Artikel top billede

(Foto: Computerworld)

Guide: Sådan sikrer du alt dit indhold i Windows optimalt

Beskyt dit indhold ved at kryptere filer, mapper og endda hele drev i Windows.

Af Torben Okholm, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Er du bekymret for dine datas sikkerhed og synlighed? Har du følsomme filer, som du vil værne mod nyfigne blikke? Er du bange for, at din cloudbackup ikke er så sikker, som den kunne være? Frygter du, at data på din laptop kan være sårbare over for tyveri? Vil du skille dig af med filer – eller en hel pc – uden at udsætte data for fare (inklusive tidligere slettede filer)? Paranoiaen myldrer frem. Men lad os slå koldt vand i blodet: Vi ved, hvad der skal til.

I denne artikel udforsker vi adskillige muligheder for at beskytte dine data, uanset om disse data er lagret på din pc eller ligger som backup et andet sted – enten lagret lokalt eller hos en cloudtjeneste.

Vi viser også, hvordan du kan sikre dig, at alle de data, du sletter, nu også bliver fuldstændig tilintetgjort, så du kan videregive en pc eller et drev til et nyt hjem uden at skulle bekymre dig for de data, der tidligere lå på den.

Når det gælder følsomme filer, skal løsningen findes i en proces, der bliver kaldt kryptering. Filkryptering bruger kryptografi til at sammenrode filers indhold, således at de er ulæselige uden den korrekte autentificering – som regel et kodeord, der bliver brugt til at åbne en krypteringsnøgle, som igen dekrypterer filen, således at den kan læses.

Visse former for kryptering kan man styrke yderligere ved at kræve flere former for autentificering, for eksempel såkaldte nøglefiler eller fysiske enheder som smartcards.

Krypteringsnøgler bliver oprettet ved hjælp af specielle algoritmer. Blandt de kendte eksempler finder vi Advanced Encryption Standard (AES) og Twofish. Jo højere bitraten er, desto sikrere bliver nøglen. Derfor er 256-bit bedre end 128-bit, og 512-bit er bedre end 256-bit.

Kryptering er en ressourcekrævende proces, navnlig ved høje bitrater, og man bør derfor være forberedt på, at det tager længere tid at åbne eller gemme beskyttede filer. Hvis du har en moderne cpu, vil du konstatere, at AES er langt den hurtigste krypteringsstandard takket være brugen af hardwareaccelereret AES-kryptering på understøttede processorer.

Man kan foretage kryptering på individuelle filer eller hele drev, og det er netop her, vi begynder. Vi giver dig en omfattende gennemgang af, hvordan du gør dine filer hemmelige for andre.

Eer findes en række forskellige former for kryptering af individuelle filer eller hele drev. Hvis du kører Windows 10 i versionerne Pro, Enterprise eller Education, har du adgang til indbyggede funktioner i form af BitLocker og EFS – tekstboksen overfor viser, hvordan BitLocker virker, og hvad du skal bruge for at køre funktionen.

Med EFS – Encrypting File System – kan du kryptere individuelle filer med dit Windows-kodeord som krypteringsnøgle. Hvis drevet bliver stjålet, er filerne ulæselige uden kodeordet til din Windows-konto.

Når du skal kryptere en eller flere mapper, vælger du dem i Stifinder, højreklikker på valget og vælger ”Egenskaber”. Klik ”Avanceret”, og marker så boksen ved siden af ”Krypter indhold” for at sikre data. Klik ”OK” efterfulgt af ”Anvend” – du bliver nu opfordret til at kryptere modermappen for at opnå større sikkerhed. Træf dit valg, og klik ”OK”.

EFS er en enkel, men relativt svag måde at kryptere filer på. Hvis du ønsker noget stærkere, eller du ikke stoler på, at Microsoft kan sikre dine data, skal du læse videre.

Enkel og hurtig kryptering

Hvis du kun skal kryptere individuelle filer med forholdsvis regelmæssige mellemrum – eller du ønsker at kryptere filer, før du deler dem med andre – er open source-værktøjet AES Crypt (www.aescrypt.com) alt, hvad du har brug for. Download og installer programmet, og gå så videre ved simpelthen at klikke på den fil, du ønsker at beskytte, og vælg så AES Encrypt. Skriv et stærkt kodeord – jo flere tegn desto stærkere kryptering – og klik ”OK”. Der bliver oprettet en krypteret kopi af filen med efternavnet aes, og den er ulæselig for dem, der ikke kender kodeordet.

Hvis du vil dele filen med andre, skal du sende dem den krypterede version og derefter videregive kodeordet separat og sikkert. Modtageren skal installere AES Crypt, før han eller hun dobbeltklikker på filen og skriver det kodeord, der kræves for at udpakke den krypterede original.

Det er også muligt at kryptere Office-dokumenter – men kryptering er først effektiv i Word 2007 eller senere. Det vil sige fra AES 128-bit-kryptering, og til AES 256-bit-kryptering blev indført (fra Office 2016). Man krypterer i Office 2007 eller senere udgaver ved at gå til fanen File og vælge Info > Protect Document > Encrypt with Password.

Hvis du ønsker stærkere kryptering af individuelle filer eller mapper, kan du bruge Gpg4win, der fungerer ligesom AES Crypt, men her kan man også kryptere filer ved hjælp af offentlige nøgler, der er beskyttet af kodesætninger, og dermed opnå større sikkerhed. Efter installationen skal man køre Kleopatra-værktøjet og vælge File > New Key Pair.

Vælg dernæst ”Create a personal OpenPGP key pair” for at komme i gang. Når det er gjort, kan du nu kryptere filer ved at højreklikke på dem i Stifinder og vælge ”Sign and encrypt” og bruge din nøgle (du kan også kryptere filer med et simpelt kodeord, hvis du foretrækker det).

En enkel løsning

AES Crypt og Gpg4win er ideelle til forefaldende kryptering, men man er nødt til at genkryptere sin filer, hver gang man ændrer dem. Hvis du vil have en mere omfattende og fleksibel løsning, kan VeraCrypt stort set klare det hele. Man kan bruge det på forskellige måder, der passer til forskellige menneskers behov. Ligesom med BitLocker kan man kryptere hele drev, herunder Windows’ bootdrev, men man kan også begrænse sig til et specifikt sæt af filer ved hjælp af en mindre, virtuelt krypteret beholder, der fungerer som en fil på drevet.

VeraCrypts guide gør det nemt at oprette enhver form for krypteret drev.

Man kan få applikationen til Windows, Mac og Linux, så man kan bruge den på tværs af alle computere. Der findes også en portabel version, der kan klare alt andet end kryptering af bootdrevet. Efter at du har installeret programmet (eller udpakket det i din mappe til portable apps), starter du det – Veracrypt-x64.exe, hvis du bruger den portable version – og så er du på VeraCrypts hovedvindue.

Opret et virtuelt drev

Nu bliver VeraCrypt Volume Creation Wizard åbnet, idet ”Create an encrypted file container” er valgt som standard. Det er det sikreste valg, fordi der blot bliver oprettet en enkelt fil på et eksisterende drev, hvor alle ens følsomme data bliver lagret. Man udsætter ikke andre filer eller drev for risiko. Gå videre ved at klikke ”Next”.

Man kan oprette to former for diskenheder – hvis du blot vil beskytte dine data i tilfælde af tab eller tyveri, skal du holde dig til ”Standard TrueCrypt volume” og klikke ”Next” igen. Gå til den næste sektion. Du får også mulighed for at oprette en skjult enhed med en forklaring på grunden til, at du har brug for den. Skjulte enheder bliver oprettet inden i standard-TrueCrypt-enheder, der ligger skjult på deres ledige plads.

AES Crypt sletter ikke din oprindelige fil efter at have lavet en krypteret kopi.

Førstegangsbrugere bør vælge ”Hidden TrueCrypt volume” efterfulgt af ”Normal mode” for at oprette en standard-TrueCrypt-enhed, hvori ens skjulte enhed bliver oprettet. Hvis du allerede har oprettet en standardenhed, kan du vælge ”Direct model” i stedet og følge anvisningerne på, hvordan du arrangerer den inden i din standard-TrueCrypt-enhed. I begge tilfælde følger guiden en proces, der svarer til processen til standard-enheder som beskrevet ovenfor.

Et tip, hvis du vil oprette en skjult enhed: Sørg for, at du har valgt filer til standardenheden. En tom enhed vil vække mistanke hos de folk, som du prøver at skjule dine data for.

Opret en standardenhed

Klik på knappen ”Select File…”, gå til dit USB-drev, og skriv et nyt filnavn ind i ”File name”-boksen. Undgå at bruge et filefternavn – det kan være problematisk – og klik ”Save”. Klik ”Next” for at vælge din krypteringsmuligheder for enheden. Der er fem algoritmer at vælge imellem: AES, Serpent, Twofish, Camellia og Kuznyechik – vælg en ad gangen, og læs beskrivelsen.

Under dem er der ikke færre end ti kombinationer af to eller flere algoritmer til dem, der ønsker flere krypteringslag. Den virkelig paranoide kan klikke på Test-knappen ved siden af en mulighed for at få bekræftet, at VeraCrypts implementering af den valgte algoritme lever op til visse standarder.

Krypter individuelle filer med en personlig nøgle ved hjælp af Gpg4win.

Klik på Benchmark-knappen for at åbne vinduet ”Algorithms Benchmark”, og klik derefter ”Benchmark” for at sammenligne hver krypteringsalgoritmes ydelse. Arbejdet med at kryptere og dekryptere data får en indvirkning på læse- og skrivehastighederne, og man kan sammenligne de forskellige algoritmer (enkelt og kombineret) herfra. Regulær AES-kryptering er anbefalet til de fleste, mens AES kombineret med Twofish er valget, hvis man ønsker et ekstra lag.

Bag krypteringsalgoritmen kan man se et udvalg af hash-algoritmer med et link, der forklarer, hvordan de virker. De bliver navnlig brugt til at generere krypteringsnøglerne og “salt” (vilkårlige data, der bliver brugt til at beskytte ens kodeord mod hackere). I øjeblikket er fem hash-algoritmer understøttet, men til de fleste vil standardudgaven, SHA-512, være fin. Man kan dog vælge SHA-256, hvis ydelse er vigtigere end sikkerhed.

Ekstra autentifikation

Når du har valgt dine funktioner, klikker du ”Next”. Nu bliver du bedt om at angive en størrelse på din filbeholder. Vælg et tal på baggrund af, hvor mange data du har brug for at kryptere, og hvor meget ledig plads du har. Klik ”Next”, og skriv et kodeord – det skal du bruge, når du i fremtiden skal have adgang til dine filer, og du skal derfor sørge for, at du kan huske det (eller gemme det et sikkert sted, for eksempel i en Bitwarden-kodeordsmanager, som du selv administrerer).

Men det skal selvfølgelig også være svært at bryde. Prøv at lave et, der består af mindst 20 tegn. Opnå yderligere beskyttelse ved at markere ”Use keyfiles” og klikke på Keyfiles-knappen. Det tilføjer et ekstra beskyttelseslag: Du skal ikke blot skrive kodeordet korrekt, du skal også vælge den fil (eller de filer), du ønsker at have linket til din beholder.

Windows 10 Home-brugere har ikke adgang til indbyggede krypteringsværktøjer.

Disse filer kan allerede være til stede på dit drev – vælg et komprimeret format såsom mp3 eller zip – eller også kan du lade VeraCrypt generere en ny, vilkårlig nøglefil fra grunden. Sørg for, at der er sikker backup af filerne: Hvis de bliver slettet, eller de første 1.024 kB data bliver ændret, er det umuligt at få adgang til dine filer.

Hvis du markerer boksen ”Use PIM”, får du et ekstra trin efter at have klikket ”Next”, hvor du kan angive en skræddersyet ”Personal Iterations Multiplier”. Standardindstillingen (485) prioriterer sikkerhed fremfor hastighed, når enheden bliver åbnet efter hver systemboot – hvis du ønsker at reducere tidsforbruget, kan du vælge en lavere værdi, men husk at vælge et langt kodeord.

Indbygget BitLocker-kryptering

Hvis du bruger en tungere version af Windows – Professional, Education eller Enterprise – og du vil kryptere et helt drev, kan du eventuelt bruge det indbyggede BitLocker-værktøj. Du kan bruge det til at kryptere faste og porterbare drev plus dit Windows-bootdrev med henblik på at beskytte din laptops indhold, hvis den bliver stjålet.

Opret en backup

Skriv “bitlocker” i søgefeltet, og klik på Administrer BitLocker. Du får nu i hovedvinduet en liste over alle tilgængelige drev. Luk et af dem op, og klik ‘Slå BitLocker til’. Hvis du vil kryptere systemdrevet, får du måske en meddelelse om, at din pc ikke har et kompatibelt ‘Trusted Protection Module’. Læs dit bundkorts specifikationer – hvis du er heldig, kan du simpelthen aktivere TPM-support i BIOS (kig i Sikkerheds-sektionen).

Du bliver bedt om at oprette en backup af den nødvendige gendannelsesnøgle. Følg guiden, og træf de relevante valg, afhængig af dit drev og din pc-opsætning. Kør det anbefalede BitLocker-systemtjek, så burde du kunne bruge dit drev, mens det bliver krypteret.

Lås drevet op

Faste eller portable datadrev er beskyttet af kodeord eller et kompatibelt smartcard – et TPM-modul er ikke påkrævet. Når du tilslutter drevet eller genstarter Windows, skal du angive kodeordet eller indsætte dit smartcard for at låse drevet op.

Det er relativt enkelt at bruge BitLocker, men det er en forudsætning, at du stoler på Microsoft – i modsætning til VeraCrypt, der er open source, er koden ikke tilgængelig for brugeren. Man er også begrænset til værktøjets 128-bit- eller 256-bit-AES-kryptering.

Efter at du har klikket ”Next”, bliver du spurgt, om du agter at lagre filer, der er større end 4 GB, i dit nye virtuelle drev – det afgør, hvilket filsystem der er sat som standard i det næste skridt (exFAT, hvis ja, FAT, hvis nej). Klik ”Next”, og nu er du klar til at konfigurere og formatere din enhed.

Du kan ændre filsystemet her – NTFS og ReFS er også til rådighed – og vælge, om du vil udføre en hurtig formatering (ikke anbefalet). Hvis du markerer ”Dynamic”, bliver den fil, der indeholder din krypterede enhed, ikke formateret som dens faktiske størrelse; den bliver i stedet større, når du tilføjer indhold.
Det er der gode grunde til ikke at gøre – ikke mindst alvorligt forringet ydelse og reduceret sikkerhed.

Du kan flytte musen rundt i VeraCrypt-vinduet for at forbedre den kryptografiske styrke af enhedens krypteringsnøgler. Når du har konfigureret drevet, og ”Randomness Collected From Mouse Movements”-måleren er fuld, klikker du ”Format”, hvorefter den krypterede enhed bliver oprettet. Vent, indtil bekræftelses-dialogboksen kommer frem, og klik så ”OK” efterfulgt af ”Exit” for at vende tilbage til VeraCrypts hovedvindue og besøge din krypterede beholder for første gang.

Vælg et frit drevbogstav fra listen, og klik på knappen ”Select File” for at vælge din krypterede beholder. Klik på knappen ”Mount”, og skriv derefter enhedens kodeord, før du – hvis det er muligt – klikker på knappen ”Keyfiles…” og vælger de nødvendige filer, der vil give dig adgang til din beholder, når du klikker ”OK”.

VeraCrypts benchmarkværktøj viser, hvordan hver algoritme eller hash yder.

Du kan nu se knappen ”Mount Options…”; hvis du klikker her, kan du vælge mellem muligheder som at åbne enheden i read-only-tilstand eller knytte den til et specifikt drevlabel i Windows. Hvis din enhed rummer endnu en skjult enhed, skal du huske at markere ”Protect hidden volume against damage caused by writing to outer volume” for at beskytte dens indhold.

Efter at have klikket ”OK” venter du, indtil enheden har fået forbindelse – du bør kunne se din krypterede beholder komme frem i VeraCrypts hovedvindue. Nu kan man få adgang til den som med ethvert andet drev. Kopier eller gem filer direkte hertil for at sikre, at de er beskyttet fremover. Når du er færdig med drevet, højreklikker du på dets post i VeraCrypt-vinduet og vælger ”Dismount” for at holde det skjult fra nyfigne øjne.

Dekrypter sikkert

Det er muligt at kryptere et eksisterende datadrev uden at slette det i VeraCrypt ved hjælp af ”Encrypt in place”. Men der er ulemper. I modsætning til kryptering af en Windows-installation er drevet ikke tilgængeligt, mens det bliver krypteret. Og når det er overstået, bliver du bedt om at angive et andet drevbogstav. Det er ikke nødvendigt, som vi skal komme ind på om et øjeblik.

Vælg ”Encrypt in place”, klik ”Next”, læs advarslen, og klik ”Yes”. Du bliver bedt om at vælge krypterings- og autentifikationsindstillinger, hvorefter du skal bevæge musen vilkårligt for at styrke krypteringsnøglerne, før du ender med ”Wipe Screen”. Her kan du slette ukrypterede filer efter krypteringen for at forhindre, at de bliver gendannet senere. Kun den mest paranoide person bør overveje andet end ”None” (hurtigst) eller 1-pass (vilkårlige data).

Klik ”Next” efterfulgt af ”Encrypt”. Klik ”Yes” (hvis drevet er i brug, skal du måske klikke ”Yes” igen for at slå det fra), og vent på, at drevet bliver krypteret. Når det er sket, læser du eventuelle advarsler og klikker ”Finish”. Hvis du vil beholde drevbogstavet, højreklikker du på ”Denne pc” i ”Stifinder” og vælger ”Administrer”.

Identificer din krypterede partition ud fra dens drevbogstav, højreklik på den, vælg ”Skift drevbogstav og sti...”, vælg det aktuelle drevbogstav, og klik ”Fjern” efterfulgt af ”OK”. Nu bør du kunne vælge drevbogstavet i VeraCrypts hovedvindue og klikke ”Auto-Mount Devices”. Følg anvisningerne på at få adgang til drevet. Hvis du vil dekryptere drevet permanent, markerer du det og vælger Volumes > Permanently Decrypt.

Kryptér Windows

Du kan også bruge VeraCrypt til at kryptere hele din Windows-installation. Alle filer forbliver krypterede på din disk, også når de er i brug – de bliver simpelthen dekrypteret efter behov for at lade Windows og dine apps køre normalt uden at udsætte data for potentielle problemer såsom strømafbrydelse.

Denne form for kryptering er især egnet til dem, der bringer følsom information med sig – typisk på en laptop. Tag en drevimage-backup, før du begynder. Start VeraCrypt, og vælg ”Create Volume > Encrypt the system partition” eller hele systemdrevet. Også her har du adgang til standardvalg og skjulte valg (klik ”More information”, hvis du kan lide tanken om at skjule styresystemet – det er et omfattende og detaljeret emne, der indebærer oprettelse af et “lokkesystem”.

Nøglefiler føjer et ekstra lag af sikkerhed til dine krypterede datadrev.

Hvis du blot vil kryptere drevet, lader du ”Normal” være valgt og klikker ”Next”. Du kan kryptere Windows-partitionen eller hele drevet (alle partitioner på det primære drev). Hvis du er i tvivl, skal du kun kryptere systempartitionen – når du prøver at kryptere hele drevet, får du måske en advarsel om tab af adgang, hvis det har et BIOS, der er “inappropriately designed”.

Det næste trin fortæller VeraCrypt, om dit system er single-boot eller multiboot, og derefter er processen den samme som for oprettelse af et krypteret, virtuelt drev. Der er blot ét forbehold: Man kan kun beskytte systemdrevet med et stærkt kodeord; nøglefiler er ikke understøttede. Man skal også oprette gendannelsesmedier – spring ikke over dette trin, for det er påkrævet til permanent dekryptering af drevet, og det giver beskyttelse.

Der kræves forskellige medier, afhængig af om din boot-tilstand er EFI (USB-flashdrev) eller MBR (cd/dvd) – følg blot anvisningerne på at oprette og verificere mediet. Gendannelsesmedier er knyttet til din specifikke pc og det aktuelle kodeord, du har knyttet til dit boot-drev. Hvis du indfører ændringer i hardware, skal du gendanne det.

Du ser nu ”Wipe Mode”-skærmen, der sætter dig i stand til sikkert at overskrive de ukrypterede kopier af dine filer, efter at de er blevet krypteret. Jo flere passes du vælger, desto langsommere bliver processen. Medmindre du har grund til at være virkelig paranoid, bør ingen passes eller blot ”1-pass” være nok.

Efter opsætningen tilslutter du dine krypterede drev.

Afprøv og kryptér

Nu er du klar til at kryptere drevet. Begynd med en test, der kan vise, at alt fungerer. Din pc genstarter, og du bliver afkrævet det kodeord, du lige har valgt. Når du bliver bedt om PIM, trykker du blot Enter, medmindre du manuelt har angivet denne værdi. Vent på, at kodeordet bliver verificeret, og så booter Windows som sædvanlig.

Hvis testen er bestået, klikker du på knappen ”Encrypt”, og så begynder VeraCrypt at kryptere dit drevs indhold (der er også en ”Defer”-knap, hvis du først vil tage backup – i så fald bliver du spurgt igen, næste gang Windows bliver genstartet). I modsætning til kryptering af ikkesystem-enheder kan man blive ved med at bruge pc”en, mens drevet bliver krypteret. Når processen er færdig, er maskinens indhold beskyttet mod tyveri og andre trusler, og alle de data, der ligger på den, er sikre.

Kryptér hele drev

Man kan også bruge VeraCrypt til at kryptere andre drev og partitioner – fra interne data-drev og partitioner til USB-drev. Ligesom ved alle andre større handlinger anbefaler vi varmt at tage en komplet backup af hele drevet, før processen begynder. Når drevet er sikkert krypteret, kan man trygt slette denne backup. Hvis du imidlertid vil beholde backuppen, kan du på næste side læse om kryptering af backupper.

Oprettelsen minder om opsætning af virtuelle drev. Begynd med at vælge ”Encrypt a non-system partition/drive” på guidens første side. Vælg, om enheden skal være standard eller skjult, og klik så ”Next”. Klik ”Select Device…”, og vælg måldrev eller partition.

Man skal afbalancere sikkerhed med ydelse, når man vælger en algoritme.

Det næste skridt er afgørende – man kan vælge mellem ”Create encrypted volume and format it” (destruktiv og bedst til tomme drev eller drev uden data, der er værd at gemme på) og ”Encrypt partition in place”. Den sidstnævnte er meget langsommere, men den bevarer eksisterende data. Læs mere om det på side 52. Hvis du opretter en krypteret enhed fra grunden, svarer processen helt til at oprette virtuelle drev.

Når drevet er krypteret, læser du eventuelle advarsler og klikker ”Finish”. Du tilslutter drevet ved at vælge det ønskede drevbogstav og klikke ”Auto-mount Devices”. Skriv de ønskede oplysninger, og vent, mens drevet bliver tilsluttet.

Normalt skal man gøre sådan, hver gang man genstarter Windows – hvis du ønsker drevet automatisk tilsluttet, når du logger på Windows, skal du højreklikke på det i VeraCrypts hovedvindue og vælge ”Add to Favorites”. Husk at markere ”Mount selected volume upon logon”, før du klikker OK. I fremtiden bliver du bedt om at angive kodeordet og eventuelle nøglefiler, hver gang du logger ind i Windows, og derefter er drevet tilgængeligt.

Der opstår ét problem med denne fremgangsmåde, hvis du har flyttet systemmapper – såsom brugermapper eller mapper, der er knyttet til cloudtjenester – til dette krypterede lagerområde. Du får fejlmeddelelser om manglende mapper, før du låser drevet op. Hvis du har krypteret dit Windows-bootdrev, kan du ordne det ved at sørge for, at kodeordet på dit datadrev er det samme som det, der åbner dit Windows-bootdrev. Vælg ”Add to System Favorites” – nu bliver drevet åbnet med dit bootdrev, når Windows bliver indlæst.

Kryptér cloudbackups

VeraCrypt kan beskytte dine filer lokalt, men hvis du kopierer dem et andet sted, er de ubeskyttede. Tekstboksen overfor viser, hvordan man beskytter lokale backupper med den samme slags algoritmer og egnet backupsoftware, men hvad med de backupfiler, man har på et cloudlager? Cloududbydere hævder, at de krypterer vores filer, men sommetider gælder det kun for den måde, hvorpå filerne bliver overført – når de ligger på plads i cloudlageret, kan de være ukrypterede og dermed potentielt sårbare.

Hvordan ved du, om den tilbudte kryptering er ægte end-to-end-kryptering, hvor det kun er dig, der har de afgørende krypteringsnøgler? Nogle cloududbydere – for eksempel SpiderOak og Tresorit – praktiserer denne “ingen viden”-politik, mens andre ikke gør det.

Du behøver ikke at skifte udbyder for at få denne beskyttelse. Du kan i stedet føje dit eget krypteringslag til kritiske filer med nøgler, der ikke er delt med andre. Cryptomator er et open source-krypteringsværktøj, der er beregnet til cloud-baseret lager. Det virker med enhver cloududbyder fra OneDrive til Dropbox.

Princippet er identisk med VeraCrypt: Man opretter et kodeordsbeskyttet virtuelt drev – eller en boks – hvori dine følsome filer bliver lagret. Den største forskel er, at Cryptomator krypterer filer individuelt, ikke som del af en større fil. Derfor er ændringerne mindre, og upload og download går hurtigere.

Slet data sikkert

Når man sletter en fil, bliver den ikke fysisk fjernet fra pc’en; i stedet bliver de første få bytes af filen overskrevet med et tag, der fortæller Windows, at filen er slettet, og dens plads er til rådighed, når der skal skrives andre filer til disken. Det gør arbejdet hurtigere, men det er ikke godt for sikkerheden.

Indtil filen bliver fysisk overskrevet af en anden fil, kan dens indhold stadig blive gendannet. Hertil kommer, at selv om filen bliver overskrevet af en anden fil, kan det være muligt at gendanne hele filen eller dele af den ved hjælp af avancerede gendannelsesteknikker. Hvordan kan man beskytte sig mod denne form for teknologi?

Der findes heldigvis værktøjer, som kan udslette data fra ens drev. Eraser er gratis og open source (hent den seneste stabile version, 5.8.8, fra https://eraser.heidi.ie/download). Under installationen skal du tillade denne Windows Stifinder-extension at udslette en fil ved at højreklikke på den og vælge Eraser > Erase.

Hvad med filer, som du tidligere har slettet? Eraser kan gennemgå al ledig plads og sikre, at alle slettede filer ikke kan gendannes – højreklik på drevet i Stifinder, og klik Erase > Erasing Free Space.
Åbn Eraser-programmet.

Nu kan du indstille regelmæssige kørsler, der regelmæssigt sletter specifikke filer, mapper eller ledig plads. Eraser fjerner som standard data ved hjælp af Gutmann-metoden – hvis det går for langsomt, skal du vælge Edit > Preferences > Erasing og vælge en anden metode, herunder en af to, der bliver brugt af USA’s forsvarsministerium.

Opret en beholder

Begynd med at gå til www.cryptomator.org/downloads og klik ”Download 64 Bit”. Når det er sket, dobbeltklikker du på setupfilen og følger anvisningerne. Husk at installere Dokan File System Driver, når du bliver spurgt. Genstart, hvis du bliver bedt om det.

Åbn Cryptomator via søgefeltet eller Start-menuen, og aktiver det integrerede opdateringstjek. Derved sikrer du dig, at Cryptomator forbliver opdateret. Klik på ”+”-knappen, og vælg ”Create New Vault”. Gå til din cloudmappe, giv din boks et egnet navn (det bliver navnet på den mappe, der rummer dine krypterede filer på drevet – lad være med at gøre det alt for åbenlyst), og klik ”Save”.

Vælg “Volume Properties…” for at få bekræftet dit drevs sikkerhed.

Du bliver bedt om at oprette et kodeord til at beskytte boksen og adgangen til den fra andre computere eller mobile enheder. Vi anbefaler dig at generere et langt, vilkårligt kodeord ved hjælp af din kodeordsmanager (gem kodeordet som en sikker note). Når det er gjort, klikker du ”Create Vault”.

Klik ”More Options” for at gemme kodeordet og automatisk tilslutte drevet ved start (kun anbefalet på en sikker pc). Du kan også ændre drevnavnet og vælge et drevbogstav. Skriv dit kodeord, og klik ”Unlock Vault”. Der bliver åbnet et nyt Stifinder-vindue, som peger på dit nye virtuelle drev (det er også tilgængeligt via ”Denne pc” under Netværksplaceringer) – kopier blot filer hertil, så bliver de krypteret sikkert, før de bliver uploadet til cloudlageret.

Når det er gjort, kan du lade drevet være ulåst, indtil du lukker ned for pc”en – hvis sikkerheden er vigtig – åbne hovedvinduet og klikke ”Lock Vault” (skriv dit kodeord, og klik ”Unlock Vault”, hvis du senere får brug for det). Du kan tilgå din boks fra andre pc’er ved at installere Cryptomator der og vælge ”Open existing vault”. Der findes også betalings-apps til Android eller Apple, hvis du skal uploade følsomme filer på farten.

Tilslut krypterede datadrev automatisk med Windows.

Synligt for hackere

En svaghed ved Cryptomator er, at dets tilstedeværelse ikke kan skjules – det er faktisk meget synligt for enhver hacker, der bladrer i dine mapper. Dets masternøgle kan nemlig ses i den mappe, der rummer dine krypterede data (og navnet – masterkey.cryptomator – kan man ikke ligefrem beskylde for at være diskret). Derfor skal man have en uafhængig backup af data gemt i en Cryptomator-boks i tilfælde af, at nøglefilerne går tabt.

Hvis det er utåleligt, kan du overveje at gå tilbage til VeraCrypt, men minimer din boks’ størrelse (lav hellere flere små bokse end én stor). Det reducerer den båndbredde, der bliver brugt ved upload og download af ændringer i krypterede filer. En anden mulighed er at bruge cloudlager til krypterede fil- og image-baserede backupper (se boksen ved siden af).

Gør din Cryptomator-boks stærkere ved at bruge et vilkårligt genereret kodeord.

Kryptér backup i et cloudlager

Du har krypteret filerne på dit drev, men hvad med dine backupper? Backupværktøjer lagrer normalt dine filer ukrypteret på et lokalt drev eller netværksdrev, og det er godt nok, hvis drevene er blevet krypteret med VeraCrypt eller BitLocker, men hvad gør du, hvis du blot ønsker, at backupperne bliver krypteret? Du vil måske lagre dem sikkert i et cloudlager? Svaret skal findes hos et backupværktøj, der er gratis og open source: Duplicati, der i øjeblikket er i beta (www.duplicati.com).

Filbaseret backup

Det er blevet udviklet som Cryptomator for cloudtjenester, men dets speciale er filbaserede backupper. Efter download og installation starter du Duplicati – konfigurationen foregår i et browservindue. Klik ‘Add backup’, og arbejd dig gennem backupguiden. Du bliver bedt om at indstille dit krypteringsniveau (standardværdien på AES-256 er mere end tilstrækkelig) og kodeord ved begyndelsen.

Dernæst vælger du din destination. Du kan tage backup lokalt eller direkte til en række cloududbydere – Google Drive, OneDrive (vælg v2-udgaven), Dropbox og så videre. Hvis din udbyder ikke er med på listen, vælger du din cloududbyders lokale mappe og lader dens medfødte app synkronisere backupfilerne.

Vælg antal backupper

Herfra vælger du de filer og mapper, der skal uploades, du indstiller et skema for opdatering af backuppen, og du vælger, hvor mange backupper der skal gemmes.

Klik ‘Save’, og kør så backuppen. En måler viser, hvor langt du er nået.

Når tiden er inde til at gendanne filer, vælger du ‘Restore’ og følger guidens anvisninger. Du kan gendanne individuelle filer såvel som ældre versioner af en fil.