Come mantenere criptato il cloud con Cryptomator

Affidare al cloud una copia dei nostri file importanti è una buona prassi che ci tutela in caso di imprevisti spiacevoli ed è consigliata nelle migliori strategie di backup, come quella del mantra 3-2-1-1-0. Tuttavia questa buona scelta può comunque sollevare, per i più diffidenti, qualche perplessità sulla privacy, poiché i file sono fisicamente in un server di cui non possiamo monitorare direttamente gli accessi, e sulla sicurezza perché, ad essere pessimisti, in caso di violazione del cloud, potrebbero essere trafugate e poi decifrate anche le chiavi crittografiche che tutelano i nostri file.

Quello che ci offre Cryptomator, è la possibilità di creare una “cassaforte” direttamente in cloud, dinamica e con la potenzialità di espandersi fino alla totalità dello spazio disponibile (senza dover preimpostare limiti di spazio), con file cifrati singolarmente, snellendo così il processo di sincronizzazione. Si tratta di un programma gratuito, multipiattaforma, open source, disponibile anche in versione portable (non ufficiale) scaricabile da qui. Il funzionamento di base è apparentemente semplice: viene creato un archivio cifrato nel cloud (o anche in locale, volendo) e, una volta inserita la password, l’applicazione monta su un volume locale virtuale il contenuto decifrato che dunque, nel server in cloud non smette mai di restare criptato (client-side encryption con AES-256).

Seguiamolo ora in azione dall’inizio della procedura di creazione della cosiddetta "cassaforte" (vault).

Dopo aver installato il programma con l’installer MSI (necessari circa 90 MB) e configurata la lingua italiana (per il dark mode è invece necessario acquistare un supporter certificate a circa 15€), l’interfaccia ci propone subito di creare una cassaforte:

Scegliamo un nome e impostiamo il percorso della cassaforte; qui possiamo optare per un percorso locale, una periferica USB o la cartella dell’applicazione desktop del nostro cloud provider (Google Drive, OneDrive, DropBox, etc.). Una volta confermata la scelta, dovremo impostare la password; in questo caso è stata considerata già “molto forte” la nostra password di 14 caratteri tutti minuscoli; siamo certi che ciò nonostante voi vorrete fare di meglio.

Prima di proseguire con “Crea Cassaforte”, è possibile far generare al programma una chiave per il recupero della password (scelta che consigliamo).

La chiave generata (che a qualcuno ricorderà giustamente i seed dei crypto wallet) consiste in un elenco di 44 parole, che ci consentirà di recuperare il nostro accesso al programma in assenza di password; vanno quindi custodite entrambe con la medesima cura. E se abbiamo timori in caso di "omonimia", possiamo stare tranquilli: un archivio con lo stesso nome e la stessa password genererà un elenco di parole totalmente differenti.

L’elenco di tutte le casseforti create è disponibile sulla sinistra e cliccando in basso a destra su “Opzioni della Cassaforte”, possiamo settare alcuni parametri gestionali del comportamento della cassaforte ed eseguire un “Controllo della Salute” (che ci richiede la password) per verificare e risolvere eventuali anomalie. Cliccando su “Sblocca” potremo invece inserire la password ed accedere alla cassaforte.

Dopo aver inserito la password, sarà sufficiente cliccare su “Rivela l’Unità” per accedere automaticamente al volume virtuale della cassaforte, a cui verrà assegnata una lettera come fosse una periferica, da cui potremo gestire comodamente i nostri file. Bisogna quindi ricordarsi di non andare a modificare la cassaforte situata nel percorso scelto durante la sua creazione, ma solo il volume che compare dopo aver sbloccato la cassaforte con la password. Tale volume decifrato risulterà avere la dimensione "formale" massima equivalente allo spazio su cloud disponibile o, se in locale, quello del volume in cui è situato; lo spazio realmente utilizzato è gestito in modo dinamico e aumenterà man mano che lo occupiamo.

Questo mostrato in alto è il contenuto cifrato della cassaforte (da non utilizzare) nel percorso scelto in fase di creazione ed è ciò che resterà visibile nel cloud, anche mentre abbiamo sbloccato in locale la cassaforte per apportare modifiche. La cartella “d” contiene i file cifrati che verranno modificati quando verrà sincronizzato in cloud il contenuto dal volume locale (quello decifrato, in cui potremmo agire, una volta “rivelato” con la password). Da notare che la sincronizzazione riguarda solo i file modificati, non tutta la cassaforte, riducendo così i tempi di attesa in caso di casseforti molto estese.

Terminata la gestione dei file e attesa la fine della sincronizzazione con il cloud, sarà sufficiente cliccare su “Blocca” per smontare il volume con il contenuto in chiaro. Come ricordato, le casseforti di Cryptomator possono essere create anche su una periferica esterna o nel disco locale, ma sicuramente un suo uso molto pertinente è quello per la protezione dei nostri contenuti in cloud.

Per gli utilizzatori di Cyberduck, altra applicazione sicuramente interessante (che consente una gestione centralizzata di differenti cloud), segnaliamo l’apposito plugin (disponibile di default) per l’integrazione con Cryptomator, che richiede automaticamente di inserire la password quando viene rilevata, in uno dei cloud compatibili con Cyberduck, la presenza di una cassaforte:

Perché non usare semplicemente archivi compressi o VeraCrypt? Usare archivi compressi protetti da password può essere un metodo pratico per "container" di piccole dimensioni, perché comporta decomprimere ogni volta l’archivio, modificarlo e ricomprimerlo; richiedendo tempo e spazio su disco proporzionali alle dimensioni del materiale da gestire. Anche un volume VeraCrypt sembrerebbe essere una valida soluzione, consentendoci di decriptare il volume salvato nel cloud, modificarlo e poi "richiuderlo" ripristinando la cifratura. Tuttavia, la prima limitazione di VeraCrypt da non trascurare è che la dimensione del volume contenitore va stabilita a priori e qualora si abbia bisogno in seguito di espanderla, solo se è stato usato il formato NTFS è possibile agire con la funzionalità Expander, che non è particolarmente ostica, ma comporta pur sempre qualche passaggio da fare con attenzione. Soprattutto, VeraCrypt non sembra essere sempre in grado di montare e gestire un volume direttamente dalla cartella online di alcuni cloud (è ad esempio possibile con OneDrive, ma non con Google Drive, per motivi di autenticazione) e cifrando tutto il suo contenuto in un unico file contenitore, ogni minima modifica di un singolo file in locale comporterebbe la risincronizzazione totale che, in caso di volumi corposi, può richiedere del tempo.