@bachus
Blog (66)
Komentarze (4.8k)
Recenzje (2)

Dropbox, TrueCrypt i Delta Sync — bezpieczne dane w chmurze

@bachusDropbox, TrueCrypt i Delta Sync — bezpieczne dane w chmurze16.11.2015 01:04

Popularność usług polegających na udostępnianiu przetrzeni dyskowej na serwerach w chmurze przerosła moje wyobrażenia - za pomocą dedykowanej aplikacji zainstalowanej na komputerze lub telefonie, lub zwykłej przeglądarki wgrywamy nasze pliki na konto znajdujące się w zasobach internetu. Zainstalowany program jest o tyle wygodny, że w większości tego typu usług jest "podpiętny" pod zwykły katalog/katalogi znajdujące się na dysku i każda w nim zmiana powoduje synchronizację z serwerami zewnętrznymi. Oznacza to, że można mieć w pewnym sensie dokładnie ten sam katalog na kilku urządzeniach a każda zmiana będzie widoczna na pozostałych. Przestrzeń "darmową" można powiększać za pomocą rekomendacji, lub abonamentu.

Firm świadczących wirtualną przestrzeń wyrosło jak grzybów po deszczu, każdy chce mieć swoją: Microsoft OneDrive (kiedyś SkyDrive), Google Drive, Logmein (Cubby). Porównań w internecie można znaleźć badzo dużo, gdzie głównie autorzy skupiają się na dostępnej darmowej pojemności, użyteczności aplikacji klienckiej i dodatkowych "ficzerów" w postaci webowych edytorów dokumentów. Ja jednak pozostaję głównie przy Dropbox i o tym jest głównie ten wpis.

Dropbox i synchronizacja przyrostowa

Dropbox ma dość długą historię - dla niektórych synonim metody rozwiązania przechowywania danych - miał wzloty i upadki. Tu należy wspomnieć o konieczności ograniczonego zaufania do wysyłania czegokolwiek do internetu, który zapamięta wszystko na wieki. Nigdy nie ma 100% pewności, że oprogramowanie nie ma krytycznego błędu i nasze selfie przypadkiem nie wycieknie. Zasada ograniczonego zaufania i że nasze pliki przegląda np. prezydent Obama, Putin, lub pryszczaty 12-latek z sąsiedztwa. Kilka lat temu sam uświadczyłem awarii - po powrocie z wakacji nie miałem połowy plików Dropboksa, na moje szczęście miałem kopię.

Można jednak pokusić się o zaszyfrowanie danych. Jednym z rozsądniejszych rozwiązań jest wykorzystanie dodatkowego programu do utworzeniu kontenera (wolumenu) w ramach systemu pliku, zawierającego silne zaszyfrowany wirtualny dysk. Po tzw. podmontowaniu widoczny jest jako kolejna litera dysku i może służyć np. do backupu newralgicznych danych. Pojawia się natomiast pewien problem...

Załóżmy, że utworzyliśmy wolumen o wielkości 4GB. Sam kontener, nawet gdy nie dodamy do niego plików, będzie zajmował dokładnie tyle miejsca, ile założyliśmy wcześniej. Są oczywiście dynamiczne wolumeny zwiększające swój rozwiar w czasie użycia, ale ze względu na szybkość działania i dobrą praktykę alokowania miejsca lepszym rozwiązaniem jest niestostowanie tego rozwiązania. Wracając do temu, plik taki (4GB) musi zostać wysłany do internetu. Domowe łącza są najczęściej asymetryczne i nawet jak mamy wg. dostawcy 120Mbit, to "upload" wyniesie np. 10Mbit i to w odpowiednich warunkach - oznacza to, że teoretycznie plik będzie wysyłany przez godzinę a w rzeczywistości jeszcze dłużej, gdyż wąskim gardłem okażą się serwery dostawcy usługi ("masz za darmo to ciesz się, że 800k/s"). Plik jest już w internecie, dokonujemy na niej niewiekiej zmiany - np. dodanie do kontenera 100MB zdjęć. Jak zareaguje aplikacja kliencja monitorująca plik (wolumen)?

ooo, plik się zmienił, no to znowu wgram 4GB do internetu i obciążę łącze

Nie brzmi to zachęcająco. Mamy jednak Dropbox i synchronizację przyrostową - jako jedna z niewielu dostępnych usług tego typu obsługuje "delta-sync". Aplikacja kliencka robi coś więcej, niż proste podmienienie dokumentu na serwerze, któremu zmieniła się data lub rozmiar. Po każdej przechywconej operacji na pliku indeksuje jego zawartość i porównuje z poprzednim stanem. W sytuacji, gdy zmienił się tylko fragment, to tylko różnice zostaną zsynchronizowane z wersją znajdującą się na serwerach.

Sam osobiście nie rozumiem polityki Google i np. Microsoftu - algortym delta-sync nie jest sztuką tajemną, dodatkowo przerzucanie gigabajtów danych odciąża samego dostawcę. Jakoś się jednak nikomu nie śpieszy do wdrożenia rozwiązania.

Kontener TrueCrypt

Do utworzenia i dostępu do zaszyfrowanego kontenera zostanie użyty program "TrueCrypt 7.1a ". Z niejasnych do końca powodów rozwój projektu został wstrzymany a bezpośrednim i prawie bliźniaczo podobnym jest "VeraCrypt ". Utworzenie nowego konteneru TC jest proste i opisane na tysiącach stron internetowych w przeróżnych opisach, dla przypomnienia szybki poradnik krok po kroku z minimum zbędnych opisów:

[item]Volumes -> Create New Volume...[/item][img=1_NewTrueCryptVolume]

[item]Create an encrypted file container -> Next[/item][img=2_NewTrueCryptVolume]

[item]Standard TrueCrypt volume --> Next[/item][img=3_NewTrueCryptVolume]

[item]wybór nazwy pliku[/item]Standardowo TrueCrypt jest skojarzony z roszerzeniem .tc. Ja z założenia nie nadaję rozszerzenia, zawsze to jakieś dodatkowe niewielkie zabezpieczenie, jak np. wirus/kraker poszukuje na nośnikach *.tc

[item]Encryption Algorithm --> Next[/item] Tu wypada wspomnieć, że do wyboru jest większość najpopularniejszych algorytmów szyfrowania, które wpływają na "siłę" zabezpieczenia kontenera przed nieautoryzowanym dostępem. Należy jednak wybrać dość rozsądny kompromis, szczególnie przy mniej wydajnych komputerach (AES, Serpent i Twofish). TrueCrypt ma opcję testowania wydajności poszczególnych metod szyfrowania - nie należy ich mylić z szybkością działania dysku twardego, całość odbywa się bezpośrednio w pamięci RAM. Moim zdaniem 256-bitowy AES ma wystarczającą siłę i przypadkowemu "krakerowi" raczej się nie oprze (zakładając oczywiście stosowanie silnego hasła).

[item]Wybór wielkości woluminu[/item]Należy pamiętać, że jego wielkość powinna być mniejsza od dostępnego miejsca na Dropbox.

[item]Utworzenie "silnego" hasła[/item]TrueCrypt proponuje min. 20 znaków (małe i wielkie litery), cyfry i znaki specjalne

wybór systemu plików (Filesystem) --> Format Nie należy się obawiać, rozpocznie się formatowanie wirtualnego dysku (wewnątrz kontenera) a nie fizycznego nośnika (HDD/SSD) w komputerze

Po kilku sekundach / minutach (zależne od wydajności dysku twardego i procesora) we wskazanym katalogu pojawi się plik o rozmiarze zbliżonym do podanego wcześniej przy tworzeniu konteneru:

Tak utworzyliśmy wolumen TrueCrypt.

Kontener w Dropbox

Plik przenosimy do katalogu powiązanego z Dropbox. Zakładam, że sama aplikacja kliencja jest uruchomiona.

Postęp "uploadu" można śledzić po najechaniu na dostępną w pasku zadań ikonę Drobpox. Na początku komunikat może sugerować problem związany z dostępem do pliku (zostanie od "odblokowany" po pełnym skopiowaniu do folderu powiązanego z Dropbox):

W zależnosci od dostępnego łącza internetowego, ustawień klienta Dropbox i ustawień po stronie usługi może to potrwać nawet kilka godzin - u mnie 3GB plik potrafi się wysyłać do usługi Dropbox nawet 1.5h. Sam proces "rozkręca się" w porywach do 650-800KB/sec:

Na pełną synchronizację nie trzeba oczywiście czekać, jednak zakończenie jej pomoże to w udowodnieniu działania delta-sync w usłudze Dropbox.

Kontener należy "zamontować" - będzie reprezentowany jako jedna z liter dysku w systemie: po wybraniu wcześniej utworzonego pliku i klikięciu MOUNT zostaniemy poproszeni i hasło.

W podanym przykładzie pojawi się dysk H na dysku:

Na dysk H (do kontenera TrueCrypt...) wgrałem testową porcję 300MB danych w postaci kilkudziesięciu zdjęć. Dropbox pozostał jednak niewzruszony i nie za bardzo chce zabrać sie za plik będący w użyciu.

Spróbujmy "odmontować" kontener:

Dropbox zareaguje indeksowaniem pliku (wyszukiwaniem zmian) a następnie synchronizacją zmian z wersją znajdującą się w chmurze:

Różnica będzie natomiast taka, że proces potrwa kilka minut a nie ponad godzinę.

Podsumowanie

Rozwiązanie nie jest dla wszystkich i ma też pewne wady. Po pierwsze, może się okazać zbyt skomplikowane i mało zrozumiałe dla mniej zorientowanych użytkowników.

Kolejnym problemem może być brak dostępu do dodatkowych możliwości oferowanych przez chmurę - praca na dokumentach Worda, czy wersjonowanie pliku - w przypadku np. zarażenia komputera wirusem typu CryptoWall robal bez problemu zaszyfruje pliki w podmontowanym kontenerze TrueCrypt i poza nim (te znajdujące się w Dropbox). Dropbox udostępnia przechowywanie (śledzenie) zmian na plikach, więc bez problemu można odzyskać zaszyfrowany przez wirusa plik, np. te z kontenera TrueCrypt już nie. Może też okazać się zbyt niewygodna metoda dostępu do kontenera jednocześnie z kilku kompuerów, oraz np. ze smarfona. Należy się zastanowić czy sama idea Dropbox i TrueCrypt jest potrzeba w codziennym użytkowaniu komputera - moim zdaniem jest to jednak jedno z ciekawych rozwiązań przechowywania danych. Przypomnę jednak - to nie powinno osłabiać czujności i należy mieć backup plików przechowywanych w kontenerze.

Aktualizacja 17/11/2015

Zgodnie z prośbą z komentarzy wyjaśniam: jednoczesne otwarcie kontenera osadzonego w Dropbox na dwóch komputerach będzie skutkować konfliktem równoznacznym z utworzeniem kopii pliku z innymi danymi - dzieje się to tak samo ze wszystkimi danymi w Dropboksie. Przykład: [item]dwa komputery, jeden nazywa się ASROCK, a drugi LENOVO,[/item][item]oba komputery mają zainstalowaną usługę Dropbox podiętą do tego samego konta,[/item][item]na komputerze ASROCK został utworzony nowy kontener TrueCrypt, dodane do niego pliki, następnie odłączony od klienta TrueCrypt[/item][item]kontener TrueCrypt zostaje wysłany do usługi Dropbox a następnie pobrany automatycznie na komputer LENOVO[/item] Oba komputery posiadają w tej chwili identyczną kopię kontenera TrueCrypt. [item]podpinamy kontener TrueCrypt do komputera ASROCK[/item][item]podpinamy jednocześnie kontener TrueCrypt do komputera LENOVO[/item][item]wykonywanie zmian na konterze będą widoczne TYLKO na danym komputerze[/item][item]odpięcie kontenerów od TrueCrypt spowoduje utworzenie kopii pliku z nazwą komputera, gdzie nastąpił "konflikt" jednocześnie otwartego tego samego pliku[/item][img=Konflikt]

[item]pliki nie będą miały tej samej zawartości[/item]Oznacza to, że kontener może być w danym momencie podpięty tylko do jednego komputera.

[code=][1] źródło zdjęcia pani z tatuażem delty: https://www.pinterest.com/[/code]

© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.