Cloud-Speicherdienste erleichtern den Datenabgleich über mehrere Computer hinweg, bieten aber in der Regel keine Verschlüsselung. Cryptomator holt das nach.
Auch die IT-Welt unterliegt Moden, Trends und Strömungen, wie etwa dem aktuellen Hype rund um die Blockchain-Technologie. So trieb etwa der US-Getränkehersteller Long Island Iced Tea Corp. durch eine schlichte Umbenennung in Long Blockchain Corp. seinen Aktienkurs kurzzeitig um ein Fünffaches in die Höhe [1].
Die davor durchs Dorf getriebene Sau nannte sich “Cloud”. Alles musste in die ominöse Wolke: Anwendungen, Dienste, Daten. Für den Anwender ist das auf den ersten Blick praktisch. Man muss sich nicht um die Hardware kümmern, alles rund um Sicherheit und Backups erledigt der Anbieter, und man hat von jedem Gerät aus sofort Zugriff.
Auf den zweiten Blick kommen vielen Cloud-Nutzern allerdings Bedenken: Wer kann an die hochgeladenen Daten gelangen? Welche der Daten wertet der Anbieter für Werbezwecke aus? Haben Sicherheitsbehörden Zugriff? Wer persönliche Daten aus der Hand gibt, muss am Ende immer damit rechnen, dass Fremde Einblicke ins eigene digitale Leben bekommen.
Die Cloud verschlüsselt
Die Problematik ließe sich entschärfen, wenn die Cloud-Speicherdienste dem Nutzer die Möglichkeit einräumen würden, die hochgeladenen Daten mit einem persönlichen Schlüssel zu schützen. Diese Funktion bieten allerdings nur die wenigsten Storage-Provider an. Die populärsten Dienste wie etwa Google Drive oder Dropbox gehören nicht dazu. Als Anwender muss man sich daher selbst um den Schutz der eigenen Privatsphäre kümmern.
Nun könnte man seine in die Cloud geladenen Daten vorab gezielt verschlüsseln, doch damit ginge viel Komfort und die Flexibilität verloren, jederzeit und von jedem Gerät aus darauf zugreifen zu können. Mit dem Linux-Standard LUKS verschlüsselte Container lassen sich beispielsweise nur mit viel Aufwand auf einem Android-Smartphone öffnen. Für Anwender, die sich um solche Details nicht kümmern möchten, gibt es Cryptomator [2].
Das Open-Source-Programm verschlüsselt Daten mit einem 256 Bit langen AES-Key sowie einem MAC-Hauptschlüssel. Beim Generieren der Schlüssel greift Cryptomator auf die Scrypt-Technologie zurück, was Brute-Force-Angriffe erschwert. Eine bewusst sehr einfach gehaltene Oberfläche erlaubt auch Laien das Erstellen und Einbinden der verschlüsselten Container, die sich bei Cryptomator “Tresore” nennen.
Seit unserem letzten Blick auf das Programm in Ausgabe 10/2016 [3] hat sich auf dessen Oberfläche kaum etwas verändert, doch besonders in den Versionen 1.3 und 1.4 (zum Redaktionsschluss als Beta 1 verfügbar) standen viele Änderungen unter der Haube auf dem Plan. Version 1.3 bezeichnen die Entwickler gar als kompletten Rewrite, der die wichtigsten Funktionen in einfacher zu pflegende Bibliotheken auslagert.
Cryptomator-Beta
Die gerade aktuelle Beta-Version von Cryptomator erhalten Sie über das Github-Repository des Projekts [8]. Am einfachsten klappt das Einrichten über das AppImage des Programms: Sie müssen die AppImage-Datei nur herunterladen und ausführbar machen. Anschließend starten Sie die Beta über den Dateimanager per Doppelklick. Da das AppImage sämtliche benötigte Abhängigkeiten mitbringt, müssen Sie zuvor weder eine Java-Engine noch andere Bibliotheken installieren.
Installation
Neben dem Verschlüsselungswerkzeug Cryptomator benötigen Sie einen Cloud-Speicher-Client sowie einen entsprechenden Account beim jeweiligen Dienst. Welchen Anbieter Sie wählen, bleibt Ihnen überlassen – theoretisch eignen sich auch Dienste, die Sie über SSH oder WebDAV ins System einbinden. Es empfiehlt sich, die jeweilige Software vor Cryptomator zu installieren und einzurichten, da Sie später einen Tresor im Cloud-Speicher anlegen.
Die aktuell unterstützte Version von Cryptomator laden Sie von der Homepage des Projekts herunter. Die Entwickler schalten vor den Download eine Bitte um eine Spende, die sich allerdings auch wegklicken lässt. Das Programm bekommen Sie in Form eines DEB-Pakets für Debian/Ubuntu-Systeme mit 32 oder 64 Bit oder als RPM-Pakete für OpenSuse und Fedora. Zusätzlich pflegt das Projekt eine PPA-Paketquelle für Ubuntu-User, über die sich das Programm automatisch installieren und aktuell halten lässt (Listing 1). Auf dem für den Test genutzten Arch-System findet sich das Programm im Arch User Repository.
Listing 1
$ sudo add-apt-repository ppa:sebastian-stenzel/cryptomator $ sudo apt update $ sudo apt install cryptomator
Bei der Installation zieht die Paketverwaltung gegebenenfalls automatisch eine Java-Runtime-Engine auf das System. Die Java-Basis der Anwendung erleichtert es den Entwicklern, die Software auf andere Betriebssysteme zu portieren. Alternativ gibt es Cryptomator daher auch für MacOS X und Microsoft Windows.
Tresor anlegen
Das Anwendungsfenster von Cryptomator beschränkt sich beim ersten Start auf einige wenige Bedienelemente. Im ersten Schritt erstellen Sie einen Tresor, indem Sie auf das Plus-Icon unten links klicken und die Option Tresor erstellen wählen (Abbildung 1). Im folgenden Dialog benennen Sie den neuen Tresor und definieren einen Speicherort dafür. Der sollte in dem vom Sync-Client abgeglichenen Pfad liegen, bei Dropbox also beispielsweise in ~/Dropbox/. Cryptomator erstellt automatisch ein Unterverzeichnis mit dem Namen des Tresors.

Abbildung 1: Die Oberfläche von Cryptomator beschränkt sich auf einige wenige Elemente. Über das Plus-Icon erstellen Sie neue Tresore oder binden bestehende Crypto-Container ein.
Danach wählen Sie den Tresor in der Liste aus und vergeben ein Passwort. Eine Skala von Sehr schwach bis Sehr stark gibt Ihnen einen Hinweis darauf, ob das gewählte Passwort eine gute Wahl darstellt. Mit einem Klick auf Tresor erstellen schließen Sie die Konfiguration des Tresors ab. Um mit ihm zu arbeiten, müssen Sie ihn nun in das System einbinden. Dazu wählen Sie den Eintrag des Tresors in der Seitenleiste aus und tippen das zuvor vergebene Passwort ein (Abbildung 2).

Abbildung 2: Die Optionen zum Speichern des Passworts und automatischen Einbinden eines Tresors beim Start der Anwendung funktionieren unter Linux aktuell noch nicht.
Über den Knopf Weitere Optionen haben Sie die Möglichkeit, den späteren Namen des virtuellen Laufwerks zu ändern. Die zwei Schalter Passwort speichern und Automatisch entsperren beim Start (Experimentell) bleiben unter Linux bislang inaktiv: Sie zählen zwar zu den in Cryptomator 1.3 vorgestellten Neuerungen, wurden unter Linux (auch in der ersten Beta von Cryptomator 1.4) allerdings noch nicht implementiert [4].
Auch per FUSE
Nach dem Entsperren des Tresors über den Schalter Tresor entsperren öffnet sich der Dateimanager mit den im Container verschlüsselten Daten. Cryptomator 1.3 kommuniziert bisher ausschließlich über das WebDAV-Protokoll mit dem im Hintergrund aktiven Dienst, der die Verschlüsselung übernimmt. Die URL im Dateimanager folgt daher dem Muster dav://localhost:42427/ID/Name. Natuilus zeigt die Adresse an, sobald Sie mit [Strg]+[L] die Anzeige der Adresszeile aktivieren (Abbildung 3).

Abbildung 3: Nach dem Entsperren des Tresors müssen Sie sich nicht umgewöhnen: Die verschlüsselten Daten erscheinen genauso im System wie ein normales Verzeichnis.
Mit Cryptomator 1.4 gehen die Entwickler mit der Unterstützung von FUSE einen neuen Weg. Anstatt eines Netzwerkprotokolls klinkt sich der geöffnete Tresor direkt in die Datenstruktur ein. Dazu müssen Sie in den Einstellung der Anwendung, die Sie über das Zahnrad-Icon öffnen, die Laufwerkseinbindung von WebDAV auf Fuse umstellen. Danach mountet Cryptomator den geöffneten Tresor nach ~/.Cryptomator/Name oder auf Wunsch auch in ein beliebig anderes Verzeichnis (Abbildung 4).

Abbildung 4: Die neueste Version Cryptomator 1.4 unterstützt nun auch FUSE. Den Umweg über eine lokale Netzwerkfreigabe via WebDAV braucht es somit nicht mehr.
In den “Rohdaten” des Tresors sieht man nur den Master Key der Anwendung (sowie ein Backup) und die Verzeichnisse m/ und d/. Im ersten sichert Cryptomator Meta-Informationen, im zweiten die eigentlichen Daten. Der von Cryptomator genutzte Verschlüsselungsalgorithmus teilt den Tresor dabei in mehrere Dateien auf: Rückschlüsse auf die originale Verzeichnisstruktur, die unverschlüsselten Dateinamen und ursprünglichen Dateigrößen lassen sich auf diese Weise verhindern. Für den Sync-Client des Cloud-Speichers macht es hingegen keinen Unterschied, ob er Daten im Klartext oder verschlüsselte Daten sichert.
Nach wie vor sehen Sie über das Web-Frontend des jeweiligen Anbieters den Tresor zwar, können ihn aber weder aufsperren noch die gespeicherten Daten einsehen oder ändern (Abbildung 5). Unterwegs müssen Sie allerdings nicht auf die verschlüsselt gesicherten Daten verzichten. Das Projekt bietet auf Google Play [5] und iTunes [6] Apps für Android- und Apple-Geräte an (Abbildung 6). Im Gegensatz zu den Desktop-Programmen für Linux, MacOS X und Windows fallen für die Apps jedoch Kosten von 4,99 Euro an, zudem liegt der Quellcode nicht offen [7].

Abbildung 5: Der Cloud-Speicheranbieter – und somit auch das Web-Frontend des Diensts (hier Dropbox) – kann mit den verschlüsselten Daten nichts anfangen.

Abbildung 6: Die Crytomator-Apps für Android und iOS sind im Gegensatz zu den Desktop-Varianten kostenpflichtig, zudem liegt der Quellcode nicht offen.
Teilen nur mit Schlüssel
Einer der größten Vorteile eines Cloud-Speichers besteht darin, Daten ohne großen Aufwand an Freunde, Kollegen oder Kunden weitergeben zu können. Dazu genügt es in der Regel, eine Datei oder ein Verzeichnis über das Kontextmenü des Dateimanagers oder das Web-Frontend des Diensts freizugeben und dann den entsprechenden Link per E-Mail oder Chat zu verschicken. Mit Cryptomator bleibt diese Möglichkeit erhalten, setzt allerdings einen zusätzlichen Schritt voraus.
Wie gewohnt laden Sie die zu teilenden Daten in den verschlüsselten Tresor. Anschließend aktivieren Sie die Sharing-Funktion und senden dem Empfänger den Link zu den Daten. Zusätzlich kommunizieren Sie den geheimen Cryptomator-Schlüssel, am besten über eine verschlüsselte Mail oder ganz klassisch unter vier Augen im direkten Gespräch. Der Empfänger benötigt nun ebenfalls Cryptomator, bindet den existierenden Tresor dann aber über die Funktion Tresor öffnen (unter dem Plus-Icon) direkt ein.
Eine Einschränkung gibt es dennoch: Ein Tresor lässt sich nur als Ganzes teilen, eine Zugriffsbeschränkung auf einzelne Dateien gibt es nicht. Möchten Sie also verschiedenen Partnern Daten zukommen lassen, müssen Sie für jeden davon einen eigenen Tresor erstellen.
Fazit
Cryptomator füllt eine Lücke, die lange nur schwer zu schließen war: Es bietet eine einfach zu nutzende, aber trotzdem sehr sichere Verschlüsselung wichtiger Daten, ohne dass Sie dazu Ihre Arbeitsweise umstellen müssten oder Flexibilität verlören. Sie kommen weiterhin jederzeit und von jedem Gerät aus an alle im Cryptomator-Tresor verschlüsselten Daten. Einzig über das Web-Frontend bleibt Ihnen der Weg zu den Crypto-Containern versperrt.
Beachten Sie jedoch, dass ein verschlüsselter Container kein komplett verschlüsseltes System ersetzt. Erstellen Sie etwa ein LibreOffice-Dokument und schieben es in einen Tresor, hinterlässt das durch die vom Büropaket abgespeicherten Zwischenversionen und Schattenkopien zahlreiche Spuren im Dateisystem, die sich mit entsprechendem Aufwand auch wiederherstellen lassen. Auch wenn ein Tresor nicht zwingend auf einem Cloud-Speicher liegen muss, bezeichnet sich Cryptomator nicht ohne Grund nur als Verschlüsselungswerkzeug für die Cloud.
Glossar
-
Scrypt
-
Ansatz zum Generieren von Schlüsseln, der neben einem Passwort einen Zufallswert verwendet, um einen Wörterbuchangriff zu erschweren.
-
FUSE
-
Filesystem in Userspace. Kernel-Modul, das Dateisystemtreiber aus dem Kernel- in den User-Mode verlagert. Dadurch können auch Benutzer ohne administrative Rechte Dateisysteme einbinden.
Infos
-
“Wie ein Eisteehersteller seinen Wert steigert”: http://www.faz.net/aktuell/wirtschaft/long-blockchain-eisteehersteller-aendert-namen-ein-boersenerfolg-15354801.html
-
Cryptomator: https://cryptomator.org/de
-
Cryptomator im Test: Erik Bärwaldt, “Einfach, aber sicher”, LU 10/2016, S. 34, http://linux-community.de/36225
-
“Implement save password working on Linux”: https://github.com/cryptomator/cryptomator/issues/422
-
Cryptomator für Android: https://play.google.com/store/apps/details?id=org.cryptomator
-
Cryptomator für iOS: https://itunes.apple.com/de/app/cryptomator/id953086535?mt=8
-
Cryptomator für Android nicht Open-Source: https://github.com/cryptomator/cryptomator-android/issues/1
-
Github-Repository: https://github.com/cryptomator/cryptomator/tags





