Cryptomator: Cloud-Daten einfach & sicher verschlüsseln

Bei Cryptomator handelt es sich um eine freie Verschlüsselungssoftware, die eure Daten clientseitig auf dem Endgerät verschlüsselt, bevor diese in die Cloud hochgeladen werden.

Heutzutage ist es gängige Praxis Daten in der Cloud zu speichern. Cloud-Speicherdienste, wie z.B. Dropbox, Google Drive und Magenta Cloud, ermöglichen es auch Laien ihre Daten einfach und komfortabel mit ihrem Cloud-Speicher zu synchronisieren. Dieser Komfort geht aber auch mit einem gewissen Sicherheitsrisiko einher, da die sichere Aufbewahrung eurer Daten nun nicht von euch, sondern vom Cloud-Anbieter abhängt. Somit müsst ihr dem Cloud-Anbieter vertrauen, dass dieser eure Daten vor dem unbefugten Zugriff durch Dritte schützt und auch nicht selbst für z.B. Werbezwecke missbraucht.

Um dieses Sicherheitsrisiko zu minimieren, ist es anzuraten, Daten vor dem Hochladen in die Cloud zu verschlüssln. Mit Cryptomator gibt es hierfür eine einfache Möglichkeit, die ich euch in diesem Beitrag näher vorstelle.

Verwendete Software für diesen Beitrag
  • Ubuntu v19.10
  • Cryptomator v1.5.0

Konzept & Funktionsweise von Cryptomator

Entwickler & Leitspruch

Cryptomator ist eine Open-Source-Software, die im Rahmen eines Studienprojekts von Sebastian Stenzel entstanden ist und aktuell von der deutschen Firma "Skymatic GmbH" entwickelt wird. Der Leitspruch von Cryptomator lautet:

Hänge ein Schloss vor deine Cloud
Mit Cryptomator liegt der Schlüssel zu deinen Daten bei dir. Durch Cryptomator ver­schlüsselst du deine Daten schnell und unkompliziert. Anschließend lädst du sie geschützt in deinen Lieblingscloudservice hoch.

Allgemeine Funktionsweise

Cryptomator schützt eure Daten indem es diese in einem passwortgeschützten Tresor ablegt. Dieser Tresor ist nichts anderes als ein Ordner bzw. Verzeichnis in dem alle Daten verschlüsselt gespeichert sind. Der Tresor selbst ist dabei in eurem Cloud-Speicherordner, welcher mit dem Cloud-Speicher synchronisiert wird, abzulegen. Um auf die verschlüsselten Daten zugreifen zu können, muss der Tresor durch Eingabe eines Passworts geöffnet werden. Im Rahmen dessen bindet Cryptomator den Tresor als ein virtuelles Laufwerk ins Dateisystem ein. Über dieses virtuelle Laufwerk kann nun der Zugriff auf die verschlüsselten Daten erfolgen.

Im Folgenden findet sich eine vereinfachte schematische Darstellung der Funktionsweise:

Funktionsweise von Cryptomator

Sobald eine Datei aus dem virtuellen Laufwerk geöffnet wird, wird diese "on the fly" entschlüsselt. Ebenso werden alle Dateien, die auf dem virtuellen Laufwerk gespeichert werden, vor dem Speichern "on the fly" verschlüsselt. Anschließend kopiert Cryptomator die verschlüsselten Daten in den Tresor. Befindet sich der Tresor in einem Cloud-Speicherordner, so erfolgt daraufhin der Abgleich der verschlüsselten Daten mit dem Cloud-Speicher.

Konzept - transparente sowie dateibasierte Verschlüsselung

Cryptomator verfolgt den Ansatz der transparenten Verschlüsselung. Das bedeutet, dass Benutzer ohne spezielle Kenntnisse, ihre Dateien einfach und sicher verschlüsseln können. So müsst ihr euch nicht mit irgendwelchen Verschlüsselungseinstellungen, Zugriffsrechten usw. auseinandersetzen. Als Benutzer soll man keinen Unterschied im Umgang mit Cryptomator verschlüsselten und "normalen" Dateien merken.

Im Gegensatz zur containerbasierten Verschlüsselung, wie z.B. bei VeraCrypt, setzt Cryptomator auf eine dateibasierte Verschlüsselung. Containerbasierte Verschlüsselung hat den Nachteil, dass im Normalfall immer die komplette Container-Datei mit allen verschlüsselten Dateien zum Cloud-Speicher hochgeladen werden muss, auch wenn sich ggf. nur eine einzelne Datei geändert hat. Hier liegt der Vorteil der dateibasierten Verschlüsselung, denn es werden immer nur die sich geänderten Dateien synchronisiert.

Sicherheit von Cryptomator

Cryptomator verwendet zum Verschlüsseln AES (256Bit). Es werden sowohl die Dateiinhalte als auch die Dateinamen verschlüsselt. Zudem wird die Verzeichnisstruktur verschleiert. Weiterhin wird scrypt zum Schutz des Passworts vor Angegriffen eingesetzt.

Des Weiteren ist Cryptomator quelloffen, so dass jeder den Quellcode einsehen kann. Der Einbau von Hintertüren (Backdoors) und die Verheimlichung von Schwachstellen sind somit eher unwahrscheinlich. Allerdings sei erwähnt, dass die dazugehörige Android-App nicht vollständig quelloffen ist.

Die verwendeten kryptographischen Bibliotheken wurden durch die auf Penetrationstests- & Security-Audits spezialisierte Firma Cure53 auditiert (siehe auch Cryptomator-FAQ).

Installation & Ausführung

Cryptomator ist für alle gängigen Desktop- sowie Mobil-Betriebssysteme verfügbar. Als Cloud-Speicherdienste kommen alle in Frage, die das Synchronisieren der Daten auf Basis eines Cloud-Speicherordners bzw. per WebDAV ermöglichen.

Für diesen Beitrag verwende ich Cryptomator unter Ubuntu. Leider ist Cryptomator nicht in den Standard-Paketquellen von Ubuntu enthalten, so dass entweder eine Fremd-Paketquelle (PPA) oder ein AppImage notwendig ist. Der einfachhalber habe ich für diesen Beitrag einfach die installationslose AppImage-Variante gewählt. Dazu habe ich die entsprehende AppImage-Datei heruntergeladen (die Datei solltet ihr sicherheitshalber noch verifizieren - SHA256 & PGP-Signatur überprüfen) und ausführbar gemacht:

chmod a+x cryptomator-1.5.0-x86_64.AppImage
Terminal / Konsole

Danach lässt sich Cryptomator wie folgt ausführen:

./cryptomator-1.5.0-x86_64.AppImage
Terminal / Konsole

Verwendung von Cryptomator

Tresor erstellen

Nachdem ihr Cryptomator gestart habt, erstellen wir nun einen neuen Tresor. Dazu klickt auf die Schaltfläche Tresor hinzufügen.

Cryptomator: Tresor erstellen

Daraufhin öffnet sich ein Fenster, dass die Auswahl zwischen dem Erstellen eines neuen Tresors oder dem Öffnen eines bereits existierenden Tresors ermöglicht. Hier klickt ihr auf Neuen Tresor erstellen.

Cryptomator: Tresor erstellen oder existierenden hinzufügen

Im nächsten Schritt vergebt ihr einen Namen für den Tresor. In diesem Fall gebe ich dem Tresor die Bezeichnung DatenTresor. Klickt anschließend auf Weiter.

Cryptomator: Tresor erstellen - Namen angeben

Danach öffnet sich ein Fenster zur Auswahl des entsprechenden Speicherorts. In meinem Fall wähle ich meinen Mailbox.org-Cloud-Speicherordner aus (den Mailbox.org-Cloudspeicher, auch Drive genannt, habe ich via WebDAV eingebunden). Bestätigt das Ganze wieder mit einem Klick auf Weiter.

Cryptomator: Cloud-Speicherordner für Tresor auswählen

Anschließend müsst ihr für den zu erstellenden Tresor ein sicheres Passwort vergeben. Zudem könnt ihr euch entscheiden, ob ihr einen Wiederherstellungsschlüssel generieren möchtet. Mit diesem ist es später möglich, euer Passwort zurückzusetzen, falls ihr es mal vergessen solltet. Um den Tresor nun final zu erstellen, klickt auf Tresor erstellen.

Hinweis Passwortvergabe

Das Passwort solltet ihr euch gut merken, denn ohne Passwort kommt ihr nicht mehr an eure verschlüsselten Daten ran. Zudem ist es wichtig ein sicheres bzw. starkes Passwort zu wählen (siehe Sicheres Passwort wählen: der Zufall entscheidet).

Im besten Fall verwendet ihr einen Passwort-Manager, wie z.B. pass, und lasst euch ein sicheres und langes Passwort generieren.

Cryptomator: Tresor erstellen - Passwort vergeben

Wenn ihr im letzten Fenster die Auswahl getroffen habt, einen Wiederherstellungsschlüssel zu erzeugen, wird euch dieser nun angezeigt. Diesen solltet ihr sicher geschützt vor unbefugtem Zugang aufbewahren.

Cryptomator: Backup des Wiederherstellungsschlüssel

Nach einem letzten Klick auf Weiter initialisiert Cryptomator nun euren Tresor. Danach könnt ihr wählen, ob ihr den Tresor direkt entsperren möchtet oder nicht.

Cryptomator: Tresor erfolgreich erstellt

Für dieses Beispiel klickt ihr auf Fertig. Es erscheint jetzt wieder das Hauptfenster von Cryptomator:

Cryptomator: Tresor-Übersicht

Tresor entsperren & öffnen

Um den soeben erstellten Tresor zu entsperren, klickt im Hauptfenster auf Entsperren.

Cryptomator: Tresor öffnen

In dem sich öffnenden Fenster gebt ihr euer Passwort ein und klickt auf Entsperren.

Cryptomator: Tresor entsperren

Daraufhin bindet Cryptomator den Tresor als virtuelles Laufwerk ins Dateisystem ein. Einen entsperrten Tresor erkennt ihr an dem Symbol des geöffneten Schlosses neben dem Tresor-Namen in der linken Tresor-Auswahlbox. Zudem findet sich im rechten Bereich der aktuelle Status des ausgewählten Tresors.

Cryptomator: Tresor entsperrt und geöffnet

Standardmäßig erzeugt Cryptomator für die Einbindung des virtuellen Laufwerks ein Verzeichnis mit zufälligem Namen. Im Normalfall merkt euer Standard-Dateimanager diese Einbindung und öffnet in einem Fenster das entsprechende Verzeichnis. Falls sich kein Fenster öffnet, dann könnt ihr dieses per Klick auf Laufwerk anzeigen öffnen.

Dateien verschlüsseln

Jetzt könnt ihr Dateien auf dem virtuellen Laufwerk bzw. in dem entsprechenden Verzeichnis speichern. Als Beispiel habe ich eine Datei namens Geheim.txt abgespeichert. Vor der eigentlichen Speicherung verschlüsselt Cryptomator die Datei und intern wird diese in den eigentlichen Tresor kopiert.

Cryptomator: Dateien verschlüsseln

Nachdem die verschlüsselte Datei im Tresor und somit im Cloud-Speicherordner abgelegt wurde, wird die Datei per WebDAV mit meinem Cloud-Speicher synchronisiert und verschlüsselt in die Cloud hochgeladen.

Der Inhalt des Tresors sieht dabei wie folgt aus:

Cryptomator: Verschlüsselter Tresor

Über die Weboberfläche eures Cloud-Speicherdienstes könnt ihr euch vergewissern, dass der Tresor mit den verschlüsselten Daten in eurer Cloud vorhanden ist. Bei Mailbox.org sieht das bei mir dann wie folgt aus:

Cryptomator: Daten in Mailbox.org-Drive verschlüsseln

Tresor sperren

Zum Sperren des Tresors und dem damit verbundenen Aushängen des virtuellen Laufwerks klickt ihr auf Sperren. Danach ist kein Zugriff auf die verschlüsselten Daten mehr möglich.

Cryptomator: Tresor sperren

Tresor-Einstellungen anpassen

Für einen bestehenden Tresor lassen sich noch einige Einstellungen anpassen. Dazu klickt bei einem gesperrten Tresor auf Tresoroptionen. Damit z.B. beim Einbinden des virtuellen Laufwerks immer ein von euch festgelegter Ordner verwendet wird, kann die entsprechende Einstellung vorgenommen werden:

Cryptomator: Tresor - erweiterte Einstellungen

Des Weiteren könnt ihr an dieser Stelle auch euer Passwort ändern oder per Wiederherstellungsschlüssel zurücksetzen.

Cryptomator: Tresor - Passwort-Einstellungen

Alternativen zur Verschlüsselung von Cloud-Daten

Neben Cryptomator gibt es neben proprietären Lösungen, wie dem bekannten Boxcryptor, weitere Open-Source-Lösungen, wie z.B.:

Wenn es nur um das Verschlüsseln einzelner weniger Dateien geht, kann ggf. auch die Verwendung von GnuPG ausreichend sein.

Fazit

Daten in der Cloud zu speichern, ist aufgrund der ständigen Verfügbarkeit und dem komfortablen Abgleich jener Daten zwischen verschiedenen Endgeräten sehr beliebt. Nichtsdestotrotz solltet ihr sensible bzw. private Daten niemals unverschlüsselt in der Cloud speichern. Aus diesem Grund kann ich euch die Verwendung von Cryptomator oder alternativen Verschlüsselungstools, wie z.B. BoxCryptor, nur wärmstens empfehlen.

Aktualisierungshistorie:
  • 19. April 2020
    Screenshots & Text auf Basis der neuen Cryptomator-Version 1.5.0 angepasst
  • 15. Februar 2020
    Ergänzung bzgl. Android-App im Abschnitt "Sicherheit von Cryptomator"
Feedback

Für Feedback zum Beitrag, seien es Fragen, Korrigierungen und/oder Anregungen, könnt ihr mir gerne eine Nachricht per E-Mail oder Mastodon schreiben (siehe Kontakt).