Cryptomator review — cloudopslag versleutelen zonder de provider te vertrouwen
Voor wie is dit? Voor wie een clouddienst gebruikt — Dropbox, OneDrive, iCloud, Nextcloud — en de cloudprovider niet wil vertrouwen met leesbare bestanden. Cryptomator versleutelt bestanden lokaal voordat ze worden gesynchroniseerd.
Cryptomator review
Voor wie is dit? Voor wie een clouddienst gebruikt — Dropbox, OneDrive, iCloud, Nextcloud — en de cloudprovider niet wil vertrouwen met leesbare bestanden. Cryptomator versleutelt bestanden lokaal voordat ze worden gesynchroniseerd.
Cryptomator lost een specifiek probleem op: cloudopslag is handig, maar de provider heeft technisch gezien toegang tot je bestanden. Cryptomator voegt een versleutelde laag toe aan je bestaande cloudsync zonder dat je van dienst hoeft te wisselen.
Open-source (GPLv3 voor de desktop-app), gemaakt door het Duitse bedrijf Skymatic, en controleerbaar door onafhankelijke partijen.
Hoe het werkt
Cryptomator maakt een kluis aan — een map op je schijf. Je opent de kluis met een wachtwoord, waarna hij als een gewone schijf verschijnt in je bestandsverkenner. Alles wat je daarin opslaat, wordt versleuteld voordat het de map raakt.
Die versleutelde map zet je in je cloudsyndicmap (je Dropbox-map, OneDrive-map, etc.). De cloudsync kopieert dan versleutelde bestanden naar de server — de provider ziet alleen onleesbare data.
De sleutel verlaat je apparaat nooit. Cryptomator versleutelt lokaal; de cloudserver slaat alleen het versleutelde resultaat op.
Vergelijking met alternatieven
| Cryptomator | VeraCrypt container in cloud | Proton Drive | Tresorit | |
|---|---|---|---|---|
| Cloudprovider-agnostisch | Ja — werkt met elke dienst | Ja | Nee — eigen dienst | Nee — eigen dienst |
| Bestandsgewijze sync | Ja | Nee — hele container | Ja | Ja |
| Open-source | Ja (GPLv3 desktop) | Ja | Gedeeltelijk | Nee |
| Gratis op desktop | Ja | Ja | Beperkt (gratis laag) | Nee |
| Mobiel | Betaalde unlock (~€15) | Niet praktisch | Ja | Ja |
| Eigen cloudinfra nodig | Nee | Nee | Ja | Ja |
VeraCrypt-kanttekening: een VeraCrypt-container in een cloudmap werkt technisch, maar is onpraktisch voor dagelijkse sync — de hele container moet opnieuw gesynchroniseerd worden bij elke wijziging, ook als je één bestand aanpaste. Cryptomator versleutelt per bestand, waardoor incrementele sync goed werkt.
Welke clouddiensten worden ondersteund
Cryptomator werkt met elke dienst die bestanden lokaal synchroniseert via een map op je schijf:
- Dropbox — via de Dropbox desktop-app
- OneDrive — via de OneDrive desktop-app
- Google Drive — via Google Drive voor Desktop
- iCloud Drive — op macOS via de iCloud-map
- Nextcloud — via de Nextcloud desktop-client
En ook met elk ander sync-mechanisme dat een lokale map gebruikt, inclusief SFTP-mounts of NAS-mappen.
Mobiel: betaalde unlock
De Cryptomator mobiele apps bestaan voor Android en iOS, maar vereisen een eenmalige betaalde unlock:
- Android: via Google Play of via F-Droid (voeg de Cryptomator repository toe via cryptomator.org/android/) — betaald unlock (~€30)
- iOS: via de App Store — betaald unlock (~€30)
Dit is een bewuste keuze van Skymatic: de desktop-app is gratis en open-source; de mobiele betaaldrempel financiert de ontwikkeling. Voor gebruikers die alleen op desktop werken is er geen kostendrempel.
Audit
Cryptomator is onafhankelijk geauditeerd door Cure53 in 2017. Het auditrapport is publiek beschikbaar via cryptomator.org. Één bevinding was als “Critical” geclassificeerd — een PGP-sleutel was per ongeluk in een publieke GitHub-repository terechtgekomen. De sleutel was met een wachtwoord beveiligd en had geen invloed op de beveiliging van eindgebruikers; de cryptografische implementatie zelf werd als uitzonderlijk sterk beoordeeld.
De broncode is openbaar op GitHub en onafhankelijk controleerbaar.
Aan de slag
Installeren:
- Windows / macOS / Linux: download via cryptomator.org/downloads/
- Linux (Flatpak): via Flathub:
flatpak install flathub org.cryptomator.Cryptomator
Een kluis aanmaken:
- Open Cryptomator → “Nieuwe kluis toevoegen”
- Kies een naam voor je kluis
- Sla de kluis op binnen je cloudsynmap (bijv.
~/Dropbox/MijnKluis/of~/OneDrive/MijnKluis/) - Kies een sterk wachtwoord — dit is de enige sleutel; geen herstel mogelijk zonder
- Kluis aangemaakt — ontgrendelen via het slot-icoon
Openen en gebruiken:
- Open Cryptomator → klik “Ontgrendelen” naast je kluis
- Voer je wachtwoord in
- De kluis verschijnt als een schijf in je bestandsverkenner
- Sla bestanden op zoals normaal — versleuteling is transparant
- Vergrendel daarna via Cryptomator
Bestaande bestanden overzetten:
Versleuteling werkt alleen op bestanden die je in de ontgrendelde kluis opslaat. Bestaande bestanden in je cloudmap zijn niet automatisch versleuteld — kopieer ze handmatig de kluis in.
Kanttekeningen
Wachtwoordverlies is fataal: Cryptomator bewaart de sleutel nergens. Als je je wachtwoord vergeet, zijn je bestanden permanent ontoegankelijk. Gebruik een wachtwoordmanager voor het kluiswachtwoord.
Herstelsleutel: bij het aanmaken van een kluis biedt Cryptomator een herstelsleutel aan — een reeks woorden. Sla die op in je wachtwoordmanager of op papier op een veilige plek. Dit is de enige nooduitweg bij wachtwoordverlies.
Synchronisatieproblemen bij conflict: als dezelfde kluis op meerdere apparaten tegelijk open staat en dezelfde bestanden worden gewijzigd, kan je cloudsync conflictbestanden aanmaken. Houd niet dezelfde kluis op meerdere apparaten tegelijk ontgrendeld.
Zoekopdrachten werken niet in de cloud: de versleutelde bestanden in de cloud zijn onleesbaar voor de zoekfunctie van Dropbox of OneDrive. Zoeken werkt alleen terwijl de kluis op het lokale apparaat ontgrendeld is.
Mobiele kosten: de betaalde unlock (~€30) is eenmalig, maar is een drempel voor wie alleen mobiel werkt. Voor desktop-only gebruik is er geen kostendrempel.
Voordelen en nadelen
Voordelen
- Werkt met elke bestaande clouddienst — geen provider-wisseling nodig
- Per-bestand versleuteling — incrementele sync blijft efficiënt
- Open-source (GPLv3), meerdere keren onafhankelijk geauditeerd
- Desktop volledig gratis
- Skymatic is een Duits bedrijf — geen Amerikaanse jurisdictie
Nadelen
- Mobiele app vereist eenmalige betaalde unlock (~€30)
- Wachtwoordverlies = permanent gegevensverlies — geen herstel zonder herstelsleutel
- Cloud-zoekfunctie werkt niet op versleutelde bestanden
- Geen bescherming als je apparaat zelf gecompromitteerd is (zoals alle client-side encryptie)
Conclusie
Cryptomator is de meest praktische manier om een bestaande clouddienst te versleutelen zonder van provider te wisselen. Het past in een bestaande workflow zonder extra abonnementen of nieuwe diensten.
De enige echte drempel is de mobiele unlock-betaling — voor desktop-gebruik is de instap laag en de aanpak solide.
Als je al een clouddienst gebruikt en de provider niet wilt vertrouwen met leesbare bestanden: begin hier.
Volgende stap
Heb je Cryptomator gekozen?
- Wachtwoordmanager kiezen — het kluiswachtwoord van Cryptomator moet in een wachtwoordmanager; dit helpt je kiezen welke
Vergelijkbare opties
- VeraCrypt review — voor lokale versleutelde containers en volledige schijfversleuteling zonder cloud
- Proton Drive review — als je liever van clouddienst wisselt dan een versleutelingslaag toevoegt
- Tresorit review — end-to-end versleutelde clouddienst als alternatief voor Proton Drive
Wil je verder gaan?
- Backup implementatie — Cryptomator versleutelt cloudopslag maar vervangt geen backup; lokale kopieën blijven noodzakelijk
- VeraCrypt: versleutelde opslag — voor gebruik waarbij je de cloud niet nodig hebt