Если вы храните документы, договоры, семейные архивы или рабочие файлы в OneDrive или Google Drive, клиентское шифрование даёт простой и понятный эффект: в облако уходит не готовый PDF или таблица, а зашифрованный набор данных. Даже если кто-то получит доступ к облачному аккаунту, он не сможет открыть содержимое без ключа или пароля.
Но такая схема требует аккуратности. Шифрование не спасает, если пароль записан в заметке внутри того же облака, оригиналы файлов остались в открытой папке, а ноутбук заражён. Ниже — практическая схема, как использовать облачную синхронизацию без потери удобства, но с нормальной защитой файлов.
Главное правило: ключ и пароль не должны храниться там же, где лежат зашифрованные файлы. Если пароль от сейфа лежит внутри сейфа, сейф перестаёт быть сейфом.
- Что на самом деле защищает клиентское шифрование
- Не путайте клиентское шифрование с «личным сейфом» в облаке
- Какие варианты использовать с OneDrive и Google Drive
- Что выбрать в зависимости от ситуации
- Рабочая схема настройки для личного использования
- Как работать, чтобы не сломать синхронизацию
- Как безопасно делиться зашифрованными файлами
- Частые ошибки
- Минимальный безопасный набор
Что на самом деле защищает клиентское шифрование
Обычно OneDrive и Google Drive шифруют данные «на стороне сервиса»: при передаче и на серверах. Это полезно, но ключи находятся у провайдера. То есть технически сервис может показать файл, если доступ есть у владельца аккаунта, администратора организации, вредоносного приложения или злоумышленника, который вошёл в аккаунт.
Клиентское шифрование работает иначе. Файл шифруется на вашем устройстве до загрузки. В облаке остаются только зашифрованные данные. OneDrive или Google Drive при этом продолжают делать свою работу: синхронизируют файлы, хранят версии, дают доступ с другого устройства. Просто они уже не видят содержимого.
Такой подход защищает от нескольких типичных рисков:
- доступа к облаку через украденный пароль;
- просмотра файлов сотрудником или администратором, если это не корпоративная схема с управлением ключами;
- утечки содержимого при компрометации облачного аккаунта;
- случайной публикации открытого файла вместо зашифрованного;
- чтения старых файлов после удаления, если их копии остались в облачных версиях или корзине.
При этом есть ограничения. Сервис всё равно видит размеры файлов, время загрузки, количество файлов и структуру папок вокруг хранилища. Если вы загрузили в облако один файл на 40 ГБ, это уже говорит о многом. Также клиентское шифрование не защищает от вредоносной программы на вашем компьютере: если вирус читает файл до шифрования или после расшифровки, облачная защита тут ни при чём.
Не путайте клиентское шифрование с «личным сейфом» в облаке
В OneDrive есть Personal Vault, а в Google Drive есть дополнительные настройки безопасности. Это удобные инструменты, но их не стоит считать полноценной заменой клиентскому шифрованию. Personal Vault — это дополнительный барьер при входе и отдельная защищённая область. Для бытовых сценариев он полезен, но это не то же самое, что схема, где файл шифруется на устройстве, а в облако попадает только ciphertext.
У Google Drive клиентское шифрование встречается в корпоративных сценариях Google Workspace, а не в обычном личном Google Диске в том виде, в каком его понимает большинство пользователей. У OneDrive и SharePoint тоже есть корпоративные варианты клиентского шифрования, но они требуют настройки, подходят не для всех типов файлов и не всегда работают с привычными функциями вроде поиска, предпросмотра или совместного редактирования.
Поэтому для личного и малого рабочего использования чаще выбирают сторонний инструмент, который создаёт зашифрованное хранилище прямо внутри папки OneDrive или Google Drive.
Какие варианты использовать с OneDrive и Google Drive
| Вариант | Как это выглядит в облаке | Когда удобно | Плюсы | Ограничения |
|---|---|---|---|---|
| Cryptomator | Папка с набором зашифрованных файлов и служебными данными | Документы, фото, сканы, личные архивы, небольшие рабочие проекты | Простая установка, работает на Windows, macOS, Linux, Android и iOS, шифрует имена и содержимое | Нет полноценного поиска по содержимому в облаке, предпросмотр файлов ограничен, нужен отдельный пароль |
| VeraCrypt-контейнер | Один большой зашифрованный файл-контейнер | Большие закрытые архивы, редкое редактирование, перенос между устройствами | Проверенный подход, удобно хранить много файлов в одном «сейфе» | При изменении любого файла облако может синхронизировать весь контейнер; опасно открывать на двух устройствах одновременно |
| rclone crypt | Зашифрованные файлы и имена файлов | Для технически подготовленных пользователей, автоматизации и нестандартных облачных хранилищ | Гибко настраивается, хорошо подходит для скриптов и резервных копий | Нужно работать с командной строкой и аккуратно хранить конфигурацию с ключами |
| 7-Zip или другой архив с AES-256 | Один зашифрованный архив | Редкая отправка или хранение набора файлов, который почти не меняется | Просто, быстро, не требует отдельного виртуального диска | Неудобно для постоянной работы: чтобы изменить один файл, часто приходится пересоздавать архив |
| Встроенное клиентское шифрование Google Workspace или Microsoft 365 | Файлы в привычном интерфейсе, но с управлением ключами | Компании, где есть администратор, политики доступа и требования к合规ности | Лучше вписывается в корпоративный процесс, можно управлять ключами и доступом | Не всегда доступно в личных аккаунтах, требует настройки и проверки совместимости с нужными приложениями |
Что выбрать в зависимости от ситуации
Если вам нужно просто убрать личные документы из открытого доступа в OneDrive или Google Drive, самый понятный вариант — Cryptomator. Он не требует глубокой настройки, создаёт хранилище внутри обычной папки синхронизации и после этого работает почти как отдельный диск.
Если у вас один большой архив, который вы редко меняете, можно использовать VeraCrypt-контейнер. Например, сканы, старые проекты или резервную копию семейных фото. Но не стоит держать такой контейнер открытым на ноутбуке и телефоне одновременно: облачный клиент может поймать конфликт версий, и вы получите повреждённую копию.
Если нужно просто отправить кому-то пакет файлов, проще сделать зашифрованный архив 7-Zip с AES-256. Только не используйте старый ZipCrypto: он давно не считается надёжным. Пароль передавайте отдельным каналом, не в том же письме или сообщении, где ссылка на файл.
Если это корпоративная среда, сначала смотрите в сторону встроенного клиентского шифрования Google Workspace или Microsoft 365. Оно удобнее для управления доступом, ключами, увольнением сотрудников и аудитом. Сторонние «сейфы» на общем пароле в таких случаях быстро становятся проблемой: кто-то уволился, кто-то сменил устройство, кто-то не знает, где лежит ключ.
Рабочая схема настройки для личного использования
- Сначала сделайте резервную копию. Не начинайте с перемещения единственной копии файлов. Скопируйте важные данные на внешний диск или в другое место, чтобы в случае ошибки не потерять доступ.
- Установите инструмент шифрования. Для большинства пользователей я бы начинал с Cryptomator. Установите приложение на те устройства, где вы реально будете работать с файлами.
- Создайте хранилище внутри папки OneDrive или Google Drive. Не создавайте его рядом с папкой синхронизации — именно внутри неё. Например: Google Drive/secure-vault или OneDrive/Private.
- Задайте длинный мастер-пароль. Нормальный вариант — 5–6 случайных слов или длинная уникальная фраза, которую вы не используете больше нигде. Не надо придумывать «P@ssw0rd2026!»: такие пароли легко подбираются.
- Сохраните ключ восстановления. Если инструмент предлагает recovery key, сохраните его в менеджере паролей и сделайте отдельную офлайн-копию: распечатка, внешний диск или сейф. Не кладите ключ в Google Keep, заметки OneNote или файл внутри того же облака.
- Перенесите файлы в открытое хранилище. Смонтируйте vault как диск, скопируйте туда документы, откройте пару файлов и проверьте, что всё читается.
- Удалите открытые оригиналы. После проверки удалите исходные файлы из обычной папки OneDrive или Google Drive, затем очистите корзину в облаке. Иначе через неделю окажется, что «зашифрованная копия» лежит рядом с открытой.
- Проверьте восстановление с другого устройства. Установите приложение на второй компьютер или телефон, подключите хранилище и откройте тестовый файл. Это скучная проверка, но именно она спасает в день, когда всё срочно нужно достать.
Как работать, чтобы не сломать синхронизацию
OneDrive и Google Drive хорошо синхронизируют обычные файлы. С зашифрованными хранилищами есть нюанс: для облака это не «папка с документами», а набор зашифрованных блоков. Поэтому лучше не редактировать одно и то же хранилище одновременно на двух устройствах. Закончили работу — закрыли vault, дождались завершения синхронизации, потом открыли на другом устройстве.
С Cryptomator это обычно проходит спокойно: меняются отдельные зашифрованные файлы. С VeraCrypt-контейнером всё строже. Если вы открыли контейнер на рабочем ноутбуке, внесли изменения, а потом открыли старую копию на домашнем ПК, облако может получить две разные версии одного большого файла. В итоге одна версия затрёт другую или превратится в конфликтную копию.
Функции вроде OneDrive Files On-Demand или кэша Google Drive for Desktop удобны, но помните: файл может временно лежать на диске компьютера. На личном устройстве с включённым BitLocker или FileVault это обычно приемлемо. На общем или корпоративном компьютере лучше не оставлять зашифрованные данные в локальном кэше без необходимости.
Как безопасно делиться зашифрованными файлами
Ссылка на файл в Google Drive или OneDrive в этом случае даёт доступ только к зашифрованным данным. Это хорошо. Но если вы отдельно передадите пароль, получатель сможет открыть содержимое. Поэтому пароль и ссылку нельзя отправлять одним сообщением.
Для разовой передачи сделайте отдельный архив или отдельное хранилище только под этот проект. Не давайте человеку пароль от своего основного vault ради одного файла. После завершения проекта пароль лучше сменить, а для следующей задачи создать новое хранилище.
Если нужна совместная работа с комментариями, правками и историей изменений прямо в интерфейсе Google Docs или Microsoft Office Online, обычное клиентское шифрование будет мешать. Сервис не сможет читать файл, строить предпросмотр, индексировать текст и предлагать умные функции. В таких случаях лучше использовать встроенное клиентское шифрование Google Workspace или Microsoft 365, если оно доступно и настроено администратором.
Частые ошибки
- Пароль хранится в том же облаке. Файл в Google Keep, OneNote или текстовый документ на Google Drive — плохое место для мастер-пароля.
- Оригиналы остались в открытой папке. Человек зашифровал копии, но забыл удалить исходные файлы и очистить корзину.
- Используют Personal Vault как полноценное zero-knowledge шифрование. Это дополнительный замок, но не универсальная замена клиентскому шифрованию.
- Открывают VeraCrypt-контейнер на нескольких устройствах одновременно. Для облачной синхронизации это один из самых быстрых способов получить конфликт версий.
- Передают ссылку и пароль вместе. В таком случае ссылка на облако уже не имеет смысла: злоумышленнику достаточно перехватить одно сообщение.
- Не проверяют восстановление. Хранилище создали, пароль вроде помнят, а через полгода выясняется, что на телефоне оно не подключается.
- Оставляют кэш на чужом компьютере. После работы с чувствительными файлами на общем устройстве нужно выйти из аккаунта, закрыть vault и очистить локальные временные файлы, если это возможно.
- Считают облачную синхронизацию резервной копией. Синхронизация быстро разносит удаление или повреждение по всем устройствам. Для важных данных нужна отдельная резервная копия.
Минимальный безопасный набор
Если не хочется разбираться в деталях, сделайте так:
- создайте Cryptomator-хранилище внутри папки OneDrive или Google Drive;
- задайте уникальный мастер-пароль через менеджер паролей;
- сохраните recovery key офлайн;
- включите двухфакторную аутентификацию в аккаунте Google или Microsoft;
- после переноса файлов удалите открытые оригиналы и очистите корзину;
- раз в несколько


