Lokal kryptering og upload til skyen vs. kryptering i selve skyen

Det er blevet almindeligt at gemme dokumenter, fotos og følsomme data i skyen.Dette gælder både for enkeltpersoner og virksomheder. Men efterhånden som vi uploader mere information, vokser tvivlen også: er det bedre? krypter lokale filer Før vi uploader dem, eller skal vi stole på krypteringen fra cloud-lagringsudbyderen? Svaret er ikke så indlysende, som det ser ud til.

Hvorfor kryptering er nøglen, når vi taler om skyen

For enhver IT-chef eller bruger, der håndterer følsomme oplysninger, er beskyttelse af data ikke længere valgfri.Uden nogen form for stærk krypteringFilerne er udsat for lækager, bøder for manglende overholdelse af regler, industrispionage eller simpelthen uautoriseret adgang.

Cloud-datakryptering tjener to hovedformål: at beskytte fortrolighed og reducere virkningen af ​​et angreb.Hvis en angriber formår at bryde ind i en server eller opfange kommunikation, er målet at forhindre dem i at læse noget nyttigt, fordi alt er krypteret med stærke algoritmer som AES eller RSA og med korrekt nøglehåndtering.

I forretningsmiljøer er kryptering også et direkte krav i henhold til regler som f.eks. RGPDHIPAA og andre compliance-rammerMange cloud-udbydere (Microsoft, Google osv.) implementerer kryptering under transit ved hjælp af TLS eller IPsec og i hviletilstand ved hjælp af systemer som BitLocker, DM-Crypt eller Azure Storage Service Encryption. De inkorporerer også FIPS 140-2-certificerede kryptografiske moduler og eksterne valideringer fra tredjepartsrevisorer.

Ud over de store udbydere bliver specialiserede krypterede lagringstjenester, der lover E2EE (end-to-end-kryptering) og zero-knowledge-kryptering, stadig mere almindelige.Ideen er enkel: filer krypteres på din enhed, før de uploades til skyen, nøglerne er ukendte for udbyderen, og ingen, ikke engang selve tjenesten, kan se dit indhold. I teorien svarer det til, hvad Signal eller [uklart - muligvis "Signal" eller "Signal"] gør. WhatsApp med beskederne.

Problemet er, at "brug af AES-256" eller omtale af post-kvantekryptering i markedsføring ikke garanterer reel sikkerhed.Det, der gør forskellen, er ikke kun algoritmen, men hvordan hele protokollen implementeres: nøglehåndtering, sikker udveksling, beskyttelse mod ondsindede servere, adgangskontrol, revisionslogfiler og hvordan samarbejde om krypterede dokumenter håndteres.

Fordele ved at bruge cloud-lagringstjenester

Før vi går i detaljer om lokal kryptering versus cloud-kryptering, er det værd at huske på, hvorfor skyen er så attraktiv.Det er ikke kun frygt og risiko: der er meget stærke grunde til, at næsten alle er endt med at bruge en eller anden form for cloud-tjeneste.

En af de største fordele er sikkerhedskopiering af filer.. Have en backup Beskyt mod tyveri, diskfejl, brand eller simpel uagtsomhed, udover dine enheder. Hvis du mister din bærbare computer, forbliver dine dokumenter sikre i skyen.

En anden stor fordel er tilgængelighed: du kan få adgang til dine filer hvor som helst, når som helst og fra næsten enhver enhed.Det er ligegyldigt, om du er på din mobiltelefon, en andens bærbare computer eller din stationære computer: du logger ind på din konto, og dine filer er der.

Der er også en tydelig indflydelse på omkostninger og vedligeholdelseMange cloud-tjenester tilbyder gratis abonnementer med begrænset lagerplads og rimeligt rimelige betalte abonnementer til udvidelse af kapaciteten. Derudover er udbyderen ansvarlig for hardware, redundante sikkerhedskopier og platformopdateringer.

Skyen gør samarbejde meget nemmereFlere personer kan arbejde på de samme dokumenter, dele mapper, kommentere, gennemgå og koordinere uden at sende versioner via e-mail. Dette ses i pakker som Microsoft 365, Google Workspace eller specifikke platforme som f.eks. pCloud, MEGA og lignende.

Endelig opdateres cloud-tjenester løbende, både med hensyn til funktioner og sikkerhedsrettelser.Brugeren slipper for besværet med at konfigurere servere, installere operativsystemrettelser eller bekymre sig om tilgængelighed døgnet rundt. Alt dette eliminerer dog ikke behovet for en god krypteringsstrategi.

Leverandørsidekryptering: hvad det virkelig bringer

Store cloud-udbydere til virksomheder, såsom Microsoft, Google og lignende virksomheder, tilbyder "baseline"-kryptering i deres tjenester.Dette omfatter typisk kryptering under transit (TLS, IPsec) mellem datacentre og brugerenheder, og kryptering i hvile på diske ved hjælp af teknologier som BitLocker eller DM-Crypt.

I Microsofts økosystem krypteres data fra f.eks. Exchange Online, SharePoint, OneDrive, Teams eller Windows 365 med en kombination af BitLocker, Distributed Key Manager (DKM) og Microsoft 365-tjenestekryptering.Derudover er der mulighed for at bruge kundeadministrerede nøgler via Azure Key Vault (kundenøgle), hvilket giver virksomheden ekstra kontrol over nøglerne.

Denne model omfatter også tjenester som Azure Virtual Network, hvor den kan bruges IPsec at kryptere trafik mellem virksomhedens netværk og virtuelle maskinerOg inden for e-mail giver værktøjer som Microsoft Purview Message Encryption dig mulighed for at sende krypterede beskeder til enhver modtager.

Nøglehåndtering er et kritisk punkt, og derfor er mange kryptografiske moduler, der bruges af disse udbydere, certificeret i henhold til FIPS 140-2.Procedurerne for generering, lagring, rotation og tilbagekaldelse af nøgler er underlagt eksterne revisioner og er dokumenteret på betroede portaler for virksomhedskunder.

Denne kryptering på tjenestesiden giver en meget stærk beskyttelse mod uautoriseret adgang til udbyderens infrastruktur.Hvis nogen stjæler fysiske harddiske, opfanger trafik mellem datacentre eller forsøger at udnytte interne sårbarheder, vil de støde på krypterede data, der i praksis er ubrugelige uden de rette nøgler.

Denne model har dog en grundlæggende begrænsning: udbyderen har normalt den tekniske kapacitet til at dekryptere dataene.Selv med strenge adgangskontroller, logfiler og overholdelse af lovgivningen er kryptering ikke nul-viden; tjenesten administrerer nøglerne og forbliver derfor en betroet del af sikkerhedsmodellen.

End-to-end kryptering og nul viden

End-to-end-kryptering (E2EE) og zero-knowledge-kryptering går et skridt videre end den traditionelle modelIdeen er, at data krypteres på din enhed, rejser krypteret og opbevares krypteret, uden at udbyderen nogensinde kan få adgang til indholdet. For eksempler og ændringer på dette område, se ende-til-ende-kryptering.

I et zero-knowledge-skema har brugeren en masternøgle, der er forskellig fra login-adgangskoden.Denne nøgle sendes aldrig til udbyderen i almindelig tekst og bruges til at kryptere filer og nogle gange selve mappestrukturen og metadataene. Mange tjenester tilbyder også en gendannelsesnøgle, som giver mulighed for at gendanne adgangen, hvis hovednøglen mistes.

Den direkte konsekvens er, at hvis du glemmer masteradgangskoden og gendannelsesadgangskoden, mister du uigenkaldeligt adgangen til kontoen.Udbyderen kan ikke hjælpe dig, fordi de per definition ikke har de nødvendige oplysninger til at dekryptere dataene. Dette er et tveægget sværd: maksimal privatliv, men også maksimalt ansvar for brugeren.

End-to-end-kryptering beskytter også overførsler: hver fase, fra filupload til download eller deling, er dækket af kryptering.I tilfælde af tyveri af enheden vil uautoriserede personer ikke kunne se indholdet uden nøglen, forudsat at enheden er korrekt beskyttet (lås, pinkode, biometri), og at der anvendes et godt lokalt krypteringssystem.

Tjenester som pCloud, NordLocker, MEGA og andre har populariseret denne model, eller noget meget lignende.pCloud giver dig mulighed for at tilføje et zero-knowledge-krypteringsmodul som ekstraudstyr; NordLocker fungerer næsten som krypteringssoftware med tilknyttet cloud-lagring; MEGA tilbyder zero-knowledge-kryptering som standard i både sine gratis og betalte planer.

Problemet er, at det er utrolig komplekst at implementere E2EE korrekt.Forskere fra Applied Cryptography Group på ETH Zürich analyserede adskillige angiveligt end-to-end krypterede tjenester (Sync.com, pCloud, Icedrive, Seafile, Tresorit, MEGA, Nextcloud) og fandt alvorlige implementeringsfejl, der tillod filmanipulation, protokolforringelse eller i nogle tilfælde endda datadekryptering.

Svaghederne ved cloud-kryptering: ud over markedsføring

En af de hyppigste fejl er at fokusere på, hvor stærk krypteringen er "i skyen", og glemme det svage led: brugernes enheder.Mange tjenester baseret på virtuelle diske eller synkroniseringsprogrammer opbevarer en dekrypteret kopi af filerne på den lokale computer.

I disse virtuelle diskmodeller findes hver fil mindst to steder: krypteret i skyen og lokalt i almindelig tekst.Hvis en virksomhed har otte brugere, der synkroniserer den samme mappe, kan der være ni lagringspunkter: et meget sikkert lagringspunkt på serveren og mindst otte ukrypterede kopier på alle computere, inklusive bærbare computere.

Dette gør det klart, at selvom udbyderen kan prale af post-kvantekryptering eller "uindtagelige" algoritmer, ligger den reelle risiko ofte i yderpunkterne.Malware, der stjæler information, ransomware eller endda et simpelt fysisk tyveri af en bærbar computer, kan eksponere alle synkroniserede filer, uanset serverens krypteringsniveau.

Studier foretaget af ETH Zürich viste også, at selv når man bruger robuste algoritmer som AES eller RSA, kan implementeringer introducere betydelige sårbarheder.For eksempel var det i nogle tjenester muligt at indsprøjte belastende filer, manipulere metadata eller gendanne nøgler for at dekryptere data via en kompromitteret server.

I tilfældet med Sync.com kunne en ondsindet server tilføje mapper, omdøbe filer og udnytte delingsfunktionen til at få fat i de dekrypteringsnøgler, der er inkluderet i linkene.pCloud tillod en angriber at slette fragmenter af filer eller dekryptere downloadede filer efter en serverkompromittering; Seafile havde et problem med protokolforringelse, der muliggjorde brute-force-angreb på adgangskoder.

Icedrive, Tresorit, Nextcloud og MEGA udviste også specifikke svagheder i håndteringen af ​​fragmenter, metadata eller nøgler.I nogle tilfælde, såsom Nextcloud og MEGA, blev der introduceret betydelige ændringer for at afbøde dem (ny E2EE-tilgang, klientsidekontroller); i andre har udbyderne reageret mere eller mindre hurtigt eller har betragtet angrebene som "teoretiske".

Det er ikke nemt at rette op på disse fejlOfte er det ikke nok blot at opdatere appsene eller serveren: det er nødvendigt at kryptere alle brugerfiler igen under en ny krypteringsordning, hvilket involverer en massiv beregningsmæssig omkostning og kræver aktivt samarbejde fra hver klient. Af denne grund tager nogle rettelser år at udrulle, eller de implementeres i faser.

Krypter lokalt og upload derefter til skyen: hvordan det fungerer, og hvad det tilbyder

En meget effektiv strategi til at genvinde kontrollen er at kryptere filer lokalt, før de uploades til standardskyen.På denne måde kan du fortsætte med at bruge tjenester som Dropbox, OneDrive, Google Drive eller lignende, men udbyderen gemmer kun krypterede data, som den ikke kan fortolke.

Den typiske ordning involverer oprettelse af en krypteret container eller "hvælving" på din computer og synkronisering af den fil eller mappe med skyen.Værktøjer som Cryptomator eller VeraCrypt er fremragende eksempler: de er gratis, open source i Cryptomators tilfælde og cross-platform.

Processen med Cryptomator er for eksempel baseret på at generere et krypteret hvælv beskyttet af en stærk adgangskode.Inde i dette arkiv gemmer du de fotos, dokumenter eller videoer, du vil beskytte. Programmet opretter et midlertidigt virtuelt drev: mens det er ulåst, arbejder du med dine filer, som om de var et USB-drev; når du låser det, er alt, der forbliver synligt, et sæt krypterede data, der er meningsløse for andre programmer.

Nøglen er, at den krypterede fil eller mappe, der er synkroniseret med skyen, aldrig må manipuleres direkte uden for krypteringsapplikationen.Cloududbyderen ser kun krypterede blokke; selv hvis den udsættes for et angreb eller uautoriseret adgang, vil angriberen ikke kunne læse indholdet uden den korrekte adgangskode.

Denne tilgang har flere klare fordele i forhold til udelukkende at stole på leverandørkryptering.For det første administrerer du nøglen; for det andet er modellen tjenesteuafhængig, og du kan skifte platform uden at ændre din krypteringsordning; for det tredje reducerer du virkningen af ​​potentielle fejl i udbyderens E2EE-implementering, fordi din første forsvarslinje er lokal.

Den vanskelige del er at administrere adgangskoder og nøgler.Hvis du mister din adgangskode til dit Cryptomator- eller VeraCrypt-sikkerhedsskab, er der ingen måde at gendanne den på. Det fornuftige er at bruge en adgangskodeadministrator, generere lange, unikke adgangskoder og, hvis det tilbydes, gemme en ekstra gendannelsesnøgle sikkert.

Alternativer uden permanent synkronisering: tilfældet med Dataprius

En anden måde at omgå problemet med dekrypterede kopier på computere er at bruge tjenester, der ikke er afhængige af konstant synkronisering.Dataprius er et eksempel på en platform, der som standard vælger en model uden en virtuel disk.

I Dataprius er synkronisering valgfri og begrænset til bestemte mapper, når det virkelig er nødvendigt.Den største forskel i forhold til traditionelle synkroniseringsprogrammer er, at applikationen tillader direkte redigering af filer gemt i skyen uden at opbevare dem permanent på computeren.

Forestil dig en mappe med meget fortrolige dokumenterI stedet for at få den replikeret på alle computere, tilgår du den fra Dataprius-applikationen, dobbeltklikker på filen, redigerer den, og når du gemmer, sørger systemet for midlertidigt at dekryptere den, så du kan arbejde med den, og sletter den derefter fra den lokale computer, så der ikke er spor tilbage.

Denne tilgang reducerer angrebsfladen på brugerenheder drastiskHvis malware stjæler lokale filer, eller en angriber får kontrol over en bærbar computer, vil de ikke finde en komplet mappe synkroniseret med alle dokumenterne i almindelig tekst, fordi disse ikke gemmes permanent. For endpoint-beskyttelse kan du tjekke løsninger som antimalware-sammenligninger.

Når der er behov for mere intensivt samarbejde eller offline-arbejde, er det dog muligt at aktivere synkronisering i bestemte mapper.Nøglen er, at det ophører med at være standardmodellen, og de mest følsomme områder administreres med direkte redigering i den krypterede sky.

Krypterede lagringstjenester: pCloud, NordLocker, MEGA og andre

Ud over at bruge lokal kryptering eller platforme uden synkronisering er der et voksende udbud af cloud-lagringstjenester, der allerede er krypteret "ud af boksen".Det er her, løsninger som pCloud, NordLocker, MEGA og mange andre kommer i spil.

pCloud er en alsidig platform med gode hastigheder og fleksible abonnementer, som giver dig mulighed for at tilføje et zero-knowledge-krypteringsmodul som et betalt tilføjelsesprogram.Den tilbyder lagerplads fra 500 GB til 10 TB og en gratis plan på omkring 10 GB, med funktioner som en integreret medieafspiller, filversionsstyring og automatisk synkronisering på tværs af flere enheder.

NordLocker fungerer næsten mere som krypteringssoftware med tilhørende cloud-lagring.Den tilbyder nul-viden-kryptering, selv i sit gratis abonnement (begrænset til 3 GB) og overkommelige betalte abonnementer med muligheder på op til 2 TB. Den bruger AES-256 kombineret med xChaCha20-Poly1305 og Ed25519 til digitale signaturer og kan prale af en streng nul-logpolitik under panamansk jurisdiktion.

MEGA er på sin side kendt for at tilbyde 20 GB gratis lagerplads og nul-videns-kryptering fra starten.Den giver brugeren master- og gendannelsesnøgler, bruger AES-256 og tilføjer interessante funktioner såsom integreret chat med tale- og videoopkald samt totrinsgodkendelse og en detaljeret sessionshistorik.

Prismæssigt er MEGA en af ​​de dyreste i denne gruppe med basisabonnementer på omkring 400 GB og generøse overførselsgrænser.NordLocker og pCloud er normalt billigere for 2 TB lagerplads, og pCloud skiller sig ud med meget aggressive lejlighedsvise tilbud på langtidsabonnementer.

Når du vælger en af ​​disse tjenester, er det tilrådeligt at overveje flere kriterier: ægte nul-viden-kryptering, overførselshastighed, brugervenlighed, planfleksibilitet og værdi for pengene.Brugerfladen er også vigtig: pCloud fokuserer på fuldgyldige apps på tværs af alle platforme, NordLocker på en meget simpel træk-og-slip-brugerflade, og MEGA på en intuitiv hjemmeside og mobilapps. Vær opmærksom på Overførselshastighed og migreringsværktøjerne mellem tjenester.

Cloud EKM og eksterne nøgler: mere kontrol for virksomheder

I erhvervslivet bliver direkte kontrol over nøglerne stadig vigtigere, udover kryptering i hvile og under transit.Google Cloud tilbyder for eksempel Cloud External Key Manager (Cloud EKM), som giver dig mulighed for at beskytte data i skyen ved hjælp af nøgler, der hostes på et kompatibelt tredjepartssystem.

Med Cloud EKM forbliver nøglerne i en ekstern manager og bruges kun via kontrollerede opkald.Dette giver klar nøgleproveniens, mere detaljeret adgangskontrol og centraliseret administration, hvilket er nyttigt i miljøer med meget strenge compliance-krav, hvor cloududbyderen ikke forventes at have absolut kontrol over kryptering.

Denne model er kombineret med kundeadministreret kryptering (CMEK) i Google Cloud-tjenesterI praksis kan organisationen bestemme, hvem der bruger nøglerne til at kryptere data i hvile, hvornår og hvordan, og logge alle operationer til senere revisioner.

Sådan beslutter du: krypter lokalt vs. stol på udbyderen

Der findes ikke én strategi, der virker for alle, så beslutningen afhænger af en nøje vurdering af din situation.Der er flere faktorer, du bør analysere, før du beslutter dig for den ene eller den anden tilgang.

Det første er dataenes følsomhedHvis vi taler om juridiske dokumenter, lægejournaler, detaljerede økonomiske oplysninger eller meget personlige data, bør barren være meget højere, end hvis du bare gemmer billeder fra din sidste tur eller notater fra klassen.

Mængden af ​​lagret information og hvor nemt det er at migrere den spiller også en rolle.Hvis du allerede har adskillige terabyte fordelt på forskellige cloud-tjenester, kan det tage tid og planlægning at skifte platform eller flytte alt til en krypteret container.

Vigtigheden af ​​samarbejde er et andet centralt punktHvis du har brug for realtidsredigering, intensiv brug af delte links eller integration med online kontorværktøjer, kan en rent lokal krypteringsordning komplicere arbejdsgange betydeligt.

For meget kritiske data med lavt behov for samarbejde er den mest robuste løsning normalt at kryptere lokalt og kun uploade krypterede versioner til skyen.Dette kan gøres med containerfiler (VeraCrypt, Cryptomator) eller endda med komprimerede filer beskyttet med en stærk adgangskode til lejlighedsvis udveksling.

Hvis du leder efter en balance mellem bekvemmelighed og sikkerhed, og datamængden ikke er enorm, kan det give mening at vælge E2EE-tjenester, der har klaret sig godt i audits.Tresorit klarede sig for eksempel relativt godt i ETH Zürichs analyse og har annonceret planer om yderligere at forbedre sin ordning. MEGA og Nextcloud har introduceret betydelige ændringer i deres kryptering efter resultaterne.

Når ingen af ​​disse løsninger er et perfekt match, er en kombination normalt den mest realistiske tilgang.For eksempel: brug lokal kryptering til de mest følsomme oplysninger, en E2EE-tjeneste til meget følsomme delte projekter og en standard cloududbyder til mindre kritisk materiale.

Bedste fremgangsmåder til at styrke sikkerheden af ​​dine data i skyen

Uanset hvilken tilgang der vælges, er der en række anbefalinger, der bidrager til at styrke sikkerheden på tværs af linjen.Ingen krypteringsteknologi kan kompensere for grundlæggende dårlig praksis.

Brug altid stærke, unikke adgangskoder til hver tjeneste førstKombinér store og små bogstaver, tal og symboler med rimelig lange længder, og brug en adgangskodeadministrator, så du ikke behøver at huske dem alle.

Aktivér tofaktorgodkendelse (2FA) på alle cloududbydere og krypteringstjenester, der understøtter det.Det er en meget effektiv yderligere barriere mod tyveri af legitimationsoplysninger, hvad enten det er gennem phishing eller massive databrud.

Hold klientapplikationer og operativsystemet altid opdateretMange angreb udnytter sårbarheder, der allerede er blevet rettet, så det at ophøre med at anvende rettelser giver angriberne en fordel. Dette gælder både krypteringssoftware, synkroniseringsapps og browsere.

Gennemgå regelmæssigt indholdet af din cloud-lagring, og slet forældede eller unødvendige data.Jo mindre følsomt materiale du har eksponeret, jo bedre. Gennemgå også delte mapper, offentlige links og adgang givet til tredjeparter.

Glem ikke, at det mest sandsynlige angreb stadig vil være direkte tyveri af oplysninger fra din computer eller mobiltelefon.God cloud-kryptering er ingen erstatning for robust anti-malware-beskyttelse eller sikker browsingpraksis. Kombiner begge dele.

Dokumenter endelig din krypteringsstrategi, især i virksomhedsmiljøer.Definer, hvad der krypteres lokalt, hvad der uploades krypteret, hvilke eksterne tjenester der bruges, hvem der administrerer nøglerne, og hvordan katastrofeberedskab udføres. Improvisation fungerer sjældent godt med sikkerhed.

Valget mellem at kryptere lokalt og uploade til skyen eller direkte bruge en lagringstjeneste med integreret kryptering er i virkeligheden ikke en alt-eller-intet-situation.Ved at forstå, hvordan leverandørkryptering, E2EE, synkroniseringsbaserede modeller og lokale krypteringsværktøjer fungerer, er det muligt at designe en kombination, der passer perfekt til dine risici, din arbejdsmetode og dine reelle samarbejdsbehov, uden at ofre bekvemmeligheden ved skyen eller effektiv kontrol over dine mest følsomme data.