Bestanden in Dropbox versleutelen met Bitlocker

Redactie
0

Inhoudsopgave

Clouddiensten als Dropbox en OneDrive zijn perfect om bestanden tussen meerdere computers te synchroniseren. Maar niet iedereen vindt het een fijn idee dat (vertrouwelijke) documenten bij dit soort diensten onversleuteld liggen opgeslagen. Gelukkig heeft Windows alles aan boord om je bestanden daar volledig transparant te versleutelen. Eenmaal ingesteld heb je er als gebruiker geen omkijken meer naar.

Clientprogramma’s van populaire clouddiensten houden continu een of meerdere geselecteerde mappen op je pc in de gaten en synchroniseren de daarin aangebrachte wijzigingen met de opslag van de cloudaanbieder. Zodoende biedt die online opslag steeds de nieuwste versie van je bestanden aan. Het voordeel hiervan is dat alle computers die je met deze opslag verbindt, hierdoor steeds automatisch toegang hebben tot die laatste versie. Het enige wat je hiervoor hoeft te doen is de clientsoftware op meerdere computers installeren en koppelen aan dezelfde account. Vervolgens kun je precies opgeven welke mappen van je online opslag lokaal gesynchroniseerd moeten worden.

Behalve op jouw computer(s) staan de bestanden dus ook op een of meerdere servers bij die dienstverlener. Niemand buiten die cloudaanbieder weet echter precies waar en hoe dat gebeurt. Je gegevens worden daar beschermd met beveiligingsmethoden waar je zelf geen enkele invloed op hebt. Het is daarom helemaal geen slecht idee om persoonlijke of vertrouwelijke bestanden eerst te versleutelen en ze pas daarna aan de cloud toe te vertrouwen.

Twee beveiligingsmethoden

Hiervoor heb je in principe de keus uit twee verschillende methoden. Je kunt elk bestand apart versleutelen, of je slaat alle te beveiligen bestanden op in een gemeenschappelijk versleutelde container en synchroniseert die vervolgens in zijn geheel. Voor beide methoden bestaan programma’s die dat vrij elegant doen zonder dat je je daar steeds mee bezig hoeft te houden. De vermoedelijk bekendste encryptor die werkt op basis van individuele bestanden is BoxCryptor. De gratis variant voldoet prima, maar wordt beperkt door het aantal bestanden dat je hiermee kunt versleutelen. Bij container-encrypters heeft het opensourceprogramma TrueCrypt of diens opvolger VeraCrypt een streepje voor.

Werk je met Windows, dan hoef je geen extra programma te installeren. Het besturingssysteem biedt namelijk alles om containers te maken en versleutelen. Enkele functies zitten overigens alleen in de Pro-, Enterprise- en Ultimate-edities, maar via een truc kun je ze ook met Windows Home gebruiken.

Bitlocker

De hieronder beschreven methode is gebaseerd op Windows eigen versleutelingsmethode Bitlocker. Op zich is Bitlocker alleen bedoeld om complete schijven te versleutelen – oftewel interne en externe harde schijven, geheugenkaarten en -sticks enzovoort. Maar sinds een tijdje zit er ook ondersteuning in voor virtuele schijven. Die containers – bestanden met de extensie .vhd of .vhdx – zijn als normale schijf in Windows te mounten. De daarop aanwezige partities krijgen gewoon een stationsletter toegewezen, zodat je hierop bestanden kunt opslaan, verwijderen of wijzigen – net als bij een normale harde schijf. Voor ons biedt het nog een voordeeltje, want je kunt die containers dus ook versleutelen met BitLocker.

Omdat die virtuele schijven ook gewoon bestanden zijn, kun je ze ook makkelijk in een OneDrive- of Dropbox-map opslaan. Net als alle andere bestanden worden ze dan automatisch gesynchroniseerd. Er doet zich alleen één probleempje voor: zo’n container bevat meestal meerdere bestanden en kan dus tamelijk groot worden. Als de synchronisatieclient na elke minimale wijziging aan een document het complete VHD-bestand naar de cloud moet uploaden, kan dat al snel behoorlijk lang duren en onnodig veel bandbreedte opslokken.

Dropbox = de beste

Van de clouddiensten die we hebben bekeken, kan de client van Dropbox als enige bij een kleine wijziging alleen de overschreven sectors opnieuw versturen – zowel bij het uploaden als downloaden. Als je het voorbeeld hieronder in de praktijk wilt brengen, zul je dus een Dropbox-account moeten hebben of aanmaken. Een gratis account biedt een opslagcapaciteit van 2 GB. Dropbox biedt verschillende manieren en acties om die capaciteit uit te breiden. Zo kun je je vrienden per e-mail uitnodigen om de dienst ook te gebruiken. Ook krijg je meer opslagruimte als je een bepaald merk of type smartphone koopt. Ook zijn er regelmatig acties op platforms als Twitter en Facebook. Als je je daar niet mee wilt bezighouden en gewoon in een keer genoeg opslagruimte wilt, kun je voor 10 euro per maand ook kiezen voor een ‘Dropbox Plus‘-abonnement. Je krijgt dan 1 terabyte tot je beschikking.

Bij Windows maak je via een wizard in het Schijfbeheer een nieuw VHD-bestand aan. Klik in het menu op ‘Actie / Virtuele harde schijf maken’. Wees bij het instellen van de grootte van de virtuele schijf niet te zuinig: zolang je bij ‘Type virtuele harde schijf’ de optie ‘Dynamisch uitbreiden’ selecteert, stel je daarmee namelijk alleen de maximale grootte in. Zolang het VHD-bestand niet vol is, neemt het op je harde schijf en in Dropbox alleen de ruimte in die de opgeslagen bestanden nodig hebben (plus enkele kilobytes aan beheerinformatie). In combinatie met Dropbox is het oudere en ook met Windows 7 compatibele VHD-formaat prima geschikt. Het modernere VHDX-formaat heb je alleen nodig als de virtuele harde schijf groter dan 2 TB wordt.

Virtuele schijf

Met een klik op OK wordt het VHD-bestand aangemaakt. Voordat je het kunt gebruiken, moet je wel eerst een gloednieuwe harde schijf initialiseren – oftewel een partitietabel en minstens één partitie maken. Spoor voor de partitietabel de nieuwe virtuele harde schijf op in het Schijfbeheer (onderaan in het overzicht met schijven). Normaal gesproken staat hij geheel onderaan. Je herkent hem in elk geval doordat er ‘Niet toegewezen’ bij staat. Klink in het linkerdeel op de rechtermuisknop en selecteer ‘Schijf initialiseren’. In het volgende venster word je voor de keus gesteld of je de schijf de partitiestijl MBR of GPT wilt geven. Met MBR zit je altijd goed. Het enige argument vóór GPT zou de voor Dropbox wat rare wens zijn om partities groter dan 2 terabyte te configureren.

Een nieuwe virtuele harde schijf is met een paar keer klikken gemaakt. Ook met het oudere VHD-bestandsformaat werkt de ‘Dynamisch uitbreidbare’ schijf prima.

Daarna kun je met de rechtermuisknop klikken op het ‘Niet toegewezen’ gedeelte en een ‘Nieuw eenvoudig volume’ aanmaken. De instellingen bij de eerste drie stappen van de wizard zijn prima. Welk bestandssysteem je wilt gebruiken, is aan jou: met NTFS kun je in de VHD met bestanden werken die groter zijn dan 2 GB. Ook kun je compressie gebruiken, waarmee je afhankelijk van het type bestanden ruimte bespaart – ook qua opslagruimte bij Dropbox. Het voordeel van FAT32 zijn ontbrekende bestandsrechten – die hebben hier meer nadelen dan voordelen. Je hebt voor toegang namelijk sowieso het nog te configureren BitLocker-wachtwoord nodig. Laat het vinkje onderaan bij ‘Snelformatteren’ staan. Daarmee bespaar je heel wat tijd.

Versleutelen

Nu is het tijd om de BitLocker-versleuteling op de virtuele harde schijf te configureren. De complexiteit daarvan hangt af van de gebruikte Windows-editie: bij Professional, Ultimate en Enterprise staat de optie ‘BitLocker inschakelen’ gewoon bij de Verkenner in het snelmenu van de schijf. Bij de Home-editie heeft BitLocker de beperking dat alleen een schijf met een bestaande versleuteling gebruikt kan worden. Beheerfuncties zitten er niet in, zodat je ook geen nieuwe BitLocker-schijf kunt configureren of het wachtwoord kunt wijzigen. Dankzij cloudsynchronisatie hoeft echter maar één systeem een ‘grotere’ Windows-licentie te hebben. Je kunt de versleuteling dus bijvoorbeeld op je pc op het werk instellen (als je administratorrechten hebt) en dan op alle andere deelnemende computers gebruiken.

Werk je alleen met Windows Home-pc’s, dan kun je een truc gebruiken om parallel aan je Windows-versie een (Engelstalige) testlicentie te installeren. Microsoft stelt die versies gratis beschikbaar voor evaluatiedoeleinden in een 32- en 64-bit-versie. Die licenties zijn voor Windows Enterprise vanaf de installatiedatum 90 dagen geldig.

De wizard voor ‘BitLocker inschakelen’ in het snelmenu van een schijf vraagt eerst naar de gewenste ontgrendelmethode. Smartcards worden in particuliere kring eigenlijk niet gebruikt, dus je kunt beter voor de bovenste methode met een wachtwoord kiezen. Bij het instellen van een nieuw wachtwoord gelden de algemene veel voorkomende regels: gebruik een lang wachtwoord dat bij voorkeur hoofd- en kleine letters, cijfers en speciale tekens bevat. Zorg ervoor dat je het wachtwoord niet al bij een andere dienst gebruikt.

Veilige plek

Bij de volgende stap word je gevraagd om een back-up van de herstelsleutel op te slaan. Die sleutel bestaat uit 48 cijfers en is een laatste redmiddel voor als je je wachtwoord vergeten bent. Het is dus aan te raden om de herstelsleutel op een veilige plek te bewaren en apart van het VHD-bestand te houden – de wizard dwingt je sowieso om de sleutel ergens op te slaan of af te drukken. Het is misschien alleen niet zo slim om die sleutel aan je Microsoft-account toe te vertrouwen of welke andere cloud dan ook.

Tenslotte moet je bij Windows 10 nog de vraag naar de versleutelingsmethode beantwoorden. Als je het VHD-bestand alleen op computers met Windows 10 gaat gebruiken, kun je voor de nieuwe methode kiezen (ingevoerd bij Windows 10). Anders is de ‘Compatibele modus’ beter. Na een klik op ‘Versleutelen starten’ wordt BitLocker geconfigureerd. Meestal is dat binnen enkele seconden gepiept, maar als je op de virtuele schijf al wat bestanden hebt gezet, kan het ook een paar minuten duren.

Meteen na het configureren wordt het VHD-bestand als schijf aan Windows gekoppeld. Je kunt die als een normale externe gegevensdrager gebruiken. Na een herstart van Windows of opnieuw aanmelden hoef je er in Verkenner alleen op te dubbelklikken om toegang te krijgen. Afhankelijk van Windows’ humeur kun je daarbij een foutmelding krijgen, die je verder kunt negeren. Het is ook mogelijk dat rechtsonder de tekst ‘Station ‘X:’ ontgrendelen – Dit station is met BitLocker beveiligd.’ komt te staan. Als je daarop klikt, verschijnt rechtsboven een invoerveld. Typ daarin je wachtwoord en de schijf wordt ontgrendeld.

Voor een veilige BitLocker-encryptie is een lang wachtwoord erg belangrijk.

Gebruiken

Schakel je computer na gedane arbeid niet zomaar uit. Werp eerst de VHD-schijf uit via het snelmenu in de Verkenner. Daarna gaat de Dropbox-client het VHD-bestand namelijk pas synchroniseren naar de cloud. Als dat klaar is, kun je Windows afsluiten. Je ziet dit aan het Dropbox-pictogram in het systeemvak. Een groen vinkje bij het pictogram geeft aan dat de boel is gesynchroniseerd.

Dat gaat makkelijker met het PowerShell-script DropboxSync.ps1 (in de link staat nog een script waarover later meer). Voordat je het script de eerste keer gebruikt, moet je het met een editor aan je eigen situatie aanpassen. Zet in de eerste regels het pad naar je Dropbox-map en de naam van het VHD-bestand. Standaard staat er DropboxDropbox.vhd in je gebruikersprofiel. Daarnaast kun je bepalen of het script na synchronisatie alleen een melding moet geven of dat je je meteen bij Windows wilt afmelden en de computer wilt afsluiten of op stand-by zetten.

Eerst controleert het script of het aangegeven VHD-bestand als schijf gekoppeld is. Zo ja, dan wordt het uitgeworpen. Daarna wordt elke halve seconde aan de Dropbox-client gevraagd of deze nog aan het synchroniseren is. Pas als blijkt dat alles afgerond is, wordt de gewenste actie uitgevoerd.

Om het script handig te kunnen gebruiken, moet je het eerst ergens op je harde schijf opslaan. Maak vervolgens op het Bureaublad een snelkoppeling ernaar. Zet bij Eigenschappen bij ‘Doel’ powershell.exe "C:padnaarDropboxSync.ps1". Via de knop ‘Geavanceerd’ kun je instellen dat het script altijd met administratorrechten moet opstarten. Het script controleert dat overigens ook zelf en haalt de vereiste rechten indien nodig automatisch op. Daarna zul je eraan moeten wennen dat je niet meer het startmenu gebruikt om de computer uit te schakelen, maar het script. Als het VHD-bestand niet gekoppeld is, zet het script alleen de computer uit of in stand-by.

Mogelijke conflicten

Ondanks het script kan het natuurlijk toch gebeuren dat je van de computer wegloopt terwijl het VHD-bestand nog niet helemaal gesynchroniseerd is. Koppel je het bestand vervolgens aan een andere pc, dan ziet die nog steeds de oudere versie. Voer je daar wijzigingen door, dan krijg je twee versies met afwijkende laatste wijzigingen. Gelukkig is de software van Dropbox slim genoeg om dergelijke situaties te herkennen. Daarmee gaan er geen bestanden verloren. In de Dropbox-map staat dan naast het origineel (bijvoorbeeld Dropbox.vhd) nog een tweede bestand met een naam volgens het patroon ‘Dropbox (computernaam kopie met conflict datum).vhd’. In dat bestand staan de wijzigingen die op de betreffende computer gedaan zijn.

Om alle wijzigingen samen te brengen, zou je op het idee kunnen komen om beide bestanden gewoon parallel als schijf te koppelen. Je zou dan met een tool als csdiff of WinMerge (of simpelweg met twee Verkenner-vensters) de laatste wijzigingen naar een van de schijven kunnen kopiëren en de andere weggooien.

Zo eenvoudig werkt het echter niet: Windows geeft elke schijf namelijk een random gegenereerde handtekening. Daarmee wordt een schijf weer herkend als hij opnieuw gekoppeld wordt – zodat er bijvoorbeeld dezelfde letter aan wordt toegekend als de laatste keer. Het nadeel daarvan: Windows weigert om twee schijven met dezelfde ID tegelijk te gebruiken. Als je beide kopieën van het VHD-bestand achter elkaar met een dubbelklik in de Verkenner probeert te mounten, krijg je bij de tweede de melding dat het bestand niet toegankelijk is. Het Schijfbeheer ziet het bestand op dat moment als een schijf die offline is. Ga je met de muis over het info-pictogram dan zie je dat er een ‘handtekeningconflict’ is.

Diskpart

Om dat zelf op te lossen, kun je het programma diskpart gebruiken. Start dat via een Opdrachtprompt met administratorrechten. Met het commando list disk krijg je een overzicht van alle harde schijven en zie je welk nummer Windows aan de offline gezette schijf toegewezen heeft. Je kunt die schijf selecteren met bijvoorbeeld select disk 4 – het nummer kun je aanpassen aan de situatie in je eigen systeem. Met uniqueid disk achterhaal je de huidige ID van die schijf. Bij MBR-partitionering is dat een hexadecimaal getal van acht cijfers, bij GPT-schijven een GUID. Je kunt die ID wijzigen met een commando volgens het patroon uniqueid disk id=1234abcd.

Als nieuwe ID kun je het best de oude nemen en die op een plek wijzigen. Mount de virtuele schijf tenslotte met online disk en je hebt na het intypen van je BitLocker-wachtwoord parallel toegang tot beide kopieën. Ook voor deze procedure hebben we een speciaal PowerShell-script (zie link hierboven). In de standaardversie wordt gezocht naar het bestand Dropbox.vhd en naar een bijbehorend conflictbestand in de map waar het script staat – het script is er dus voor bedoeld om naar je Dropbox-map te kopiëren. Met een paar eenvoudige tekstwijzigingen kun je het echter ook voor een andere bestandsnaam gebruiken of omleiden naar een vast ingestelde map.

(Hajo Schulz / Marcel van der Meer)

Meer over

Cloudopslag

Deel dit artikel

Lees ook

Met Raspberry Pi port knocking de computers in je netwerk beveiligen

Iedereen die een computer of server met het openbare internet verbindt, wordt al snel het doelwit van hackers. Sommige wetenschappers gaan ervan uit d...

Je Raspberry Pi op afstand bedienen? Zo krijg je het voor elkaar met SSH!

De Raspberry Pi op afstand bedienen is handig en kan op verschillende manieren. Via SSH is het makkelijkste op te zetten, we laten zien hoe.

0 Praat mee
avatar
  Abonneer  
Laat het mij weten wanneer er