Cryptomator verschlüsselt nicht nur Inhalte, sondern verschleiert auch den Namen und die Größe der jeweiligen Datei. Damit machen Sie die Files fit für die Cloud.

Das Speichern von Dateien in der Cloud bietet Komfort und verursacht meist nur geringe laufende Kosten. Allerdings kümmern sich viele Dienstleister nicht ausreichend um die Sicherheit der Daten. Daher besteht die Möglichkeit, dass Inhalte unbefugten Dritten in die Hände fallen – insbesondere Mitarbeitern von Regierungsdiensten mit dreibuchstabigen Bezeichnungen. In Staaten, die nur über schwache Gesetze zum Datenschutz verfügen, geschieht das meist sogar legal. Doch mit Linux und dem Programm Cryptomator [1] schieben Sie der Schnüffelei einen wirksamen Riegel vor.

Funktionsweise

Anders als die meisten kryptografischen Programme, die ein profundes Wissen über die Methoden zum Verschlüsseln und häufig einen hohen Aufwand beim Einarbeiten voraussetzen, richtet sich Cryptomator an Anwender, die nach einem einfach bedienbaren praxistauglichen Ansatz suchen. Die Software arbeitet transparent im Hintergrund, die Dialoge sind einfach gehalten.

Das Programm verschlüsselt Daten mit einem AES-Key von 256 Bit Länge sowie einem MAC-Hauptschlüssel. Dabei kommt zum Generieren der Schlüssel die Scrypt-Technologie zum Einsatz, die Brute-Force-Attacken erschwert. Die Applikation bringt ein grafisches Interface mit. Über dieses verwalten Sie die verschlüsselten Daten, die Sie in sogenannten Tresoren ablegen. Vom Ansatz her erinnert die Software an das Programm Tomb [2], das Sie aber über die Kommandozeile bedienen.

Technisch betrachtet fungiert das Programm beim Verschlüsseln als Server, der über ein virtuelles Laufwerk die vorhandenen Daten lokal verarbeitet. Dabei erlaubt das Programm ausschließlich Verbindungen auf dem lokalen System über das Loopback-Device. Das kryptografische Bearbeiten der einzelnen Dateien beschränkt sich nicht auf die Inhalte, sondern schließt eventuelle Meta-Informationen und selbst den Namen des Files mit ein. Zusätzlich ändert die Software die Dateigröße, was Rückschlüsse auf Inhalte erschwert.

Die bearbeiteten Dateien legt Cryptomator anschließend im gewünschten Tresor ab, der dem Verzeichnis zum Synchronisieren mit dem Cloud-Dienst entspricht. Der Client für den jeweiligen Dienst darf dann die verschlüsselten Daten abgleichen, ohne dass Sie Schlüssel auf den Server zu übertragen bräuchten. Um mehrere Dienste simultan zu nutzen, benötigen Sie für jeden Cloud-Dienst jeweils einen eigenständigen Tresor, den Sie im jeweiligen Sync-Verzeichnis anlegen.

Möchten Sie Daten mit anderen teilen, muss Ihr Gegenüber Zugriff auf den entsprechenden Tresor haben und das Passwort dafür kennen. Letzteres gilt es dann sicher zu übermitteln, also etwa über eine verschlüsselte Mail. Im Gegensatz dazu ist es aber nicht möglich, eine einzelne Datei aus einem Tresor mit jemandem zu teilen. Wer Zugriff auf den Container hat, sieht alles. Möchten Sie also die Zugriffe sehr detailliert steuern, bleibt Ihnen nur die Möglichkeit, für jeden Teilnehmer einen separaten Tresor anzulegen und mit Kopien der Files zu arbeiten.

Anders als containerbasierende Programme verschlüsselt Cryptomator lediglich jene Dateien, die Sie verändern und aktuell geladen haben. Dadurch arbeitet die Software recht zügig. Außerdem synchronisieren Sie immer nur die modifizierten Dateien. Das zahlt sich insbesondere bei mobilen Zugängen über UMTS, HSPA oder LTE mit kontingentiertem Datentransfer in barer Münze aus.

Installation

Die Java-basierte Software steht für unterschiedliche Distributionen auf der Webseite des Projekts bereit. Sie erhalten hier neben 32- und 64-Bit-DEB-Paketen ein RPM-Paket für 64-Bit-Systeme. Letzteres ließ sich im Test, obwohl explizit für Red-Hat-basierte Systeme gelistet, auch auf anderen Distributionen einspielen, die das RPM-Paketmanagement nutzen.

Zusätzlich gibt es für Ubuntu ein eigenes Repository, Pakete für Arch Linux finden sich im AUR. Für alle anderen Systeme steht eine portable Variante bereit. Als Basis benötigt Cryptomator in allen Varianten eine entsprechende Java-Laufzeitumgebung ab Version 1.8.

Bei der Installation landet das Programm im Verzeichnis /opt/Cryptomator/app/, im Untermenü Werkzeuge finden Sie einen Eintrag Cryptomator.

Außer der Linux-Version existieren noch Clients für Mac OS X sowie iOS. Eine Android-App ist laut Webseite in Arbeit, die Entwickler planen noch für den Herbst dieses Jahres eine Beta-Version. Wer seine Daten über die Grenzen der Plattform hinweg teilen möchte, braucht also entweder das richtige System oder etwas Geduld.

Einstieg

Nach dem ersten Start des Programms öffnet sich ein Fenster, das neben einem Zahnrad-Symbol zum Einstellen des WebDAV-Ports als einzige Option das Hinzufügen eines neuen Tresors anbietet (Abbildung 1).

Abbildung 1: Die Bedienoberfläche von Cryptomator bietet kaum Möglichkeiten, etwas falsch zu machen.

Klicken Sie auf die Schaltfläche mit dem Plus-Zeichen zum Anlegen eines neuen Tresors und im anschließend geöffneten Kontextmenü auf + Tresor erstellen, dann öffnet sich ein Dateimanager, in dem Sie das Verzeichnis für die verschlüsselten Dateien anlegen. Es sollte sich im Cloud-Ordner des Systems befinden.

Im nächsten Dialog legen Sie ein Passwort für den Tresor fest und verifizieren dieses durch eine zweite Eingabe. Dabei zeigt das Programm anhand eines mehrgliedrigen Balkens, der sich je nach Stärke des Passworts rot oder grün einfärbt, die Sicherheit der gewählten Zeichenkette an (Abbildung 2). Danach steht der Tresor direkt bereit.

Abbildung 2: Sie schützen einen Datentresor mit einem Passwort. Dabei zeigt die Software an, ob dieses einfach zu durchbrechen ist.

Klicken Sie im Programmfenster unten rechts neben der Schaltfläche Tresor sperren auf das kleine Dreieck und wählen die Option Laufwerk anzeigen, dürfen Sie die zu verschlüsselnden Dateien per Drag & Drop ins neu geöffnete Fenster des Dateimanagers ziehen. Im Programmfenster finden Sie nach Ablage der Dateien im rechten Bereich zunächst einen Graphen, der den aktuellen Durchsatz in Megabyte pro Sekunde beim Verschlüsseln anzeigt (Abbildung 3).

Abbildung 3: Die Software zeigt an, welchen Durchsatz sie beim Verschlüsseln der Daten erzielt.

Das Programm legt die verschlüsselten Dateien nun im Zielordner ab, woraufhin die eigentliche Client-Software des Cloud-Dienstes in der Regel die Synchronisation startet. Nach deren Abschluss sehen Sie in herkömmlichen Dateimanagern wie Dolphin zwar (über die Eigenschaften für den entsprechenden Ordner) die Anzahl der gespeicherten Dateien und den belegten Speicherplatz, nicht jedoch die einzelnen Dateien.

Im Web-Interface des Cloud-Dienstes erkennen Sie zwar die einzelnen Dateien, jedoch mit verschleierten Dateinamen ohne jede Aussagekraft (Abbildung 4). Ein anschließender separater Download der verschlüsselten Files gelingt aus der Weboberfläche heraus zwar, doch das System identifiziert diese als Binärdateien, was Rückschlüsse auf Dateityp, Dateinamen oder auch die korrekte Größe verhindert.

Abbildung 4: Wie ein Blick in das Verzeichnis mit den verschlüsselten Dateien zeigt, lassen sich hier weder Inhalte noch Realnamen und tatsächliche Größen der Dateien erkennen.

Sperre

Um Cryptomator zu beenden, müssen Sie zuerst den aktuellen Tresor durch einen Klick auf die Schaltfläche Tresor sperren unten rechts im Programmfenster schließen. Anschließend zeigt die Software statt des grünen Punkts vor dem Namen des Tresors einen roten Punkt an, und Sie beenden das Programm.

Schließen Sie die Software, ohne zuvor alle Tresore zu sperren, minimiert sich das Programm lediglich, beendet sich jedoch nicht komplett. Beim erneuten Aufruf des Tresors entsperren Sie diesen durch Angabe des Passworts. Danach haben Sie innerhalb kurzer Zeit erneut Zugriff auf das geöffnete virtuelle Laufwerk, in dem sich die entschlüsselten Dateien befinden. Bei der anschließenden Arbeit mit Dateien im virtuellen Verzeichnis zeigt das Programm wiederum den Durchsatz beim Ent- und Verschlüsseln an.

Manche Dateimanager erwarten zum Einbinden des virtuellen Laufwerks dessen WebDAV-URL. Dafür eröffnet Cryptomator Ihnen die Option, die WebDAV-Adresse in die Zwischenablage zu kopieren. Sie klicken dazu unten rechts im Programmfenster neben dem Button Tresor sperren auf das kleine Dreieck und wählen dann den Eintrag WebDAV-URL kopieren aus dem Kontextmenü. Die URL übertragen Sie anschließend aus der Zwischenablage in den Dialog des entsprechenden Dateimanagers.

Benötigen Sie einen Tresor nicht mehr, besteht die Option, ihn zu löschen. Dabei bietet die Software an, den Tresor komplett inklusive der Dateien zu entfernen oder lediglich den Tresor selbst. Um einen Tresor aus der Liste zu entfernen, hängen Sie ihn zunächst aus. Dann klicken Sie mit der linken Maustaste unterhalb der Liste auf die Schaltfläche mit dem Minus-Zeichen. Es erscheint eine Abfrage, die darauf hinweist, dass Sie mit dieser Funktion lediglich den Namen aus der Liste löschen, nicht jedoch die Daten.

Ein Klick auf OK entfernt den Tresor nun. Da das virtuelle Dateisystem bei dieser Aktion ausgehängt ist, müssen Sie anschließend die verschlüsselten Datenbestände im Cloud-Ordner des Systems und beim Cloud-Dienst von Hand löschen, um sie aus dem System zu entfernen.

Fazit

Im Test überzeugte Cryptomator im Zusammenspiel mit unterschiedlichen Cloud-Diensten voll und ganz, das Programm arbeitete zuverlässig und stabil. Durch die Unabhängigkeit von einem Cloud-Dienstleister verschlüsseln Sie unter der intuitiven Oberfläche mehrere Laufwerke, ohne jedes Mal mit einem anderen Prozedere arbeiten zu müssen. Da die Schlüssel auf dem lokalen System verbleiben und die Software die Daten ausschließlich dort ver- und entschlüsselt, besteht für Dritte keine Möglichkeit, Inhalte einzusehen.

Umfangreiche Datenbestände wie hochauflösende Videodateien mit mehreren Gigabyte Umfang eignen sich allerdings nicht für das Verschlüsseln mit Cryptomator; in solchen Fällen bricht der Durchsatz deutlich ein. Bei Beständen aus vielen kleinen Dateien funktioniert das Tool dagegen flott. Auf schnellen Rechnern mit einer SSD als Massenspeicher treten faktisch keine Latenzen auf.