Sinds kort heb ik een stevig formaat USB-stick en dan is de verleiding groot om gewoon al je actuele documenten op het staafje op te slaan. Maar na eerdere berichten over verloren en gestolen USB-sticks waar (staats-) gevoelige informatie op stond, denk je natuurlijk wel drie keer na voor je je persoonlijke of zakelijke documenten standaard op zo'n flashdrive zet.
Voor gebruikers van het Windows platform zijn er voldoende oplossingen voor handen: fatsoenlijke moderne USB-sticks worden geleverd met software om die te beveiligen - en waar de door de fabrikant geboden mogelijkheid niet volstaat zijn er voldoende gratis oplossingen.
Voor Mac blijkt het wat lastiger om met een paar klikken een USB-stick transparant van encryptie te voorzien, hoe eenvoudig het ook voor je homedir is. De enige oplossing voor een flashdrive of andere vormen van removable storage blijkt vooralsnog het maken van encrypted disk images.
Dat is in tenminste één opzicht jammer, namelijk dat er (nog) geen programma is waarmee je encrypted disk images onder Windows kunt openen. De hoop is gevestigd op TrueCrypt, wat reeds werkt onder Windows en Linux en Mac OS X op de future features lijst heeft staan, maar zo ver is het nog niet - dus tot zo ver de Mac-Windows cross-platform gedachte.
Uiteindelijk ben ik uitgekomen bij Knox als beste Mac-only oplossing, maar lees gerust verder waarom.
Encrypted disk images
Als we ons dan toch tot Mac beperken, volstaat in principe het concept van de disk image. Een standaard diskimage (encrypted of niet) kun je eenvoudig met de disk util ('schijfhulpprogramma') maken. Nadeel van zo'n standaard '.dmg' is echter dat de vooraf opgegeven gewenste grootte ook daadwerkelijk wordt gereserveerd op de harde schijf.
Voordeliger is daarom het gebruik van een sparseimage: net als bij een gewone image geef je op voorhand de te reserveren ruimte op, maar een sparseimage gebruikt alleen de ruimte van de bestanden die het omvat, plus een overhead van zo'n 10% ten opzichte van de gereserveerde ruimte. In de standaard disk util is hiervoor helaas geen optie opgenomen (alhoewel er een vieze workaround bestaat waarbij je eerst een image van een lege folder maakt, maar dat is mij niet gelukt). Voor wie niet bang is voor terminal biedt hdutil uitkomst.
Voor wie echter fan is van gebruiksgemak, GUI's en eyecandy zijn er diverse tools te vinden die het leven een stuk aangenamer maken. Een paar van die tools die het noemen waard zijn, zijn Knox, dryptAway en Crypt. Van dat rijtje is Knox ondertussen verworden tot mijn favoriet.
Knox: ‘encrypted images made easy’
De nadruk in Knox ligt op het eenvoudig beheren van meerdere 'vaults', wat in de praktijk encrypted sparseimages zijn. Met een paar klikken heb je zo'n vault aangemaakt, bijvoorbeeld voor je zakelijke of privé documenten. De diverse vaults open en sluit je vervolgens eenvoudig via het dock- of statusbar-icoon en worden op je desktop geplaatst op dezelfde manier als bijvoorbeeld een USB-stick of je iDisk - je kunt dus rechtstreeks werken vanuit de vault.
Uiteraard hoef je die vaults niet op de USB-stick aan te maken, je kunt een vault plaatsen waar je maar wil. Hierdoor heb je je bestanden dus niet alleen netjes encrypted opgeslagen, maar je maakt als vanzelfsprekend een apart 'kluisje' voor de diverse soorten bestanden (zoals zakelijk en privé), wat vanuit het oogpunt van beveiliging een prettige extra is. Een andere interessante feature van Knox is de mogelijkheid diverse vaults op een vaste tijd automatisch te backuppen naar een andere locatie op de lokale harde schijf, een netwerkshare, je iPod of iDisk.
De aanstaande versie van Knox biedt ook de mogelijkheid om een heel volume (dus bijvoorbeeld een hele USB-stick) om te toveren in een vault. Maar juist door de manier waarop Knox de diverse vaults organiseert, weergeeft en toegankelijk maakt, is het werken met aparte images geen straf, maar een voordeel. Zolang er bovendien nog geen cross-platform encryptiemogelijkheid is, wil bovendien je ook een aantal files buiten de vault(s) kunnen zetten - zodat die vanaf een Windows computer ook benaderbaar zijn. Met andere woorden: wat mij betreft werkt het zo al prima.
Andere oplossingen: Crypt, safeThis en dryptAway
Om te beginnen met de eenvoudigste, Crypt kan niet meer kan dan bestanden en directories de- en encrypten. Als je dus met de encrypted opgslagen moet je het bestand eerst decrypten en nadat je klaar bent weer encrypten. Die extra stap is onhandig en bovendien gevoelig voor human error. Klein voordeel is wel dat je de bestanden op ieder systeem met SSL kan decrypten, omdat je geen encrypted diskimage gebruikt, maar gewoon het bestand of de folder zelf versleutelt.
Voor wie dat voldoende is, zou ik overigens het freeware programma safeThis aanraden. De sharewareversie van Crypt kan alleen bestanden encrypten, voor een versie die ook mappen kan de/encrypten moet $10,- worden betaald. Nadeel van safeThis ten opzichte van Crypt is dat het weer met encrypted disk images werkt, dus je bent meer dan bij Crypt gebonden aan Mac - maar dat wisten we al.
Het grote broertje van safeThis is dryptAway; wederom niet gratis, maar dryptAway ondersteund wel weer het gebruik van de eerder genoemde sparseimages - en heeft een paar leuke extra's. Voor maar € 6,95 kun je sparseimages maken, branden naar CD of DVD, gewone zip/gzip/dmg's maken en diverse logs en caches wissen volgens het "35 passes" principe - waarbij de bestanden in principe niet meer terug te vinden zijn.
Voor mij persoonlijk is de toegevoegde waarde daarvan beduidend kleiner dan bijvoorbeeld het eenvoudige beheer (of de backupmogelijkheid) van de vaults in Knox, maar voor wie het accent op veiligheid ligt in plaats van gebruiksvriendelijkheid kan dryptAway de aantrekkelijkere optie zijn.
Conclusie
Vanwege het enorme gebruiksgemak wint Knox met vlag en wimpel. Juist door het gebruiksgemak kun je bijna niet vergeten om een bestand weer te encrypten, waarmee de kans op een menselijke fout tot het minimum is beperkt. Met de backupfeature zorgt Knox er vervolgens niet alleen voor dat je bestanden veilig zijn als je het stickje verliest, maar je de bestanden ook nog eens kunt terughalen. De twee belangrijkste good practices in één dus.
