Способ удобного шифрования данных в облаке (собственными средствами)

Уважаемое сообщество!

Хочу поделиться способом удобного прозрачного шифрования данных, которые мы передаем/скачиваем из облака.

Но начать следует с обзора текущей ситуации.

Существуют облака, в которых можно хранить много различной информации. Иногда совершено бесплатно. Это прельщает. Множество сервисов прямо таки борются в желании предоставить вам как можно больше гигабайтов и функций. Однако, надо понимать, что бесплатный сыр бывает только в мышеловке. Опасность заключается в том, что свои файлы вы передаете на хранение чужому дяде с неизвестными, по отношению к вам, намерениями. А опасность именно файлов, как объекта информации, в том и заключается, что с него можно сделать копию и вы об этом факте никак не узнаете. Также файлы можно проанализировать с разными целями. В общем, много чего.

Придерживающиеся точки зрения «мне нечего скрывать, пусть смотрят» — дальше могут не читать. Продолжайте наслаждаться утечками фоток из iCloud, произошедшими недавно, удалением из облака нелицензионного контента и т.п. Те же, кому кому важна конфиденциальность личной жизни и в целом неприятно подглядывание за вами в замочную скважину и запускание руки большого брата в ваши личные дела — читаем дальше.

Облака использовать можно. Но нужно делать правильно. Решением здесь является шифрование данных. Однако, нужно понимать, что шифрование шифрованию рознь. Многие сервисы кричат о том, что у них самые лучшие алгоритмы шифрования. Но эти же сервисы скромно молчат о том, что сами они могут получить доступ к вашим данным в любое время. Поэтому самым правильным вариантом является вариант шифрования/дешифрования данных на ВАШЕЙ стороне. Таким образом, облако всегда имеет дело только с зашифрованным контентом. При этом, у клиента шифрования и облачного сервиса не должен быть один владелец. Идеальный случай — это открытые исходники клиента шифрования.

Итак, что мы имеем с таким подходом:

Плюсы:

1. Владелец облака никогда не имеет доступа к содержимому ваших файлов. Никак.
2. Все узлы в цепочке следования вашего траффика не имеют доступа к вашим данным. Это, например, владелец wifi точки кафе, провайдер, владелец магистральных линий, админы сетки на вашей работе и т.п.

Это здорово.

Минусы:

1. У Вас появляются лишние заботы по обеспечению шифрования/дешифрования, лишняя нагрузка на компьютер.

Кому что важнее. Но, давайте договоримся, что:

1. Облако для вас — не корпоративный инструмент для работы. Хотя и тут могут быть варианты в виде раздачи пароля коллегам.
2. Облако для вас — хранилище личных данных.

Состояние дел на текущий момент


1. На данный момент ни один сервис не предоставляет вышеописаную модель шифрования контента. Оно и понятно, ему это невыгодно.
2. Погуглив, я с удивлением обнаружил, что данной проблемой особо никто не озабочивается. Возможно, с облаками повторяется тот же трюк, что и с социальными сетями n-надцать лет назад. Когда люди, не думая, сами о себе все выложили в сеть. Кто с кем в каких отношениях, где служил и работал. Подарок всем спецслужбам и мошенникам.

Текущие варианты решения задачи по обеспечению безопасности собственных файлов в облаке:

1. Шифрование, предоставляемое владельцем облака. Защищает только от других пользователей, но не от владельца облака.
2. Складирование в облако файлов в запароленных архивах или шифрованных контейнерах (типа truecrypt). Неудобно пользоваться, так как для того, чтобы внести небольшое изменение или просто скачать файл — нужно скачивать/заливать весь контейнер целиком. Что часто бывает небыстро, если он большой.
3. VPN защищает только канал связи, но не содержимое облака.
4. Программа BoxCryptor. Она умеет шифровать файлы отправляемые/сливаемые из облака. Но её механизм работы неудобен. У вас на локальном компьютере должна быть синхронизированная копия всех данных облака. В этой копии вы работаете с данными, а программа в шифрованном виде заливает/сливает их в облако. Синхронизирует в общем. Неудобно.

А мы что хотим?


Мы хотим, чтобы у нас с собой была флешка, вставляем её в любой свой (или не свой) компьютер с подключением к интернету, запускаем с нее некую программу. У нас в системе появляется виртуальный диск, зайдя в который (кто эксплорером, кто Total Commander) мы попадем в наш аккаунт в облаке. Видим наши файлы, делаем с ними что нам нужно. А потом все выключаем и уходим. А вот если в наш аккаунт зайти без запуска этой волшебной проги, то мы (или злоумышленник, админ-сниффер, владелец облака и т.п.) увидим кучу мусора — как в именах файлов, так и в их содержимом.

Как вариант — поставить эту программу стационарно на все свои компьютеры и забыть о её существовании и необходимости периодического запуска. Такой метод будет работать со всеми типами облаков, которые поддерживают стандарт WebDAV и позволяют хранить просто произвольные файлы, удовлетворяющие стандартам файловых систем.

Погуглив, я нашел только 2 варианта решения вопроса шифрования почти в том виде, в каком мне нужно.

1. Плагин WebDav для Total Commander. Добавляет облачный аккаунт в Total Commander и он становится виден как диск. В который можно копировать файлы. Однако, он пока не поддерживает шифрование. Мои попытки упросить автора включить в него шифрование и стать Гислеру первым, кто решит эту проблему — не увенчались успехом.
2. Программа CarotDAV, про которую уже писали на данном сайте. Она умеет шифровать файлы и имена по-одиночке. И все бы хорошо, но она имеет интерфейс проводника, что неудобно.

И вот, собственно, свершилось то, ради чего я пишу этот длиннопост.

Я смог уговорить автора включить поддержку монтирования виртуального диска в его программу. Мне была выслана его тестовая версия, которую сейчас я тестирую.

Собственно, программа легкая, все работает как надо. Но самое главное — вот теперь вы точно можете быть уверены, что ваши файлы в облаке принадлежат только вам — при сохранении легкого и удобного способа доступа к ним.

Приглашаю всех, кому стало интересно и кому такая программа необходима, присоединиться к тестированию.

P.S. Автор на сайте заявляет, что может выслать исходники.

Ссылки на дополнительные материалы
habrahabr.ru/post/207306
habrahabr.ru/post/209500

Соответственно, буду отписываться о результатах тестирования.

UPD1: программа поддерживает не только Webdav, а почти все виды распространенных хранилищ.
UPD2: портативная версия, носимая на флешке/лежащая на компе, избавляет от необходимости прогу ставить.
UPD3: Процесс выглядит у меня так: запускаю прогу и у меня в системе появляется виртуальный диск. Работаю с ним с помощью тотала. Закрываю программу — диск исчезает. В один клик, проще некуда.
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 86

    –1
    RAR/ZIP/7Z с паролем — не то? Проверенный и надежный код, между прочим.
      +1
      Вы правы, метод подходящий. Но вот для того, чтобы внести изменения в такой архив — его придется перекачивать целиком. Я об этом написал в статье. А если архив большой? А канал не очень широкий? Воооот. Ну и некоторый гемор с скачиванием/заливкой этого архива (ввод пароля, перепаковка и т.п. возня).
      А тут получаем удобство флешки (или локального контейнера truecrypt). Подключил и работай с файлами. При этом перекачиваются только те файлы, с которыми работаешь.
        0
        А предложенные вами решения позволяют менять произвольные байты в зашифрованных данных без скачивания файла целиком? Если это так — я бы рекомендовал посмотреть как реализовано шифрование. Потому что так позволяет делать, в том числе, режим ECB, а у него есть недостатки.
          0
          Нет, это решение не позволяет менять произвольные байты. Дело в том, что софт работает с файлами по протоколу WebDAV, который позволяет только скачивать/закачивать файлы (про удаление файлов и т.п. сейчас не упоминаем).
          Если бы можно было менять произвольные куски на сервере и скачивать аналогичные, то truecrypt контейнер в облаке вполне бы подошел. Но ведь нет.
            0
            Тогда вообще не вижу проблемы использовать архивы: один файл — один архив. А за счет сжатия данных как раз и канал будет экономнее использоваться.
              +1
              Тогда нужен софт, который будет автоматом прозрачно (и желательно чтобы это было реализовано через монтирование диска в системе) упаковывать/распаковывать файлы-архивы (и представлять виртуальную файловую систему пользователю). И еще остается вопрос с шифрованием имен файлов.
              Я такого софта не знаю.
                –1
                Шифрование имен поддерживается в RAR и ZIP точно, про 7Z не могу сказать, но наверняка тоже. Остается написать софтинку, которая будет сливать архив и запускать внешний архиватор. И это на базе давно известного и проверенного кода, так что скрипач какбэ и не нужен…
                  0
                  Вы имели ввиду шифрование имен внутри архива? А я имею ввиду шифрование имен файлов в облаке, в данном случае это имена файл-архивов.
                  Кроме того, мы же договорились, что один файл-один архив. Тогда этой софтинке нужно будет сливать/заливать много файлов, при этом каким-то образом шифруя их имена.
                    0
                    А чем вас не устраивают имена архивов вида «arch000000000013456»? И локальная база соответствия имен архивов и имен файлов…
                      +2
                      Ну, если это будет некая самописная (никем еще не созданная пока) оболочка, которая будет:
                      1. представлять шифрованное содержимое облака в виде виртуальной файловой системы
                      2. Монтироваться как диск
                      3. Осуществлять вызов внешнего архиватора на упаковку/распаковку
                      4. Вести базу соответствия имен.
                      5. Прочие пункты, описанные в публикации.
                      То Вы правы, всем устроит. Вот только ее еще нет. А я писал о работающем уже сейчас варианте.
                      Но о п.5 следует поговорить особо. Прога должна таскать с собой эту базу соответствия. И если вы из одного места внесли изменения, то из другого уже их видно не будет. Да, можно эту базу зашифровать и хранить в том же облаке. Но не слишком ли сложно?

                      Хотя, вариант может быть рабочим. Если будет реализован.
                        0
                        А пока что есть неизвестно кем и как писанная софтина :-) В общем, доверять файлы непойми чему — выбор каждого, но архивы как-то надежнее…
                          0
                          Автор обещал исходники выложить. А альтернативы пока вообще нет. Вот если будет кем-то уважаемым очень грамотно написана эта оболочка и выложены исходники, которая будет использовать архиватор с шифрованием с открытыми исходными кодами — и все это будет так-же просто — с удовольствием перейду на такую софтинку. Но облаком хочется пользоваться уже сейчас, а такую софтинку пока никто не написал.
                            0
                            Сорцы не обеспечивают отсутствия багов, иначе весь код был бы без багов, поскольку у кого-то когда-то сорцы были :-)
                              +1
                              Т.о. мы с Вами только что разработали аналогичную по концепции, но другую прогу. Но ее еще нет. А эта есть.
                              Вот и все. Плоха она или хороша, решать Вам (пользователям).
                              Но лично для меня — это простой, удобный и безопасный способ. И я рад, что он, наконец-то, появился.
                              А баги… В данном случае, вероятность багов в обсуждаемой и теоретически возможной программе будет примерно одинаковая. Для этого и есть тестирование.
                              А исходники — для проверки чистоплотности автора и только.
                              Кроме того, я не утверждаю, что этот способ самый правильный. Я просто хотел донести до общественности, что такой вариант появился. И только. Т.к. сам в нем был заинтересован.
          0
          использую гигабайтный truecrypt в дропбоксе, при изменении внутри контейнера в облако заливается только diff файла, что существенно экономит время и трафик
            0
            Интересный вариант. А если нужно скачать из контейнера один файл, какой траффик генерируется? Ведь для того, чтобы получить доступ к файлу — он должен быть полностью скачан (ну, или почти полностью). Или протокол доступа к облаку, который Вы используете, позволяет скачивать произвольные куски файла? А если закачивать, то тогда diff?
            И кто заведует управлением diff-файлами?
              0
              diff заведуем сам дропбокс.
              Для доступа к файлам внутри контейнера, контейнер должен быть полностью скачан.
                0
                Для доступа к файлам внутри контейнера, контейнер должен быть полностью скачан.

                Если контейнер измеряется гигами, то это уже проблема…
                Но все равно, спасибо за мысль о diff'ах.
                  0
                  контейнер то измеряется гигами, но блин спасибо dropbox, что умеет diff, и можно без проблем синхронизировать контейнер через него между несколькими тачками.
                  diff проверял только на windows. С телефоном еще не рискнул синхронизировать :)
                  А на linux еще не требовался этот файл
                    0
                    Но ведь diff создается при изменении контейнера. А если считать из него файл, то придется скачивать весь контейнер? Вот в чем заморочка.
                      0
                      Не, он локально все просчитывает. А вот алгоритм принятия фала на другое устройство это надо бы проверить, но судя по времени которое затрачивается он тянет серверный дифф для своего последнего состояния
          0
          А у zip-а надёжное шифрование?
            0
            У RAR используется AES и многократное хэшифрование пароля, так что все ОК. У ZIP вроде тоже AES…
              0
              Да кто спорит то? Архиватор с открытыми исходниками, вызываемый из оболочки — было бы здорово, да вот кто бы взялся написать? А пока не написали — ничего и нету, кроме костылей. До последнего времени.
          +5
          А чем EncFS не угодил?
            0
            Лично мне эта связка показалось слишком мутной по простоте реализации. Кроме того, если я не ошибаюсь, он не работает на лету, а дешифрует в локальную копию. Нет?
              0
              Есть удобный GUI как под Винду, так и под Линукс. Монтирование и размонтирование по одному клику, прозрачное шифрование хоть содержимого файлов, хоть их названий. Достаточно просто, и работает с любыми облаками.
                0
                Прошу дать ссылку для изучения этой проги (под винды). Т.к. encFS была сделана под линь, а под винду я видел только порт, который описан в статье по первой ссылке.
                  +1
                  Там особо настраивать не чего, хотя бы тут почитайте
                    0
                    Спасибо за ссылку. Изучил.
                    Нашел следующие минусы:
                    1. Необходимость установки на каждый комп, где мы собираемся этим механизмом пользоваться, библиотеки Dokan.
                    2. Необходимость каждый раз указывать программе место хранения шифрованых файлов. Вернее, на каждом компе надо указать.
                    3. Программа работает в связке с облачным синхронизатором. Т.е. шифрует файлы на локальный диск (или виртуальный, смонтированный синхронизатором). Откуда эти шифрованные файлы подхватываются синхронизатором и отправляются в облако.
                    4. Необходимость иметь установленный облачный синхронизатор.
                    Больше всего не устраивает третий пункт.
                    Если я неправильно разобрался — прошу поправить.
                      0
                      По моему это как раз плюс, потому что:
                      1 — при внезапной пропаже интернета у Вас есть локальная копия, в отличие от WebDAV.
                      2 — Будет работать с любым облаком, а не только теми, кто поддерживает WebDAV, и не только с облаками, а вообще с чем хотите, хоть всю домашнюю директорию зашифруйте. Но, как говорится, на вкус или цвет — все фломастеры разные :).

                      Впрочем я вообще за использование своего хранилища, на базе Seafile, например :)
                        0
                        Насчет иметь локальную копию — полностью поддерживаю! И даже обязательно ее делать регулярно. Но вот я имею доступ к своему облаку с 4 разных компов (работа, дома комп и ноут, еще один есть). И на всех иметь многогиговую локальную копию — накладно. Кроме того, если с одного места я много наизменял в облаке, то потом с другого места придется ждать окончания синхронизации.
                        Собственно, как тут правильно заметили, цель сделать облако некоей копией флешки. Безопасность флешки гарантируется ее бережным хранением и локальным шифрованием (контейнером). А безопасность облака может быть гарантирована только вот таким шифрованием.
                        Чтобы было так, что облако — это безразмерная, растущая в объеме, бесплатная флешка, не уступающая по безопасности и доступная всегда и везде.
                          0
                          Простите, но ИМХО вы выбрали неверную организацию вашего рабочего процесса (4 компа), отсюда и специфические запросы к сервисам облачного хранения файлов. Пока еще не поздно и не вырос мох, купите себе один легкий, удобный и мощный ноутбук с SSD и 16Г оперативки (например, на букву «M» или аналогичный) и используйте его везде вместо 4 компьютеров. Сэкономите уйму времени и нервов, а главное, у вас работоспособность выйдет на новый уровень.
                            0
                            Я не писал, что облако используется в рабочем процессе, как и все 4 компа. Кроме того, компы уже есть, а ноут надо покупать, таскать его с собой в нагрудном кармане не получится. Ну и доверять одному винту — стремно. Вот если купить такой замечательный ноут, соскладировать на него всю нужную коллекцию инфы — будет здорово. А потом, на всякий случай, всю ее перелить в облако, на случай умирания винта и будет здорово. И обломаться, если вдруг захотелось зайти в облако, а ноута с собой нет. И т.д.
                            Короче, решение то правильное, но не о том речь.
                              0
                              ИМХО вы неправильно трактуете, что такое Дропбокс. Отсюда и возникают рассуждения про умирание винта на едниственном ноутбуке.

                              Не нужно ничего руками складывать в дропбокс. Нужно просто все только там и хранить: т.е. вместо «Мои документы» используете папку Dropbox (можно даже симлинк поставить с /Users/zzz/Documents на Dropbox, а на саму папку Dropbox поставить атрибут скрытости, если вы на винде). И в ежедневной работе все файлы держать только там. Тогда вы будете застрахованы от потери ноутбука (а в совокупности с TrueСrypt или встроенным инструментом шифрования MacOS — и от кражи данных при потере ноутбука). Можно вставить промежуточную прослойку типа CryptFS, тогда и в дропбоксе все будет априори зашифровано.
                                0
                                В предыдущем комментарии Вы написали просто про ноут. А не про связку ноут+дропбокс. Ваш метод хороший. Но как быть если не ограничиваться принудительно одним ноутом и компьютеров все же несколько? А в перспективе вообще любой?
                                Кроме того, все же изначально речь шла о хранилище, в котором я сам буду определять что положить, а что слить. Т.е. удаленной флешке. Не о рабочей папке. Другая задача.
                                  0
                                  В моем понимании Дропбокс — это не аналог флешки. Дропбокс — это аналог realtime-backup с версионированием и мгновенной (ну почти) синхронизацией файлов между многими устройствами. 90% кода Дропбокса, думаю, как раз про это. Использовать Дропбокс как простую флэшку — это забивание гвоздей микроскопом и неиспользование тех 90% потенциала, которые в нем скрываются.

                                  Я знаю много людей, которые не используют дропбокс по назначению, а копируют туда файлы из своей рабочей директории и обратно. Не понимают, что все синхронизируется на лету, и можно работать с файлами, прямо лежащими в дропбоксе. Обычно переубедить таких людей невозможно, это сродни религиозным воззрениям: видимо, где-то здесь как раз и проходит водораздел между «я свободно пользуюсь компьютером» и «эта хрень как-то работает, я ее боюсь и лишний раз лучше не буду трогать, авось не сломается».

                                  Не уподобляйтесь. Переходите на сторону света! :) Дропбокс — это сейчас ИМХО единственный сервис, который замечательно живет с миллионами (у меня подбирается уже к 10 млн) файлов в своей директории, при этом почти не тормозит и не кушает память. Все остальные аналоги такое не тянут и близко (последний раз проверял год назад).
                                    0
                                    Я не против дропбокса, для своих целей он, наверное, хорош. Что насчет шифрования в нем и доверия к этому шифрованию? Исходники открыты? Интересует, в первую очередь, надежность шифрования и отсутствие закладок. Ну и сам принцип тут другой, синхронизация и т.п.
              0
              Плюсую encfs — в дропбокс синхронизируется только директория с кракозябрами. Когда же нужно поработать с этими файлами монтирую через encfs ее в другую директорию. Все изменения прозрачно синхронизируются без необходимости перекачивания одного большого контейнера.
              0
              Мы хотим, чтобы у нас с собой была флешка, вставляем её в любой свой (или не свой) компьютер с подключением к интернету, запускаем с нее некую программу.

              Если у нас с собой всегда есть флэшка, то зачем нужно облако? ;)
                0
                Хороший вопрос :)
                Флешка на несколько терабайт, ну или на несколько сот гигов пока стоят слишком дорого. И если такая флешка гавкнется, то будет очень жаль :)
                Я рассматриваю облако как резервное хранилище. А еще как некий центральный склад инфы, в котором могу обновлять инфу из многих мест. Как-то так.
                Ну а до недавнего времени я так и делал, таскал с собой портативный винт. Теперь могу не таскать :)

                Кстати, я об этом не написал, но как вариант: в облаке может лежать портативная версия проги. Тогда вам на пустом компьютере нужно будет браузером зайти в облако, скачать прогу на комп, запустить, ввести в нее пароль и получить доступ к зашифрованной части облака. Ведь шифрованное и нешифрованное друг-другу не мешают. Более того, меняя идентификатор шифрованности, можно иметь разную инфу, зашифрованную разными паролями. Для разных юзеоров.
                  0
                  Я с некоторых пор просто ношу с собой свой ноутбук, в итоге решилось масса проблем :)
                    +1
                    Ну да, согласен. Винт лучше флешки, ноут лучше винта. А если вообще не пользоваться облаком, то и шифрование ни к чему :)
                    Я надеюсь, у вас инфа на ноуте локально зашифрована? На случай утери. Просто сейчас владелец ноута — Вы, а потом кто-то другой :)
                    В случае с облаком — этот всегда кто-то другой, но только не Вы. Если без шифрования.
                    0
                    Это если совсем без флешки.
                      +1
                      А облака на несколько сот гигов дешевые? ;)

                      Тогда вам на пустом компьютере нужно будет браузером зайти

                      Если не надо на чужом компьютере поработать со своими файлами, то я предпочитаю по rdp подключиться на домашний сервер, а не гонять файлы туда-сюда (будем считать, что кейлоггер на чужом компьютере не установлен :)).

                      Все эти шифрования сильно усложняют жизнь, особенно в плане восстановления информации, если вдруг у вас контейнер повредился.
                        0
                        Согласен насчет повреждения контейнеров, но тут фишка в том, что контейнера нет. Просто файлы имеют странные, с точки зрения облака, имена и мусорное содержимое :)
                        Насчет Rdp. У меня дома роутер с винтом, но сделать его видимым снаружи сейчас не получается. Именно сейчас, т.к. ситуация с ipv4 все хуже и мой сейчашний провайдер уже не выдает пользователю белый ип на время сессии, как раньше. Т.е. разные пакеты с моего компа в инет выходят с разных белых ип, принадлежащих прову. Так что ddns здесь не прокатывает, следовательно и rdp не подключить. Да, есть хамачи и т.п. Но как хамачи поднять на роутере? Да и его безопасность под воопросом.
                          +1
                          файлы имеют странные, с точки зрения облака, имена и мусорное содержимое :)

                          Ну так это контейнеры и есть. Если какой-нибудь zip или jpeg в случае повреждения куска еще можно частично восстановить, то вот с зашифрованным файлом уже так не получится.

                          А rdp — ну так надо позаботиться о том, чтобы у вас был белый IP. Я честно плачу за три реальных IP-адреса у двух провайдеров (два у основного, один у резервного). Ну и тот же хостинговый сервер — в принципе, можно было бы на нём поднять vpn-сервер, подцепить туда домашнюю машину — и тогда можно было бы обойтись и без реального IP дома.
                            0
                            Согласен с аргументами про белые ип. Но речь то про облако идет.
                            Насчет повреждения зашифрованного контейнера — верно. Но мы же будем хранить файлы по-одиночке, а не контейнеры. И если повредится, то только один файл.
                              0
                              Про белые ip — я к тому, что если уж параноить, то лучше не связываться с облаками вообще.
                                0
                                Имеете ввиду, что имея в наличии мощные облачные вычисления можно легко сломать шифрованный файл, лежащий в облаке?
                                В противном случае будет — «видит глаз, да зуб неймет». Пусть лежит себе в облаке. Как в запасной флешке.
                    +2
                    CarotDAV есть только под Windows? Сноуден не одобряет.
                      0
                      Удар в десятку! Да, решение под винду только. Пока.
                      Сам же добавлю, что с мобильными платформами тоже вопрос.
                      Однако, надо же создавать движуху в правильном направлении.
                      Пользователей винды много. Для них он задачу решит.
                      Пусть остальные подтягиваются.
                      Просто не все пока осознают наобходимость таких решений.
                        0
                        Я буду рад, если другие, видя появление подобного софта, встрепенутся и напишут более достойный софт, кроссплатформенный, правильный. Я только за.
                        Софт без костылей в виде дополнительных либ, цепочек с облачными синхронизаторами и локальных копий облака.
                        0
                        Я смог уговорить автора включить поддержку монтирования виртуального диска в его программу.

                        Только я не понял — в итоге автора какой программы вы смогли уговорить?
                          0
                          Извиняюсь. Автора CarotDAV. Он сказал, что эту функцию раньше уже писал, но недопилил тогда.
                          Кстати, Гислер сказал, что будет включать функцию шифрования, но чуть позже и более системно интегрировать ее в свои модули.
                          0
                          Вы не доверяете облачным хранилищам, потому что microsoft, dropbox или любая другая компания может злонамеренно использовать ваши данные. Но вы доверяете какому-то парню, с неизвестной репутацией и мотивами? Вы готовы поставить его программу, дать ей полный доступ к своему компьютеру, сообщить ей учетные данные своих аккаунтов?
                          Я не против здоровой паранои, но с логикой в вашем решении беда.
                          Боле менее надежным до недавнего времени мог считаться truecrypt, благодаря открытым кодам и независимому аудиту. Но и с ним оказалось не так все просто.
                          PS. С облаками у вас совершенно надуманная угроза от MITM. Не слышал чтобы были успешные атаки такого рода.
                            0
                            Я в статье писал, что автор готов отдать исходники. Таким образом, с этой точки зрения, ситуация будет не хуже трукрипта. То что Вы это не прочитали в статье — не моя беда.
                            Основная цель — это чтобы облако никогда не получало незашифрованной информации. Побочный эффект — в канале связи также не будет нешифрованных данных. То, что Вы об этом не слышали — не значит, что этого нет. Есть снифферы, которые можно поставить на корпоративном прокси (или в вифи-кафе) и складывать по каталогам весь интересный контент, например фотки.
                            Ведь вы тем более не знаете как работает проприетарный синхронизатор облака от неизвестного дяди, которому Вы доверяете полный доступ к своему компьютеру и данным своих аккаунтов :)
                              0
                              Открытый код еще ничего не гарантирует. Его должен ато-то проверить. Трукрипт прошел первый этап независимого аудита, и ничто не предвещало беды. А потом случилось такое…
                              Снифферы на корпоративном портале ничего не увидят. Если только они не получат сертификаты от облачного сервиса.
                              Про алгоритмы неизвестного дяди… CarrotDav использует тот же api что и оффициальные клиенты.
                              Вы лишь выбираете кому верить, крупным компаниям с мировой репутацией и хоть соглашениями об использовании либо анонимному программисту.
                                0
                                А что такое случилось с трукриптом? Выложили метод его взлома? Его просто убрали методом социальной инженерии с арены.
                                Про api. А зачем верить, если можно посмотреть в исходнике? (вариант не для крупных компаний с мировой репутацией и соглашениями, там действительно только верить и остается).
                                И какая разница, какое api используется, если на выходе уже шифрованный контент? Конечно, клиент должен использовать проверенную открытую (или свою открытую) реализацию шифрования.
                            0
                            CarotDAV только под шиндовс, а суть облачных хранилищ же в том чтобы файлы были доступны со всех девайсов: яблочных и ведроид телефонов, планшетов, linux устройств
                              0
                              Да, Вы правы. Ну, с малых подвижек начинаются большие. Может, глядя на эту попытку, кто-то более умный озаботится и напишет кроссплатформенный софт. Будем надеяться.
                                0
                                Но ведь если появится некая несложная кроссплатформеная софтинка с открытым кодом, запустив которую на любом устройстве у вас на нем появится дополнительная буковка в дереве дисков (я утрирую), зайдя в которую вы увидите содержимое своего облака. Штатным образом сохраняя туда данные или получая их — они будут на лету шифроваться/дешифроваться. И это будет здорово.
                                Без всяких связок типа локальное шифрование+синхронизатор.
                                0
                                >Погуглив, я с удивлением обнаружил, что данной проблемой особо никто не озабочивается.
                                Вроде озабочиваются...
                                Сам не пробовал…
                                  0
                                  Попробовал.
                                  — Упаковывает в зип архивы с шифрованием
                                  — Ключ хранится на сервере. Что сводит на нет саму идею.
                                  — Код закрыт
                                  В общем странная штука
                                    0
                                    Ну да, я не говорил, что совсем нет, но как-то не очень активно. А все, что делают, выглядит как-то проприетарно и странно…
                                    А хочется просто и прозрачно, бесплатно и удобно.
                                    0
                                    Когда уже mail.ru родит WebDav в продакшен? :(
                                      0
                                      WebDAV не спасает, когда идет интенсивная работа с файлами. (Вернее, может, кого-то и спасает, но только этот «кто-то» в таком случае ходит на костылях и даже не замечает этого, что само по себе печально). Спасает только локальное хранение файлов и использование программ-агентов типа Dropbox. Единственный ИМХО случай, когда реально WebDAV рулит, — это когда вы туда фото-видео заливаете автоматически через приложения типа CameraSync и не хотите ими засорять локальный диск.
                                        0
                                        Естественно, прога это не панацея от всего. Это просто метод для альтернативной флешки. Когда нужно именно заливать и хранить файлы. Вроде склада.
                                          +1
                                          Вы правы, Дмитрий, но я не об интенсивной работе с файлами. Хочется иметь отдельное место хранение, куда я могу по своей воле скопировать или переместить файлы, желательно так, чтобы другие программы не были обязаны знать протокол обмена. Дропбокс как механизм синхронизации мне не нужен, а вот не нужные в настоящий момент я бы от отложил с локального диска.

                                          Вот как раз чтобы удаленная хранилка виделась как локальный жесткий диск, WebDav не сильно плохой вариант. Да, со своими «моментами», но все же.

                                          Но, повторюсь, я не хочу видеть у себя на машине копию того, что на удаленном сервере. Мне не нужен raid из локального диска и облака, мне нужен удаленный диск для копирования в него. И безопасного хранения, конечно.
                                        0
                                        Дропбокс — это не «облако», это «сервис облачного хранения файлов». Называть все подряд «облаком» — это все равно, что называть эникейщиков, сисадминов, верстальщиков и веб-дизайнеров «программистами».
                                          0
                                          С одной стороны Вы правы. Вы, наверное, и факс называете исключительно факсимильным аппаратом, а ксерокс — исключительно копировальным аппаратом?
                                          Речь шла о хранении файлов в облаке. По-моему, вполне очевидно, что имеется ввиду «сервис облачного хранения данных». И все (кроме Вас, видимо) это понимают. Я просто сэкономил и вместо четырех слов написал одно. Зачем лишнее?
                                            0
                                            Замечание про факс и ксерокс ИМХО вообще не в тему, извините. Вот про сисадминив-эникейщиков-дизайнеров, которых все бабушки называют «программистами», это более в тему ИМХО.
                                              0
                                              Ну, как Вам будет угодно. И причем тут бабушки? У нас тематический ресурс. А бабушки пусть на лавочках сидят.
                                              Я вообще не в курсе причем тут дропбокс, я называл облаком именно некий обобщенный облачный сервис, в котором подавляющее большинство держит файлы. И облако именно файлохранилище в общем понимании простых людей в первую очередь. По крайней мере пока. Собственно, дословно дропбокс так и будет — коробка для бросания туда :) Что ж бросать, как не файлы в первую очередь?
                                              Так что это была придирка на ровном месте, особенно в контексе статьи. На что я и указал, что если заниматься буквоедством, то факс и ксерокс называть надо правильно.
                                              Извините.
                                          0
                                          Я вот не пойму одного. Вот вы пишите, что нужно резервное сохранение файлов и очень безопасно. Причем объемы какие-то просто космические пишите (искал глазами, так уже и не могу найти точные данные по объемам( ). Даже представить не могу, что там у вас за космические объемы данных, что контейнер будет должно перезакачиваться в облако. Максимум я видел документов на 30гб, причем именно документов word-excel. Но такие вещи никто в жизни в облако не положит. Если брать ПО, то зачем его в облако складировать, да и к тому же шифровать. Фотографии? — да ну бросьте…

                                          Я к чему. Dropbox. 1гб контейнер truecrypt, куда влезает все что угодно без проблем легко после первой синхронизации открывается, в нём работается, закрывается и крайне быстро синхронизируется обратно. Как это устроено — не знаком, но точно все работает шустро.
                                          PGP контейнер в 2гб так же легко через dropbox туда-сюда работает при открытии, изменении количества файлов и закрытии.

                                          Более того, для решения ваших задач поставьте себе NAS вроде Synology и поднимите на нём синхронизации данных. Будет для вас самый надежный вариант… Готов ответить на интересующие вопросы, если они есть?
                                            0
                                            Да нет у меня к Вам вопросов. Вы описали совсем другой метод, со своими особенностями.
                                            Мне нужно было:
                                            1. Простое хранилище в инете, без всяких выпендрежей с синхронизациями. Чтобы я мог произвольно добавлять, заменять, удалять файлы. Что-то вроде большой виртуальной флешки.
                                            2. Желательно отсутствие всяких проприетарных синхронизаторов и прочих софтинок, которые обязательно надо установить на комп и которые непонятно что делают, кроме предоставления доступа к облаку.
                                            3. Чтобы программа, которая осуществляет доступ к облаку и шифрование запускалась портативно с своей флешки.
                                            4. Доступ к этому хранилищу с любого моего (или рабочего, гостевого) компьютера.
                                            Да, дропбокс работает интересно. Мы это уже выше обсуждали. Однако, с контейнером, лежащим в облаке, не все так просто. Читайте выше.
                                            Насчет объемов. А почему насчет фото и видео — «бросьте»? Я на тему «бросьте» уже писал в начале статьи. Кроме того, у меня там лежит большая подборка инфы (файлы, видео, фото) на специальную тематику, которой бы я не хотел делиться с любопытными чужими дядями.
                                            Насчет синолоджи — тоже обсуждали уже.
                                            А сейчас у меня все работает именно так, как мне хотелось:
                                            1. Приспичило залезть в свое хранилище (на каком-то из компов)
                                            2. Достаю флешку, запускаю прогу.
                                            3. Тоталом лазию там, делаю операции с файлами
                                            4. выгружаю прогу.
                                            Все просто лично для меня. И я там могу осуществлять операции с файлами не заботясь о ширине канала, не держа локальную синхронизированную копию контейнера, не ожидая его синхронизации на другом компе, не беспокоясь за конфиденциальность данных на любом участке от моего компа до облака. Вот сегодня не надо мне — я не запускаю ничего. А вдруг, читая форум, увидел интересное, сохранил, положил в облако.
                                            Как-то так.
                                            Да, не идеально, но и такого не было.
                                              0
                                              Понял вас. Да, немного другое применение. В таком случае ваш способ, вероятно, удобнее для вас.

                                              У меня был опыт делиться специальной инфой с человеками. Для этого делался truecrypt контейнер, который периодами пополнялся и перезакачивался на внешний сервер (считайте обычный хостинг за 200р/месяц). Дальше делалась ссылка на контейнер людям через скрипт, чтобы не могли узнать конкретное название архива и выкачать напрямую, а затем высылался маленький howto с ссылкой на truecrypt распакованый в exe-архив, который после запускался запускал саму программу с просьбой подключить файл.
                                              Как бы не очень, может быть, быстро, но на практике со второго раза у людей вопросов не возникало с использованием.
                                            0
                                            Кстати, я совсем забыл упомянуть в статье и в комментариях, что прога поддерживает не только webdav, а и многие остальные специализированные протоколы доступа, типа SkyDrive, Imap, GoogleDrive, DropBox, а также ftp и файлы. Правда и статья была не о рекламе проги, а о ее конкретном применении.

                                            Ну и мы в комментах уже обсуждали аналогичную, но более народную прогу, работающую с архивами. С удовольствием перейду на нее, если кто такую напишет.
                                              0
                                              С момента написания данной статьи автор CarotDAV в нашей с ним переписке куда-то пропал. Однако, я заметил, что на его сайте появились свежие версии его программы, в частности версия 1.11.8. И она уже не pre-релиз, как автор мне высылал на тестирование, а вроде как релиз. И там теперь на постоянной основе есть функции, связанные с маппированием диска в системе.
                                              Под семеркой все работает хорошо. Но, к сожалению, остались те же проблемы по WinXP, как и несколько месяцев ранее. Функция маппирования вызывает ошибку. Пока непонятно почему так происходит…
                                                0
                                                Автор проявился, просто закрутился. И довольно активно отвечает.
                                                На текущий момент состояние дел следующее:
                                                1. Регулярно выпускаются новые версии.
                                                2. Шифрование есть в наличии и оно работает.
                                                3. Выяснил суть проблемы под XP. Собственно, виновата сама XP, вернее конкретный ее экземпляр. Если штатными средствами в XP не получается смаппировать букву диска на webdav сервис, то и программа тоже работать с этим функционалом не будет. Это известный косяк XP, прога ни при чем.
                                                4. Автор готов выслать исходные коды, но не все. Мотивирует тем, что он получил от владельцев некоторых сервисов алгоритмы и коды по доступу к их хранилищам и не имеет права их разглашать. Но, они реализованы в виде модулей, предложил ему на эти модули коды не давать, кто не хочет — не пользует, остальное работать будет. Посмотрим.
                                                5. Насчет кроссплатформенности и мобильных платформ написал ему, жду ответа.
                                                  0
                                                  Ну что можно сказать на данный момент…
                                                  Автор CarotDAV, по-прежнему, остается единственным, кто реализовал подобную прогу. Видимо, основной народ отупел настолько, что не хочет задумываться о безопасности своей информации.
                                                  Остальное меньшинство пользуется костылями в виде локальных гиговых копии в виде контейнеров в связке с синхронизаторами облака или копий облаков через encFS или BoxCryptor в связке с синхронизаторами и, таким образом, привязаны к этому своему компу (или нескольким, где стоит данный софт и лежит локальная инфа).
                                                  Грустно.
                                                  Интересно, когда и что должно случиться такого, чтобы дало по башке этим беззаботным людям и появился интерес к приватности своей информации? Чтобы появился спрос, который рождает предложение.
                                                    0
                                                    Мне кажется, что просто такая организация процесса не удобна и является костылем как раз, в отличие от собственного сервера с Seafile с зашифрованным репозиторием.
                                                      0
                                                      Может быть…
                                                        0
                                                        Я в общем-то о том, что Вы как-то слишком агрессивно отстаиваете свою точку зрения. Вам и автору CarotDAV удобнее так, замечательно, у вас есть программа и вы оба рады + еще некоторое количество человек.
                                                        Утверждать же, что основной народ отупел — несколько… опрометчиво, особенно учитывая, что Вы на хабре, где есть куча популярных статей о том, как сделать свои данные приватнее. Просто, скорее всего, остальным удобнее другой способ сохранения приватности своих данных.
                                                          0
                                                          Да, некоторые люди заботятся как могут, но эти методы неидеальны, как и мой. Меня возмущает только тот народ, кто не заботится о шифровании. А его большинство. Ну как можно быть таким беспечным?
                                                            0
                                                            Ну значит они не считают, что их данные настолько важны.
                                                            Либо просто не доверяют действительно важное чужим облакам.
                                                    0
                                                    insector Не приходилось ли сталкиваться с проблемой монтирования на Win10? Выглядит это так: отмечаем все три галочки в окне настроек DAV server, нажимаем ОК, окно закрывается и выдает ошибку «System.Exception: 53 в CarotDAV.NetDriveManager.MountDrive(char letter, String unc, String name, String iconpath, Int32 index) в CarotDAV.MainForm.MountDrive()».

                                                    Only users with full accounts can post comments. Log in, please.