaal zonder licentie blijft onduidelijk.

De enige remedie is om de gegevens zelf te versleutelen. Dit kan echter ook leiden tot verlies van gebruiksgemak.

Verschillende oplossingen van Boxcryptor tot encryptiesoftware

De vraag welke beschermingsmaatregel het beste is om ongeoorloofde toegang tot de gegevens te voorkomen, is niet zo eenduidig te beantwoorden, want elk van de hieronder gepresenteerde maatregelen biedt voor- en nadelen. Het type encryptie is dus een afweging tussen veiligheid en gemak en moet ook worden aangepast aan het eigen gebruikersgedrag. Als u bijvoorbeeld op veel platforms, waaronder mobiele, toegang tot uw gegevens wilt, is een oplossing als BoxCryptor wellicht beter geschikt dan een gebruiker die alleen een back-up van zijn of haar gegevens van de desktop naar de cloud wil maken.

Wachtwoordbeveiliging in bestanden

De eenvoudigste bescherming is leesbeveiliging voor bepaalde bestandstypen zelf. Microsoft Office biedt bijvoorbeeld al de mogelijkheid om documenten te voorzien van leesbeveiliging als men deze opties selecteert bij het opslaan onder “Extra”.

Kennwort in Office
Wachtwoord in Office

Het is echter niet mogelijk om te zeggen hoe veilig deze versleuteling is, omdat dit per programma verschilt en er verschillende procedures worden gebruikt voor wachtwoordbeveiliging.

Kennwort in Office
Wachtwoord in Office

De PDF-exportfunctie van Microsoft Office biedt ook de mogelijkheid om PDF-bestanden bij het aanmaken met een wachtwoord te versleutelen.

PDF aus Office heraus
PDF vanuit Office

Wie PDF-oplossingen van derden gebruikt, zoals Adobe Acrobat DC of PDF-XChange Pro, kan ook met een wachtwoord versleutelde PDF-bestanden afdrukken.

PDF-XChange
PDF-XChange

Versleutelen met 7-ZIP of speciale cryptoprogramma’s

Met een packer als 7-ZIP kun je bestanden niet alleen comprimeren, maar ook versleutelen. De packer biedt hiervoor geschikte opties in de dialoog voor een nieuw archief:

7-Zip
7-Zip

Hier kan zelfs de bestandsnaam worden gecodeerd, wat nog een privacybescherming is. Als u het ZIP-formaat kiest in plaats van het 7z-formaat en ZipCrypto selecteert voor de versleutelingsmethode, kan zo’n bestand niet alleen door elke verpakker maar ook door Windows zelf weer worden uitgepakt zonder hulp van buitenaf.

7-Zip
7-Zip met ZIP-formaat en ZipCrypto

Het nadeel hier is echter dat ZipCrypto bij lange na niet de bescherming van AES-256 biedt en in een paar dagen ontcijferd kan worden als het wachtwoord niet lang genoeg is.

Windows-Entpacker
Windows unpacker

In plaats van een packer kun je ook speciale encryptietools gebruiken, zoals het gratis en open source Axantum AxCrypt. Deze tool integreert zichzelf handig in Windows Verkenner en kan via het contextmenu bestanden en mappen versleutelen, dus ook die in een lokale cloudopslagmap.

axcrypt
Axcrypt

Een selectie van verschillende encryptieprogramma’s vindt u in ons software-archief in de rubriek Encryptie & Wachtwoorden.

Boxcryptor en Co: Speciale oplossingen voor de cloud

Op het internet zijn veel softwareoplossingen te vinden om het probleem van onversleutelde gegevens in cloud-opslag op te lossen. Als voorbeeld stellen wij hier twee softwareoplossingen voor die verschillende benaderingen volgen.

Boxcryptor is waarschijnlijk een van de bekendste clouduitbreidingen. De software uit Duitsland creëert een virtuele schijf op het systeem. Via deze schijf heeft u toegang tot uw gegevens in de cloudopslag. Alle erkende cloudproviders (Boxcryptor ondersteunt meer dan 25 verschillende providers) worden apart weergegeven in het virtuele station.

Boxcryptor
Boxcryptor

De gratis licentie kan echter maar één cloudprovider tegelijk aansluiten. Wie er meerdere wil aansluiten, moet daarom overstappen op de Unlimited Personal-licentie voor 36 euro per jaar of op de Business-licentie voor commerciële gebruikers. Beide licentiemodellen bieden niet alleen een onbeperkt aantal cloudaanbieders, maar versleutelen optioneel ook de bestandsnamen in de cloud, zodat uit de benaming geen conclusies over de inhoud kunnen worden getrokken. Een groepsfunctie voor gedeelde toegang tot versleutelde bestanden is ook opgenomen in de betaalde edities.

Boxcryptor Lizenzen
Boxcryptor licenties

Binnen de cloudmappen kunt u individuele bestanden of hele mappen versleutelen met AES-256 en RSA-4096 via het contextmenu. Als u encryptie voor een map opgeeft, worden alle daar opgeslagen bestanden, ook in de toekomst, versleuteld. Pas daarna worden deze bestanden geüpload naar de cloudopslag.

Boxcryptor
Boxcryptor

Voor het delen van versleutelde bestanden is de Whisply-technologie geïntegreerd. Hiermee kunnen versleutelde bestanden worden gedeeld, zelfs met mensen die Boxcryptor of de cloud niet gebruiken.

Versleutelde bestanden worden normaal weergegeven in de Boxcryptor-schijf en kunnen worden bewerkt zonder verdere maatregelen zoals ontsleuteling. In de “echte” cloudmap staan de bestanden echter met het achtervoegsel “.bc” en zijn dus voor iedereen versleuteld in de cloudopslag.

Boxcryptor
Boxcryptor

Aangezien Boxcryptor ook beschikbaar is voor alle mobiele platforms en zelfs als mobiele editie voor bijvoorbeeld USB-sticks, kunt u ook onderweg goed met de versleutelde bestanden werken en wordt u dus nauwelijks beperkt in uw workflow.

Gebruik alle gratis cloudopslag als centrale opslag met Cloudevo

Cloudevo combineert verschillende cloudopslagplaatsen tot één centrale opslag en maakt deze beschikbaar als virtuele schijf in het systeem. De daar opgeslagen gegevens worden gefragmenteerd over de clouddiensten en daarbij versleuteld. Op deze manier kunt u bestaande cloudopslag van de verschillende aanbieders samenvatten als één opslag en heeft u tegelijkertijd maximale bescherming tegen ongeautoriseerde toegang, omdat geen enkele aanbieder over alle gegevens van een bestand beschikt en de fragmenten bovendien versleuteld zijn. De software ondersteunt cloud providers zoals OneDrive, Google Drive, Dropbox, HiDrive, MagentaCloud, GMX, 1und1, web.de en nog veel meer.

Cloudevo
Cloudevo

Je kunt de tool echter ook met slechts één provider gebruiken en in principe dezelfde beveiliging krijgen als met Boxcryptor.

Cloudevo

Versleutelde containerdrives met Cloudevo, VeraCrypt of Bitlocker

Een andere variant van gegevensbeveiliging zijn versleutelde containerdrives, zoals die kunnen worden gemaakt met VeraCrypt als opvolger van TrueCrypt, maar ook met BitLocker, opgenomen in Pro-edities van Windows.

Alle oplossingen zijn gebaseerd op de opslag van gegevens in een versleutelde container die als virtueel station in het systeem is geïntegreerd. Deze container wordt op zijn beurt als bestand opgeslagen op de lokale synchronisatiemap van de cloudopslag en wordt daarmee gesynchroniseerd.

Om te voorkomen dat enorme hoeveelheden gegevens naar de cloud moeten worden overgebracht, moet het een dynamische gegevensdrager zijn waarvan de omvang alleen toeneemt wanneer hij bezet is.

VeraCrypt
VeraCrypt
VeraCrypt
VeraCrypt

Zo’n container kan heel goed gebruikt worden met Dropbox, omdat de desktopclient daarvan bit voor bit kan synchroniseren, zodat je niet telkens de hele container opnieuw hoeft over te zetten. Klanten van andere cloudproviders daarentegen zouden bij elke wijziging altijd de hele container willen overzetten, wat niet praktisch is.

Ontkoppelen voordat u afsluit

Bij gebruik van een virtuele harde schijf via VeraCrypt of BitLocker is het heel belangrijk dat de schijf eerst wordt losgekoppeld voordat je je afmeldt (eject voor VHD-bestanden in het contextmenu van Verkenner). Vervolgens synchroniseert de Dropbox-client met het internet. Pas als deze synchronisatie is voltooid, moet je de computer afsluiten.

Daarnaast raden we af om de virtuele harde schijf op verschillende computers te gebruiken. De reden hiervoor is de mogelijkheid van een conflict tijdens de synchronisatie. Dropbox slaat het bestand dan twee keer op met een naamextensie. Toch is het dan nauwelijks mogelijk om de twee bestanden, die elk wijzigingen bevatten, samen te voegen.

BitLocker als alternatieve oplossing

Als u BitLocker van Microsoft wilt gebruiken in plaats van VeraCrypt, moet u eerst een virtuele harde schijf in de lokale cloudmap aanmaken (Wat zijn virtuele harde schijven?), wat u met Windows in een Professional-editie kunt doen via het schijfbeheer in het computerbeheer. Over alle mogelijkheden van schijfbeheer kunt u lezen in het artikel Schijfbeheer in Windows.

Virtuelle Festplatte erstellen
Virtuele harde schijf aanmaken

Net als bij VeraCrypt is het ook praktisch om een dynamische harde schijf aan te maken. Dit bespaart u de overdracht van lege “harde schijfruimte”.

Virtuelle Festplatte erstellen
Virtuele harde schijf aanmaken

De nieuw aangemaakte virtuele harde schijf wordt nu automatisch gemount en kan via het contextmenu worden versleuteld met BitLocker.

BitLocker aktivieren
BitLocker activeren
BitLocker aktivieren
BitLocker inschakelen

Lees ons artikel Encryptie maar veilig – TrueCrypt, BitLocker en alternatieven om te leren hoe je versleutelde containers en schijven maakt met VeraCrypt (TrueCrypt) of Microsofts eigen BitLocker.

Uw eigen NAS als cloud?

Een network attached storage (NAS) is in steeds meer huishoudens te vinden als centrale bestands- en mediaserver en is zonder harde schijven al vanaf ongeveer 100 euro verkrijgbaar. Omdat fabrikanten hun apparaten met steeds meer functionaliteit uitrusten, kunnen ze nu ook gebruikt worden als eigen cloudopslag. Synology bijvoorbeeld heeft met de CloudStation een oplossing voor zijn eigen NAS-systemen, die ook door minder ervaren gebruikers correct kan worden geconfigureerd en vervolgens via bijbehorende clientsoftware als echte cloudopslag in zowel lokale als mobiele systemen kan worden geïntegreerd. Meer informatie vindt u in ons artikel “Een eigen NAS – de betere cloud?

Cloudstation von Synology
Cloudstation van Synology

Hiervoor moet de NAS wel altijd ingeschakeld zijn en ook hogere uploadsnelheden aankunnen, waarbij het wijdverbreide ADSL van de Telekom met magere uploads van 1,2 Mbit/s een echte bottleneck zou kunnen worden.

Eigen cloud

Het laatste beveiligingsniveau is een eigen, lokale cloudserver. Linux-oplossingen zoals OwnCloud bieden hier een eenvoudige ingang en zijn bijna gelijk aan de grote providers met lokale desktop clients en mobiele apps voor Android of iOS. Bestandscodering is hier niet nodig, zolang de overdracht maar via SSL wordt versleuteld.

OwnCloud

Conclusie

Veiligheid gaat bijna altijd ten koste van gemak. Elke gebruiker moet daarom zelf beslissen hoeveel de beveiliging van zijn gegevens hem waard is en welke gegevens überhaupt beschermd moeten worden. Voor individuele bestanden kan eenvoudige bestandscodering de beste optie zijn. Handmatige versleuteling is echter niet erg praktisch voor grote datasets of gegevens die voortdurend veranderen. Hier kan de gebruiker het beste tools zoals Boxcryptor kiezen, omdat deze eenvoudig te gebruiken is en toch de nodige bescherming biedt.

Gerelateerde berichten