TIP#1160: Jak je to se soukromím v Dropboxu či One Drive? Může být šifrované online úložiště opravdu bezpečné?

Chcete používat nějaké bezpečné úložiště v online podobě, cloudové úložiště (viz Velký přehled cloudových úložišť aneb Dropbox, OneDrive, Box.net a ti další) a jde vám o bezpečnost? Měli byste vědět několik poměrně zásadních věci.

Online úložiště jako Dropbox, One Drive či iCloud jsou z hlediska ochrany soukromí stále veřejný prostor. Provozovatel má přístup ke všemu co si do úložiště uložíte. V některých případech (iCloud, Dropbox) jsou data ukládána šifrovaná, ale provozovatel má k dispozici (de)šifrovací klíče, takže data může dešifrovat. Podobně tomu mimochodem je s e-maily ve službách od Google, Microsoftu, Apple i dalších. Maily rozhodně v těchto službách nejsou bezpečně uložena, vše je volně dostupné a v zásadě je může číst kdokoliv z dané společnosti (ano, budou mít různá organizační omezení, ale to je jenom formální záležitost).

Pokud někdo získá vaše přihlašovací údaje ke cloudu (či e-mailu), tak získá kompletní přístup ke všem tam uloženým souborům a informacím.

Další podstatná věc u online úložišti je ta, že přenos dat mezi vaším počítačem/mobilem a online úložištěm musí probíhat přes https (TLS) aby nebylo možné přenášená data odchytávat cestou. To je dnes už naštěstí nejspíš platné pro všechna online úložiště.

Pokud byste chtěli mít bezpečné online úložiště, tak by muselo docházet k šifrování a dešifrování na vašem vlastním zařízení a šifrovací klíče by nesměly opustit váš počítač (popravdě by neměly být dostupné ani v něm) – jakékoliv řešení kde jsou šifrovací klíče „někde“ uloženy znamená, že je zásadně narušeno jejich bezpečné používání.

TIP: V 12 tipů na bezpečné používání WhatsApp. Jak nastavit soukromí ve WhatsApp? je zmíněno, že zálohy WhatsApp na Disk Google nejsou šifrované. Zatímco samotné WhatsApp šifruje komunikaci mezi zařízeními (a samotný provozovatel nemá přístup k vaším chatům), jakmile zálohujete své chaty (a skupiny) do Google Disku, tak se tam ukládají v čitelné podobě.

To že online úložiště nemají soubory uloženy v šifrované podobě (nebo je mohou dešifrovat)  znamená, že je mohou vydávat orgánům činným v trestním řízení, že je mohou kontrolovat na závadný či nelegální obsah (což mimochodem dělají). Mohou je i prohlížet za účelem budování inzertních profilů. Znamená to také to, že pokud se kdokoliv k souborům dostane, může je nejenom číst, ale také měnit.

To vše znamená, že do cloudového úložiště bez použití šifrování nepatří žádné citlivé informace.

TIP: Co je to end-to-end encryption (koncové šifrování). Jak je to bezpečné?

Soubory na vašem počítači by měly být také uloženy v šifrované podobě – pokud se tedy opravdu bavíme o odpovídající úrovní bezpečnosti. Windows, Linux i Mac OS umí šifrovat data ukládaná na disku, takže určitě můžete využít i tento základní (a dodatečný) způsob ochrany. V mobilních telefonech ostatně platí totéž. Nezapomeňte ani na externí média, na která mohou vaše soubory putovat (Jak šifrovat data na USB klíčence?).

Šifrované úložiště bude znamenat i to, že není možné v tam uložených souborech vyhledávat. Nebude je zpravidla možné ani prohlížet přes webové rozhraní (u šifrování na straně serveru ano), opravovat online. Omezeno bude i sdílení souborů s dalšími lidmi

Dejte si pozor pokud používáte online zálohování –  i u těchto služeb platí, že je důležité vědět, jakým způsobem (a zda vůbec) šifrují vaše data.  Nakonec i vaše domácí zálohy by měly být šifrované.

TIP: Základy cloudových úložišť najdete v Jak pracovat s cloudem? Stahování, synchronizace a co všechno to vlastně umí

Šifrování pro cloudová úložiště

Se službami jako je Google Drive, Dropbox a další je možné bezpečného uložení souborů dosáhnout jedině tak, že budete šifrovat na počítači a do úložiště se budou synchronizovat jen šifrované verze souborů – šifrování a správa klíčů bude od těchto úložišť oddělena. Možné to je s pomocí různorodých pomůcek – například cryptomator.org, boxcryptor.com, CloudMask, Sookasa, oDrive, nCrypted Cloud, axCrypt, a záplava dalších.

Existují i aplikace přímo pro Google Drive/G Suite co fungují na serverové straně (viz například SysCould Security and Backup), ale tam je otázkou jak hodně můžete věřit něčemu, co je opět online/serverové řešení a neodděluje šifrování od úložiště.

POZNÁMKA: Skutečně šifrované ukládání do online úložiště se musí týkat nejenom obsahu souborů, ale i názvů souborů a složek i jakýchkoliv metadat, které jsou u souborů připojeny. Z názvů souborů lze velmi často zjistit dost informací.

TIP: Pokud nemáte kompletně šifrované online úložiště (end-to-end, tedy bezpečně šifrované) a potřebujete do něj uložit čas od času nějaký citlivější obsah? Můžete si šifrovat jednotlivé soubory – v té základní podobě stačí použít třeba 7Zip. V pokročilejší nějaké OpenPGP. Něco jako bylo popsáno v Jak sdílet video na Internetu a chránit ho heslem? Jen pamatujte, že opatření souboru heslem (což umí třeba i Word/Excel) nemusí vždy znamenat, že to není rozlousknutelné

Šifrovaná cloudová úložiště

Variantou lokálního šifrování je použít služby, které šifrují v počítači, klíče nikam nepřenášejí a v cloudu je uložen soubor v bezpečné šifrované podobě. Celé to má jeden háček, budete muset věřit provozovatelům, že dělají to co popisují. Mohou mít šifrování opatřené zadními vrátky, mohou váš klíč nenápadně ukládat někde jinde. Mohou mít nějakou bezpečnostní chybu, o kterém se zatím neví. Může dojít i hacknutí jejich aplikací, do kterých někdo může dostat vlastní kód. Tady jsou podobná rizika podstatně větší, než u předchozí cesty (tedy lokální šifrování) a ověřit není možné nic.

Můžete zkusit SpiderOak, Mega (kterému bych osobně nevěřil vůbec nic s ohledem na provozovatele), Sync.com, pCloud a řadu dalších. Ve všech případech ale platí výše popsané, musíte provozovateli věřit, že dělá to co popisuje.

TIP: Mohou zaměstnanci Facebooku (Instagramu, Twitteru, Google) vidět obsah mého soukromého účtu?

Shrnutí

Běžná online úložiště (Dropbox, OneDrive, iCloud, atd) nejsou bezpečná a soubory tam uložené, může číst i měnit někdo cizí. Jak k tomu může dojít zahrnuje řadu možností a může jít o hackery, stejně jako o samotného provozovatele takovéto služby. Existují bezpečná online úložiště nabízející bezpečné šifrovaní, kdy ani provozovatel (ani nikdo cizí) nemůže soubory číst ani měnit. V takovém případě ale musíte provozovateli úložiště věřit, že vše je opravdu tak jak popisuje.

Pokud chcete opravdu bezpečně ukládat soubory online, musíte si je šifrovat sami v počítači a do cloudu synchronizovat již šifrované soubory. Pamatujte na to, že soubory obsahující opravdu citlivé informace do cloudu prostě nepatří.

Tipy týkající se Bezpečného Internetu

Apple Cloud Cloudové úložiště Dropbox Google iCloud Jak na bezpečný Internet Linux MAC OS Microsoft OneDrive OS X Šifrování Soukromí Synchronizace Windows