Облачное хранилище

Многие облачные хранилища требуют от вас полностью им доверять, что они не будут просматривать ваши файлы. Альтернативы, перечисленные ниже, устраняют необходимость в доверии путем внедрения безопасного E2EE.

Если эти альтернативы не соответствуют вашим потребностям, мы предлагаем вам рассмотреть возможность использования программного обеспечения для шифрования, например, Cryptomator с другими облачными хранилищами. Использование Cryptomator в сочетании с любым облачным хранилищем (включая эти) может быть хорошей идеей для снижения риска ошибок шифрования в собственных клиентах провайдера.

Looking for Nextcloud?

Nextcloud is still a recommended tool for self-hosting a file management suite, however we do not recommend third-party Nextcloud storage providers at the moment, because we do not recommend Nextcloud's built-in E2EE functionality for home users.

Proton Drive

Proton Drive - швейцарское зашифрованное облачных хранилищ от популярного провайдера зашифрованной электронной почты Proton Mail.

Homepage

Downloads

• Google Play
• App Store
• Windows
• macOS

Веб-приложение Proton Drive прошло независимый аудит компании Securitum в 2021 году, полные подробности не были предоставлены, но в аттестационном письме Securitum говорится:

Аудиторы выявили две уязвимости низкой степени серьезности. Кроме того, были представлены пять общих рекомендаций. В то же время мы подтверждаем, что в ходе теста на проникновение не было выявлено никаких важных проблем с безопасностью.

Новые мобильные клиенты "Proton Drive" еще не прошли публичный аудит третьей стороной.

Tresorit

Tresorit - швейцарско-венгерский провайдер зашифрованных облачных хранилищ, основанный в 2011 году. Tresorit принадлежит Swiss Post, национальной почтовой службе Швейцарии.

Homepage

Downloads

• Google Play
• App Store
• Windows
• macOS
• Linux

Компания Tresorit прошла ряд независимых аудитов безопасности:

• 2022: ISO/IEC 27001:2013¹ Compliance Certification by TÜV Rheinland InterCert Kft
• 2021: Penetration Testing by Computest
  • В данном обзоре оценивалась безопасность веб-клиента Tresorit, приложения для Android, приложения для Windows и соответствующей инфраструктуры.
  • Computest обнаружил две уязвимости, которые были устранены.
• 2019: Penetration Testing by Ernst & Young.
  • В данном обзоре был проанализирован весь исходный код Tresorit и было подтверждено, что реализация соответствует концепциям, описанным в техническом документе Tresorit.
  • Компания Ernst & Young дополнительно протестировала веб-приложение, мобильные и настольные клиенты: "Результаты тестирования не выявили никаких отклонений от заявлений Tresorit о конфиденциальности данных."

They have also received the Digital Trust Label, a certification from the Swiss Digital Initiative which requires passing 35 criteria related to security, privacy, and reliability.

Критерии

Обрати внимание, что у нас нет связей ни с одним проектом, который мы рекомендуем. В дополнение к нашим стандартным критериям мы разработали четкий набор требований, позволяющий давать объективные рекомендации. Перед тем, как вы решите выбрать какой-либо проект, мы рекомендуем вам ознакомиться со списком критериев и провести собственное исследование, чтобы убедиться в правильности своего выбора.

Минимальные требования

• Должны использовать обязательное сквозное шифрование.
• Должны иметь бесплатную версию или пробный период для тестирования.
• Должны поддерживать многофакторную аутентификацию TOTP или FIDO2, а также вход с помощью Passkey.
• Должны иметь веб-интерфейс, поддерживающий основные функции управления файлами.
• Должны обеспечивать легкий экспорт всех файлов/документов.
• Должно использоваться стандартное, проверенное шифрование.

В лучшем случае

Эти критерии представляют собой то, что мы хотели бы видеть от идеального проекта в этой категории. Наши рекомендации могут не соответствовать всем или нескольким из этих критериев, но проекты, которые им соответствуют, расположены выше остальных.

• Clients should be open source.
• Клиенты должны быть полностью проверены независимой третьей стороной.
• Должны предлагать нативные клиенты для Linux, Android, Windows, macOS и iOS.
  • Эти клиенты должны интегрироваться с собственными инструментами ОС для сервисов облачных хранилищ, такими как интеграция приложения Files на iOS или функциональность DocumentsProvider на Android.
• Должны поддерживать простой обмен файлами с другими пользователями.
• Должны предлагать, по крайней мере, базовые функции предварительного просмотра и редактирования файлов в веб-интерфейсе.

---

1. Соотвествие стандарту ISO/IEC 27001:2013 относится к системе управления информационной безопасностью компании и распространяется на продажу, разработку, обслуживание и поддержку облачных услуг. ↩