Crittografare file sul cloud, come proteggere i dati sui servizi di storage online

Una volta che i propri dati sono stati caricati in un servizio di storage online, il controllo sugli stessi passa al gestore della piattaforma cloud. Analizzando le condizioni di utilizzo di molti servizi cloud, si legge che i dati degli utenti vengono crittografati ma spesso viene chiarito che il provider può accedere alle informazioni memorizzate sui suoi server.

Se si decide di usare una delle tante piattaforme cloud oggi disponibili sul mercato l’aspetto legato alla privacy e in generale alla riservatezza dei propri dati non può e non deve passare in secondo piano.

I fornitori di spazio cloud di solito non offrono meccanismi di cifratura end-to-end: ciò significa che i dati dell’utente sono protetti sui server remoti usano una chiave crittografica nota al provider. Con la crittografia end-to-end, invece, la chiave sarebbe nota soltanto a ogni singolo utente perché generata e gestita sui singoli dispositivi client.

Crittografare i file sul cloud con una chiave nota soltanto all’utente è possibile utilizzando diversi espedienti. Anche se la cifratura end-to-end non fosse supportata dai vari provider (in un altro articolo abbiamo parlato delle differenze tra Google Drive e OneDrive), è comunque possibile tenere per sé la chiave utilizzata per cifrare i dati: le informazioni salvate sui server cloud resteranno inaccessibili da parte di terzi.

In passato abbiamo presentato BoxCryptor, software che nel frattempo è diventato una soluzione a pagamento. Per proteggere i file su Google Drive, OneDrive e Dropbox si può utilizzare l’ottimo VeraCrypt: è possibile creare un volume cifrato sul cloud e usarlo per memorizzare i dati in forma crittografata. VeraCrypt, tuttavia, non nasce per questo specifico fine.

Orientarsi su soluzioni per crittografare i dati anche sul cloud potrebbe essere un obbligo sulla base delle disposizioni contenute nel GDPR (Regolamento generale sulla protezione dei dati). Quando i dati aziendali dovessero essere immessi sul cloud è necessario verificare che le stesse informazioni vengano adeguatamente protette e rese inaccessibili da parte di soggetti terzi, Autorità extra-UE comprese (principio di accountability).

Crittografare i dati sul cloud con Cryptomator

Una soluzione che nasce proprio per semplificare la procedura di cifratura dei dati sul cloud è Cryptomator.
Software open source e gratuito nelle versioni per Windows, macOS e Linux, Cryptomator consente di gestire i dati sul cloud con una prassi GPDR-compliant.
Per l’utilizzo delle versioni destinate ai dispositivi mobili Android e iOS viene richiesto il versamento di una quota di licenza una tantum pari a circa 10 euro.

Cryptomator aiuta quindi a crittografare e proteggere i file sul cloud consentendo di adeguarsi alla normativa europea e, allo stesso tempo, prevenire l’accesso ai dati da parte di terzi (gestori dei servizi cloud, malintenzionati che dovessero risalire alle credenziali d’accesso al servizio cloud, soggetti terzi in generale).

Cryptomator supporta tutti i principali servizi di storage cloud tra cui anche Google Drive, OneDrive e Dropbox.

Sulla base dei client dei vari servizi di storage installati sul PC locale, Cryptomator permette di creare una o più casseforti digitali. Rispetto ad altre soluzioni, Cryptomator non richiede la creazione di alcun account utente ed è utilizzabile su un numero illimitato di dispositivi.

L’applicazione chiede quindi in quale cartella (creata sul servizio cloud selezionato) debbano essere memorizzati i file cifrati (con AES 256 bit e chiave generata sul dispositivo locale).

Dopo aver impostato una password sufficientemente forte (almeno 12 caratteri con lettere, numeri e simboli), Cryptomator chiede se si voglia o meno generare una chiave di recupero. Essa è una lunga serie di stringhe (parole provenienti dal vocabolario inglese) che digitate nella giusta sequenza permettono di sbloccare l’archivio crittografato anche senza ricordare la password corretta.

È possibile scegliere liberamente se generare o meno la chiave di recupero oppure affidarsi solo alla password utilizzata a protezione dell’archivio cifrato sul cloud.

La cartella cifrata sul servizio di storage cloud si presenterà come in figura. Nell’esempio si è creata una cartella protetta su OneDrive: all’interno di essa non dovrà essere manualmente aggiunto alcun file e tutti i dati dovranno essere sempre gestiti previo avvio di Cryptomator.

Con un clic sul pulsante Sblocca ora di Cryptomator, inserendo la password corretta il contenuto dell’unità crittografata conservata sul cloud viene automaticamente montato (il sistema operativo assegna una lettera di unità virtuale).

A questo punto è possibile gestire l’unità crittografata sul cloud come qualunque altro volume locale aggiungendo file, modificandoli e cancellandoli. Tutte le modifiche saranno immediatamente sincronizzate con i server del provider del servizio cloud.

Accedendo alle impostazioni di Cryptomator è possibile fare in modo che il programma venga eseguito all’avvio del sistema, nascondere la finestra dell’applicazione all’avvio, bloccare automaticamente gli archivi crittografati sul cloud al momento della chiusura di Cryptomator.
Per impostazione predefinita, il contenuto delle unità cifrate poggia su volumi FUSE: in Windows viene installato il componente software Windows File System Proxy per accedervi; in alternativa è possibile usare l’estensione WebDAV.

Eliminando una cassaforte da Cryptomator ne verrà rimosso soltanto il riferimento dal programma ma essa continuerà a essere conservata sul cloud. Per eliminarla definitivamente è necessario usare l’interfaccia del servizio cloud agendo da sistema operativo oppure da Web.

In un altro articolo abbiamo visto come usare il cloud per sincronizzare tra più dispositivi credenziali di accesso come nomi utente e password usando una procedura sicura e affidabile.