Cryptomator: Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt

Noch liegen die Daten bei Dropbox, Onedrive oder in der Nextcloud unverschlüsselt - doch mit dem Open-Source-Tool Cryptomator lässt sich das leicht ändern.

Artikel von veröffentlicht am
Cryptomator verschlüsselt die Cloud
Cryptomator verschlüsselt die Cloud (Bild: Skymatic/Montage: Golem.de)

Dass die Cloud nur anderer Leute Computer sind, ist kein Geheimnis. Ebenfalls kein Geheimnis sind die dort meist unverschlüsselt abgelegten Daten - und zwar für Anbieter wie Google, Microsoft, Amazon oder Dropbox, denn die Unternehmen können sie problemlos einsehen. Auch gab es in der Vergangenheit immer wieder Fälle, in denen Angestellte von IT-Unternehmen auf die persönlichen Daten der Kunden zugegriffen haben. Bei einem Datenleck, beispielsweise durch eine Sicherheitslücke oder eine Fehlkonfiguration können im schlechtesten Fall alle Daten für jeden sichtbar im Netz landen. Und das vergisst bekanntlich nichts.

Inhalt:
  1. Cryptomator: Endlich ist unsere Cloud Ende-zu-Ende-verschlüsselt
  2. Cryptomator: verschlüsselt und synchronisiert

Damit die Daten in solchen Fällen dennoch geschützt sind, bietet es sich an, sie zu verschlüsseln. Zu diesem Zweck wurde das Open-Source-Tool Cryptomator entwickelt, mit dem sich die privaten Daten in der Dropbox, bei Nextcloud oder ähnlichen Anbietern transparent verschlüsseln lassen. Das bedeutet, dass mit den Daten ganz normal über ein virtuelles Laufwerk gearbeitet werden kann, während sie im Cloudspeicher verschlüsselt abgelegt werden.

Voraussetzung für eine Verschlüsselung des Cloudspeichers ist natürlich zuallererst die Cloud selbst. Geeignet sind nahezu alle Cloudspeicherdienste von Dropbox über iCloud bis hin zu Google Drive, Onedrive oder Nextcloud. Letztere kann auch selbst auf einem Server oder mittels entsprechender Hardware wie einer Nextbox (Test) von zu Hause aus betrieben werden. Um die Verschlüsselung einzurichten, sollte die entsprechende Software des Clouddienstes - sofern benötigt - installiert und der Cloudspeicher im Betriebssystem geöffnet sein.

Auf dem Desktop kostenlos, mobil für zehn Euro

Anschließend besorgen wir uns die Open-Source-Software Cryptomator, die von der Herstellerwebsite bezogen werden kann. Sie ist auf dem Desktop für MacOS, Windows und Linux (Appimage, Flatpak, PPA, AUR) verfügbar.

Stellenmarkt
  1. Product Owner (m/f/d) for Hardware Security Modules
    Elektrobit Automotive GmbH, Erlangen
  2. Informatiker*in Entwicklung von Simulationssoftware
    Fraunhofer-Institut für Kurzzeitdynamik, Ernst-Mach-Institut EMI, Efringen-Kirchen, Freiburg
Detailsuche

Im Unterschied zur kostenlosen Desktop-Software verlangt der Hersteller für die mobilen Versionen von Cryptomator 10 Euro. Software und Lizenz kann über Apples App Store für iOS oder Googles Play Store für Android bezogen werden. Für google-freie Androids betreibt der Hersteller ein eigenes F-Droid-Repository, das dem alternativen App-Store F-Droid hinzugefügt werden kann. Auch ein .apk-Download auf der Herstellerwebsite ist möglich. Aus Sicherheitsgründen sollte jedoch möglichst auf die händische Installation von .apk-Dateien verzichtet werden.

Für die Versionen jenseits von Apples und Googles App Stores kann eine Lizenz über die Herstellerwebsite für ebenfalls 10 Euro bezogen werden. Hierbei muss neben einer E-Mail-Adresse eine Postleitzahl angegeben werden. Bezahlt werden kann mit Paypal oder Kreditkarte. Zusätzlich sind auch Spenden möglich.

Eine Ende-zu-Ende-verschlüsselte Nextcloud

Wir verwenden Cryptomator mit einer Nextcloud. Diese unterstützt zwar auch selbst eine Ende-zu-Ende-Verschlüsselung über ihre jeweilige App, die allerdings nur funktioniert, wenn auf dem Nextcloud-Server ein entsprechendes Plugin installiert wurde, das von etlichen Nutzern als buggy oder wackelig beschrieben wird. Zudem unterstützt Cryptomator auch jede Menge anderer Clouddienste, die wir analog zu Nextcloud verwenden könnten.

Über die Nextcloud tauschen wir Daten zwischen verschiedenen Geräten mit unterschiedlichen Betriebssystemen aus, darunter ein Android-Smartphone, zwei Rechner mit den Linux-Distributionen Ubuntu und Debian und ein Windows-11-Rechner. Auf allen vier Systemen haben wir bereits den Nextcloud-Client eingerichtet und möchten die Daten nun verschlüsselt austauschen.

Wir fangen mit den Linux-Rechnern an und laden das Appimage herunter beziehungsweise installieren Cryptomator über Flathub und starten das Programm anschließend. Die Software lässt sich intuitiv bedienen und ist mit ihren satten grünen Farben für eine Verschlüsselungssoftware vergleichsweise ansehnlich. Doch wichtiger als das Aussehen ist ohnehin die Funktion.

Wir legen einen verschlüsselten Speicher an, den die Software Tresor nennt. Nachdem wir diesem einen Namen gegeben haben, stellen wir fest, dass zwar Dropbox und etliche weitere Clouddienste direkt als Speicherort ausgewählt werden können, nicht aber unsere Nextcloud. "Das haben wir auf dem Zettel", erklärt Tobias Hagemann, CEO und Mitgründer von Cryptomator-Hersteller Skymatic Golem.de. Allerdings könne das noch ein bisschen dauern, denn es geben immer viel zu tun, für ein kleines Startup wie Skymatic.

Dass die Nextcloud in Cryptomator nicht ausgewählt werden kann, ist ohnehin nicht weiter schlimm: Wir müssen uns einfach zu unserem Nextcloud-Ordner durchklicken. Dort legen wir einen neuen Ordner an und wählen diesen als Speicherort für unseren Tresor aus.

Ein Passwort schützt unsere verschlüsselten Daten

Anschließend müssen wir ein Passwort für unseren Tresor vergeben, das möglichst stark sein sollte. Cryptomator verlangt mindestens acht Zeichen, aus Sicherheitsgründen sollte das Passwort jedoch deutlich länger sein. Anschließend generiert uns Cryptomator einen Wiederherstellungsschlüssel, den wir beispielsweise in unserem Passwortmanager (Test) ablegen können, und mit dem wir unseren Tresor wieder öffnen können, wenn wir das Passwort vergessen haben. Dann ist auch schon alles erledigt: Unser Tresor ist erstellt und kann mit unserem Passwort entsperrt werden.

Nach dem Öffnen des Tresors erscheint ein weiteres Laufwerk in unserem System, mit dem wir wie mit jedem anderen Cloudspeicher oder einem USB-Stick interagieren können. Dabei handelt es sich um ein virtuelles Laufwerk: Alle Dateien, die wir darin ablegen, werden von Cryptomator verschlüsselt und im Cloudspeicher abgelegt - in unserem Fall also in der Nextcloud. Dazu greift Cryptomator auf Fuse (Linux, MacOS) oder Winfsp (Windows) zurück. Als Fallback wird das virtuelle Laufwerk via Webdav eingebunden, das nur auf dem lokalen Rechner vorhanden ist.

Cryptomator setzt auf eine dateibasierte Verschlüsselung, es wird also nicht ein großes, verschlüsseltes Image angelegt, in dem dann die einzelnen Dateien abgelegt werden, sondern jede Datei wird einzeln verschlüsselt und in der Cloud abgelegt. Das erleichtert auch die Synchronisation, weil bei einer bearbeiteten Textdatei oder einem neuen Bild jeweils nur eine Datei und nicht das ganze Image synchronisiert werden muss.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Neben den Dateien selbst werden auch die Ordner- und Dateinamen verschlüsselt, damit aus golem_logo.png nicht sofort der Inhalt der jeweiligen Datei erraten werden kann. Entsprechend sehen wir beim Öffnen unserer Nextcloud im Browser in dem vom Cryptomator genutzten Ordner neben den Vault- und Verwaltungsdateien ausschließlich kryptische Datei- und Ordnernamen. Unser testweise hochgeladenes Golem-Logo lässt sich im Datenmüll für Außenstehende nicht erkennen, geschweige denn öffnen.

Das eingesetzte Verschlüsselungsverfahren dokumentieren die Cryptomator-Entwickler auf ihrer Website. Demnach wird das Passwort mit einem Salt (engl. Salz) verlängert und anschließend mittels Scrypt gehasht. Das steigert den Aufwand bei sogenannten Brute-Force-Angriffen, bei denen massenhaft Passwörter durchprobiert werden.

Bei der Verschlüsselung der Dateien setzt Cryptomator auf AES im CTR-Modus, das beispielsweise auch bei TLS 1.2 und 1.3 zum Einsatz kommt. Die Verschlüsselung der Datei- und Ordnernamen wird über AES-SIV realisiert. Ein Audit des Berliner Pentesting-Unternehmens Cure53 aus dem Jahr 2017 attestiert der "kryptografische[n] Implementierung [ein] ganz außergewöhnliches Maß an Robustheit".

Allerdings kritisierte es auch den Einsatz von AES im unsicheren ECB-Modus. Dabei handle es sich jedoch um einen False-Positiv, erklärt Hagemann. "Das liegt an der Java Cryptography Extension, bei der für die Erstellung des SIV-Modes der ECB-Mode angegeben werden muss, auch wenn dieser von Cryptomator nie verwendet wird und wurde."

Den Audit bei Cure53 hat 1&1 in Auftrag gegeben, das mit dem 1&1 Verschlüsselung sowie dem GMX Tresor und Web.de Tresor Cloud-Verschlüsselungssoftware auf Basis von Cryptomator anbietet. Ein neuer Audit sei aufgrund der hohen Kosten derzeit nicht geplant, sagt Hagemann. Man freue sich aber über Unternehmen, die einen finanzieren wollen würden.

Ein gut verschlüsselter Tresor ist gut und schön, doch der Vorteil einer Cloud ist es ja, Dateien über Geräte hinweg zu teilen und zu synchronisieren, also wollen wir auf den Tresor auch von unserem Laptop und Smartphone aus zugreifen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Cryptomator: verschlüsselt und synchronisiert 
  1. 1
  2. 2
  3.  


adr78 22. Aug 2022 / Themenstart

Ich habe Cryptomator auf Nextcloud mit mehreren Rechnern unter Windows und Linux...

goldesel 20. Aug 2022 / Themenstart

Ein guter Vergleich der verschiedenen Tools auf der Seite des GoCryptFS Projektes (mein...

berritorre 18. Aug 2022 / Themenstart

Google, MS etc sagen, dass sie deine Daten nicht anschauen. Tresorit sagt es auch...

roberto 18. Aug 2022 / Themenstart

Korrigiere: Welche Voraussetzungen muss eine Software erfüllen, um so einen Artikel zu...

Kommentieren



Aktuell auf der Startseite von Golem.de
Minority Report wird 20 Jahre alt
Die Zukunft wird immer gegenwärtiger

Minority Report zog aus, die Zukunft des Jahres 2054 vorherzusagen. 20 Jahre später scheint so manches noch prophetischer.
Von Peter Osteried

Minority Report wird 20 Jahre alt: Die Zukunft wird immer gegenwärtiger
Artikel
  1. Luftfahrt: Wisk Aero zeigt autonomes Flugtaxi
    Luftfahrt
    Wisk Aero zeigt autonomes Flugtaxi

    Das senkrecht startende und landende Lufttaxi soll in fünf Jahren im regulären Einsatz sein.

  2. Gegen Agile Unlust: Macht es wie Bruce Lee
    Gegen Agile Unlust
    Macht es wie Bruce Lee

    Unser Autor macht seit vielen Jahren agile Projekte und kennt "agile Unlust". Er weiß, warum sie entsteht, und auch, wie man gegen sie ankommen kann.
    Ein Erfahrungsbericht von Marvin Engel

  3. Firefly Aerospace: Rakete erreicht den Orbit
    Firefly Aerospace
    Rakete erreicht den Orbit

    Der zweite Start der Alpha-Rakete war erfolgreich. Sie hat Satelliten in einer niedrigen Erdumlaufbahn ausgesetzt.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindFactory (u. a. PowerColor RX 6700 XT Hellhound 489€, ASRock RX 6600 XT Challenger D OC 388€) • Kingston NV2 1TB (PS5) 72,99€ • be quiet! Silent Loop 2 240 99,90€ • Star Wars: Squadrons PS4a 5€ • Acer 24"-FHD/165 Hz 149€ + Cashback • PCGH-Ratgeber-PC 3000 Radeon Edition 2.500€ [Werbung]
    •  /