Bestanden versleuteld opslaan bij HiDrive

Voor het back-uppen en synchroniseren van bestanden wordt vaak een cloudopslagdienst gebruikt. Als de bestanden daar onversleuteld naartoe worden verzonden of daar onversleuteld worden opgeslagen, kunnen anderen de bestanden wellicht onderweg onderscheppen of als ze toegang tot de server hebben ze daar gewoon lezen. Bij HiDrive zijn beide risico’s te voorkomen.

Bij een andere workshop zijn we uitgebreid ingegaan op de verbindingsprotocollen die HiDrive aanbiedt en bij weer een andere workshop hoe je die dataverbindingen kunt beveiligen. Hier gaat het om het versleuteld opslaan van de bestanden in de cloud, waarmee een end-to-end-encryptie mogelijk wordt, zodat alleen jij de inhoud van de bestanden van en naar en op de cloudopslag kunt bekijken.

Je kunt bestanden die je in de cloud wilt zetten natuurlijk allemaal versleutelen met een programma als 7Zip of Boxcryptor, maar dat vergt dan allerlei handmatige acties. Met de end-to-end-encryptie van HiDrive gaat dat allemaal automatisch.

Het is verstandig je af te vragen of de bestanden op de cloudopslag door anderen gelezen kunnen worden. Bij cloudaanbieders als HiDrive worden de bestanden altijd zodanig versleuteld opgeslagen dat alleen jij ze kunt bekijken en anderen (hackers of medewerkers van de rekencentra waar de bestanden opgeslagen staan) er niets mee kunnen.

Begin met het installeren van de software voor Windows, die je kunt downloaden (HiDriveSetup.exe). Let op: dat is niet de HiDrive app die je bij de Microsoft Store kunt installeren, dat is alleen een filemanager voor je cloudbestanden. Na het installeren start je de app en log je in met je HiDrive-accountgegevens.

Er verschijnt vervolgens een dialoogvenster voor het instellen van de synchronisatie. Je kunt aangeven waar je de map wilt hebben (die standaard HiDrive komt te heten) en eventueel welke mappen van je cloudopslag je daarbij wilt synchroniseren. Na een klik op ‘Synchronisatie configureren’ worden die instellingen actief.

Op de taakbalk verschijnt een pictogram dat blauw is als er bestanden gesynchroniseerd worden. Als het synchroniseren klaar is, wordt het HiDrive-pictogram oranje.

In Verkenner zie je nu de aparte map HiDrive, die symbool staat voor je gesynchroniseerde lokale HiDrive-map zoals ingesteld bij het installeren.

Om een versleutelde map aan te maken waar je bestanden in kunt zetten die alleen door jou gelezen kunnen worden, heb je een wachtwoord nodig dat gebruikt wordt om de bestanden te versleutelen. Dat wachtwoord wordt verder nergens opgeslagen, dus je moet er voor zorgen dat je dat goed onthoudt of ergens veilig opschrijft en opbergt.

Let op: als je het wachtwoord kwijt bent kan niemand (en dan ook helemaal niemand, dus ook jij) niet meer bij de bestanden.

Als je in een leeg deel van Verkenner klikt, kun je bij de opties kiezen voor ‘Nieuwe versleutelde map’. Je krijgt dan de melding dat je eerst bij de Instellingen een sleutel moet genereren.

Je kunt daar ook komen door met rechts te klikken op het HiDrive-pictogram en dan Instellingen te selecteren en naar het tabblad Versleuteling te gaan.

Klik op ‘Nieuwe sleutel aanmaken’. Typ een wachtwoord in (en zorg er voor de zekerheid voor dat dit een ander wachtwoord is dan voor je account) en herhaal dat. Je kunt een locatie opgeven waar je een sleutelkopie wilt opslaan, zodat je die altijd achter de hand hebt als je je wachtwoord vergeet.

Let op: als locatie voor het opslaan moet je natuurlijk niet je HiDrive-opslag nemen …

Om je er nogmaals op te wijzen hoe belangrijk het veilig bewaren van je wachtwoord of je sleutel is, moet je de optie ‘Ja, ik besef dat mijn versleutelde gegevens onherroepelijk verloren gaan zodra ik mijn wachtwoord of sleutel verlies’ expliciet aanvinken voordat je verder kunt. Klik daarna op ‘Sleutel aanmaken’.

De sleutel die dan aangemaakt wordt op basis van jouw wachtwoord wordt dan opgeslagen op de aangegeven locatie en in het vervolg gebruikt door HiDrive om de mappen te versleutelen. HiDrive weer alleen de sleutel, die op basis van jouw wachtwoord gegenereerd is, maar kan daar het wachtwoord niet uit herleiden. Daarom kunnen de bestanden op de HiDrive-server ook niet ingezien worden door derden, omdat die de sleutel en het wachtwoord niet weten.

Je kunt nu een nieuwe versleutelde map aanmaken, die een slotje aan het pictogram ervan krijgt toegevoegd. Het mooie is dat je er verder niets van merkt en met die map en de bestanden erin gewoon kunt werken net als met andere mappen.

Het verschil wordt pas duidelijk als je bijvoorbeeld bij de webinterface van HiDrive naar je bestanden kijkt. Daar zie je dan een map staan met een cryptische naam waar je verder geen koek van kunt bakken.

Als je in die map kijkt, zie je niets, maar krijg je de melding te zien dat de map versleuteld is en je er alleen met een geschikte sleutel en met de HiDrive-software bij kunt.

Let op: je kunt in de webinterface versleutelde mappen verwijderen. Die veranderingen worden door het synchroniseren ook op je Windows-pc of -laptop overgenomen. Met de webinterface kun je geen versleutelde mappen aanmaken, omdat je wachtwoord en daarmee je sleutel daar natuurlijk niet bekend is.

Bij Android-smartphones en iOS-apparaten kun je met de HiDrive-app ook toegang tot je cloudopslag krijgen. Alleen zie je daar ook de cryptische naam. Als je die op je mobiele apparaat wilt openen, krijg je de melding dat de map gecodeerd is en dat je de sleutel moet importeren. Tik op ‘Sleutel importeren’. De app wil vervolgens een QR-code in beeld hebben.

Ga op het Windows-apparaat naar de instellingen van HiDrive en klik op het tabblad Versleuteling op de link ‘Sleutel als QR-code weergeven’.

De QR-code die dan verschijnt breng je in beeld met de HiDrive-app op je smartphone, waarna je je wachtwoord op moet geven. Op die manier is verzekerd dat alleen degene die het wachtwoord weet ook toegang tot de bestanden kan krijgen. Daarna is de map gewoon zichtbaar en ook weer voorzien van een slotje.

Als je vanaf een andere computer bij je cloudbestanden wilt, ga je op een vergelijkbare manier te werk. Klik dan op het tabblad op ‘Sleutel exporteren’ om een sleutelbestand op je schijf aan te maken. Dat bestand importeer je dan op die andere computer. Dat doe je op het tabblad Versleuteling bij ‘Sleutel importeren’. Ook daarbij moet je het wachtwoord weer opgeven. Zo kun je vanuit meerdere plekken bij je bestanden, die dan van alle kanten end-to-end encryptie hebben.

Wil je een sleutel van een apparaat verwijderen, dan kan dat op het tabblad Versleuteling met ‘Sleutel verwijderen’. Je krijg dan de keuze of je alleen de sleutel wilt verwijderen en dan geen toegang meer hebt tot je bestanden in de cloud (wat handig kan zijn als je de sleutel ergens anders geïmporteerd hebt en die op dit apparaat niet meer wilt gebruiken) of dat je de gegevens onversleuteld wilt opslaan. In het laatste geval wordt de encryptie van de bestanden opgeheven en kun je er zonder wachtwoord of sleutel van alle kanten weer bij.

Het is overigens wel zaak om van tevoren te bedenken dat je een map wilt versleutelen, want als een map eenmaal is aangemaakt kun je hem niet meer versleutelen.

De encryptiemethode die voor de sleutel gebruikt wordt is Curve25519 oftewel Elliptic Curve. Die methode leidt tot een korte sleutel, zodat die makkelijk met een QR-code weer te geven is.

De end-to-end encryptie is een extra feature van HiDirve, waar je normaal gesproken 2 euro per maand voor moet betalen. Bij de onderstaande aanbieding is die optie echter inbegrepen, evenals alle verbindingsprotocollen en de versleuteling daarvan.

Een HiDrive-abonnement voor 1 TB kost 7,50 euro per maand. Als je daar de opties van de uitgebreide toegangsprotocollen, de end-to-end-encryptie en de mogelijkheid tot het maken van back-ups van mobiele apparaten en computers bij optelt, kom je op bijna het driedubbele. We kunnen in samenwerking met Strato voor onze lezers echter de volgende aanbieding doen: het 1TB-abonnement INCLUSIEF alle genoemde opties voor de basisprijs van (blijvend) 7,50 euro per maand. En het eerste jaar betaal je daarvoor zelfs maar één euro per maand. Je kunt na het eerste jaar gewoon opzeggen, dus je zit nergens aan vast. Ga snel naar www.strato.nl/ct om van deze aanbieding gebruik te maken.

In de serie over de cloudopslagdienst HiDrive:

HiDrive-aanbod voor c’t-lezers
Synology-NAS back-uppen naar HiDrive
QNAP-NAS back-uppen naar HiDrive
NAS back-uppen met rsync naar HiDrive
HiDrive toegankelijk via meerdere protocollen
Bestanden veilig uitwisselen met HiDrive
Bestanden versleuteld opslaan bij HiDrive
Cloudintegratie met de HiDrive-API