Ende-zu-Ende Verschlüsselung

Schützt Daten von der Quelle bis zum Ziel

Nextcloud bietet eine nahtlos integrierte Lösung für End-to-End-Verschlüsselung auf Enterprise-Niveau. Derzeit in der Proof-of-Concept-Phase und als Teil von Nextcloud 13 geplant, ermöglicht es Benutzern, einen oder mehrere Ordner auf ihrem Desktop oder mobilen Client für eine End-to-End-Verschlüsselung auszuwählen. Ordner können mit anderen Benutzern geteilt und zwischen Geräten synchronisiert werden, sind aber für den Server nicht lesbar.

Ultimativer Schutz

in action

Nextcloud Ende-zu-Ende-Verschlüsselung bietet den ultimativen Schutz für deine Daten, so dass sie sich für deine privaten Informationen eignen. Verwende es, um eine Kopie des Reisepasses, Passwörter, Führerscheins oder Bankkontodaten zu schützen.

Unternehmen könnten von ihren Mitarbeitern verlangen, dass sie eine Teilmenge der vertraulichsten Informationen client-seitig verschlüsselt aufbewahren. Recherchen, Kundeninformationen oder strategische Dokumente können garantiert vertraulich behandelt werden.

Nahtlose Integration und Benutzerfreundlichkeit mit Schlüsselfunktionen wie Offline-Wiederherstellungsschlüssel, Auditing und HSM-Unterstützung machen Nextcloud End-to-End Encryption zur perfekten Ergänzung zu anderen Nextcloud-Sicherheitsfunktionen, einschließlich serverseitiger Verschlüsselung und Dateizugriffskontrolle.

Kryptographischer Identitätsschutz

Jeder Benutzer erhält eine einzigartige Kombination aus öffentlichem und privatem Schlüssel, wenn er zum ersten Mal eine Ende-zu-Ende-Verschlüsselung aktiviert. Der öffentliche Schlüssel wird an den Server gesendet und in einem Zertifikat signiert. Das Zertifikat wird von den anderen Clients der Benutzer geprüft und von anderen Benutzern verwendet, um verschlüsselte Dateien mit dem ersten Benutzer zu teilen, basierend auf Trust On First Use.

in action

  • Jedes Gerät des Benutzers kann bei der Wiederherstellung seines privaten Schlüssels helfen. Nur wenn ein Schlüssel auf allen Geräten verloren geht UND die 12 sicheren Schlüsselwörter verloren gehen, verliert der Benutzer den Zugriff auf seine Daten. Der optionale Offline-Administrator-Wiederherstellungsschlüssel kann weiterhin verwendet werden, um den Zugriff wiederherzustellen.
  • Standardmäßig können Schlüssel nicht geändert werden, um die Identität der Benutzer vor Hackerangriffen zu schützen, wenn der Server kompromittiert wird. Wenn sich der Schlüssel ändern könnte, könnte ein Hacker ein neues Zertifikat für den Benutzer ausstellen und die Clients antworten lassen, indem sie Daten mit dem neuen, kompromittierten Schlüssel erneut verschlüsseln.
  • Der Prozess ermöglicht ein vollständiges Audit-Protokoll, das für den Einsatz im Unternehmen von entscheidender Bedeutung ist.
  • Das Zertifikat kann optional von einem Hardware-Sicherheitsmodul ausgestellt werden, so dass es möglich ist, neue Zertifikate für bestehende Benutzer auf sichere Weise auszustellen.

Hol' dir unser Whitepaper

Verschlüsselungslösung für Unternehmen

Nextcloud bietet eine äußerst benutzerfreundliche, gut integrierte Lösung für die Synchronisierung und Freigabe von Dateien mit einem einzigartigen mehrschichtigen Sicherheitsansatz. Unsere Lösung bietet tiefe Infrastrukturintegration mit Unterstützung für nahezu jede Speichertechnologie und kombiniert sie mit leistungsstarker serverseitiger Verschlüsselung und End-to-End-Verschlüsselung in den Clients, die beide granular angewendet werden können.

Anstatt es zu einer Entweder-Oder-Option zu machen, können sich Unternehmen auf höchste Sicherheit dort verlassen, wo sie gebraucht wird, aber die kollaborative Bearbeitung von Online-Dokumenten und die Volltextsuche auf dem Server über den Rest der gespeicherten Daten hinweg beibehalten.

in action

Anwendungsfälle

Benutzer können auf Daten auf einem FTP-Laufwerk zugreifen, das mit einem anderen Unternehmen geteilt wird; während Daten, die auf einem externen S3-kompatiblen Objektspeicher gespeichert sind, mit serverseitiger Verschlüsselung verschlüsselt werden können, so dass der Speicheranbieter keine Möglichkeit hat, ihre Sicherheit zu gefährden.

Mit Hilfe derNextcloud File Access Control-Funktionalität können Dateien aus der Personalabteilung jederzeit durchgesetzt werden, damit sie auf ihren Clients durchgängig verschlüsselt werden und ihre Daten selbst im schlimmsten Fall eines vollständigen Serverbruchs geschützt sind. Ebenso kann sichergestellt werden, dass sensible Recherchen, Kundeninformationen oder strategische Dokumente auch vor Serveradministratoren geschützt sind.

Technischer Hintergrund

Nachfolgend findest du einige der Grundlagen unseres Designs. Lade unser Whitepaper herunter, um weitere Details zu erfahren.

Anforderungen

Unser Ziel war es, die folgenden kaufmännischen und technischen Kriterien zu erfüllen.

  • Sicherheitseigenschaften: Niemals Verzeichnisstruktur, Dateinamen oder Dateiinhalte an den Server weitergeben. Verschlüssele Ordner so, dass nur berechtigte Empfänger Zugriff haben, die Datenintegrität gewährleistet ist und die Authentizität nachgewiesen werden kann. Optionaler zentraler Datenwiederherstellungsschlüssel sollte möglich sein. Benutzer sollten gewarnt werden, wenn sie in Gebrauch sind.
  • Verwende weit verbreitete und getestete Bibliotheken für Krypto-Primitive, verfügbar für iOS 9+, Android 6.0+, Mac OS X 10.9+, Windows 7+, Linux und PHP 7.0+.
  • Die Freigabe auf Ordnerebene muss für einzelne Benutzer möglich sein. Es sollten keine Passwörter für die Freigabe ausgetauscht werden müssen. Der Schlüsselaustausch sollte prüfbar sein. Das Hinzufügen von Geräten sollte einfach sein und neue Geräte sollten Zugriff auf alle zuvor verschlüsselten Daten haben.
  • Das Protokoll muss Versionierung unterstützen, falls es in Zukunft Änderungen an Metadaten oder Krypto-Handling geben sollte. Das Design sollte ein Hardware-Sicherheitsmodul unterstützen, das eine starke Authentifizierung, Manipulationssicherheit und einen vollständigen Audit-Trail bietet.

Akzeptierter Funktionsverlust

Wir akzeptieren den Verlust der folgenden Funktionen:

  • Serverseitiger Papierkorb
  • Serverseitige Versionierung
  • Serverseitige Suche
  • Serverseitige Vorschauen
  • Dateizugriff über Webinterface
  • Teilen für Gruppen
  • Teilen auf der Ebene einzelner Dateien

in action

Verschlüsselung aktivieren

Die Verschlüsselung basiert auf einem asymmetrischen kryptographischen System. Jeder Benutzer hat genau ein privates und ein öffentliches Schlüsselpaar.

Der Schlüsselgenerierungsprozess wurde entwickelt, um den Inhalt des privaten Schlüssels vom Server fernzuhalten und gleichzeitig die Sicherheit zu gewährleisten, so dass er mit anderen Geräten, die der Benutzer besitzt, synchronisiert werden kann. Einige andere Eigenschaften des Prozesses:

  • Der Benutzer erstellt eine Identität, die vom Server (mit einem Zertifikat) signiert und mit seinem öffentlichen Schlüssel verknüpft wird. Benutzer können nur eine Identität haben, andere Kunden verweigern die Annahme eines neuen Zertifikats nach dem Trust on First Use (TOFU)-Modell. Dies schützt Daten vor einem bösartigen Server, der versucht, eine neue Identität für einen Zielbenutzer zu generieren und Clients dazu zu bringen, die Daten erneut zu verschlüsseln.
  • Falls ein Benutzer sein Gerät verliert, kann er es mit Hilfe der mnemotechnischen Passphrase leicht wiederherstellen. Die mnemotechnische Passphrase kann auch in den Client-Einstellungen angezeigt werden, falls der Benutzer seine mnemotechnische Anweisung vergessen hat. Die Anzeige der Gedächtnisstütze erfordert die erneute Eingabe der PIN/Fingerprint auf mobilen Endgeräten.
  • Die Freigabe auf Ordnerebene muss für einzelne Benutzer möglich sein. Es sollten keine Passwörter für die Freigabe ausgetauscht werden müssen. Der Schlüsselaustausch sollte prüfbar sein. Das Hinzufügen von Geräten sollte einfach sein und neue Geräte sollten Zugriff auf alle zuvor verschlüsselten Daten haben.
  • Das Protokoll muss Versionierung unterstützen, falls es in Zukunft Änderungen an Metadaten oder Krypto-Handling geben sollte. Das Design sollte ein Hardware-Sicherheitsmodul unterstützen, das eine starke Authentifizierung, Manipulationssicherheit und einen vollständigen Audit-Trail bietet.

in action

Verschlüsseln von Dateien

Das Erstellen eines End-to-End verschlüsselten Ordners erfolgt durch Markieren eines leeren Ordners als End-to-End verschlüsselt, Erstellen von Metadaten, Verschlüsseln und Hochladen. Der Prozess ist durch Sperren geschützt, wobei der Client eine Sperre vom Server anfordert und nach Abschluss aller Änderungen wieder freigibt.

Die Dateien werden jeweils mit einem eigenen, eindeutigen Schlüssel verschlüsselt, der in der Metadaten-Datei gespeichert wird. Alle Daten in der Metadaten-Datei sind ihrerseits sicher verschlüsselt und Dateinamen und Verzeichnisstrukturen werden ebenfalls vor dem Server versteckt, wobei für jede Datei eine eindeutige UUID als Name verwendet wird.

You have javascript disabled. We tried to make sure the basics of our website work but some functionality will be missing.

This website is using cookies. That's Fine