whisply logo

Verschicken Sie Dateien geschützt mit echter Ende-zu-Ende-Verschlüsselung direkt aus dem Browser mit Whisply.

Jetzt ausprobieren

Technischer Überblick

Technischer Überblick

Wenn Sie sich dafür interessieren, wie die Verschlüsselung von Boxcryptor funktioniert, wie wir Nutzer verwalten oder wie wir Passwörter schützen, dann sind Sie hier richtig.


Schlüsselglossar – Verschiedene Schlüssel und deren Funktion

Jeder Nutzer, jede Gruppe und jede Firma hat dieselbe Menge an Schlüsseln, welche aus einem RSA Schlüsselpaar (privater und öffentlicher Schlüssel) und zusätzlichen AES-Schlüsseln besteht. Firmenschlüssel sind dabei optional und nur verfügbar wenn die Firmenschlüssel-Richtlinie verwendet wird.

Nutzer-, Gruppen- und Firmenschlüssel

Nutzerschlüssel
Jeder Nutzer hat AES-Schlüssel sowie ein eigenes RSA-Schlüsselpaar – einen privaten und einen öffentlichen Schlüssel.

Gruppenschlüssel
Jede Gruppe hat AES-Schlüssel sowie ein eigenes RSA-Schlüsselpaar – einen privaten und einen öffentlichen Schlüssel. Außerdem hat jede Gruppe ihren eigenen, eindeutigen und zufällig generierten Mitgliedschaftsschlüssel.

Firmenschlüssel
Wenn eine Firma die Firmenschlüssel-Richtlinie aktiviert, besitzt auch sie ein eigenes RSA-Schlüsselpaar – einen privaten und einen öffentlichen Schlüssel.

Boxcryptor verwendet zusätzliche AES-Schlüssel für spezifische Aufgaben. Es kommt nicht vor, dass Schlüssel für mehrere Zwecke wiederverwendet werden. Derzeit werden die folgenden zusätzlichen AES-Schlüssel in Boxcryptor verwendet. Diese Liste kann erweitert werden, falls neue Funktionalitäten dies erfordern.

Zusätzliche AES-Schlüssel

Dateischlüssel
Jede Datei hat ihren eigenen AES-Schlüssel mit dem die Datei ver- und entschlüsselt wird.

Passwortschlüssel
Ein AES-Schlüssel, der vom Passwort des Nutzers abgeleitet wurde. Für diesen wird PBKDF2 mit HMACSHA512, 10.000 Iterationen und einem 24 Byte Salt verwendet.

Mantelschlüssel
Dieser Schlüssel ist der Hauptschlüssel, der dazu dient alle weiteren AES-Schlüssel zu verschlüsseln.

Dateinamenschlüssel
Dieser Schlüssel wird für die Verschlüsselung von Dateinamen verwendet falls diese aktiviert ist.

Gruppenschlüssel
Dieser Schlüssel wird dazu verwendet, den Mitgliedschaftsschlüssel zusätzlich zur Verschlüsselung mit dem öffentlichen RSA-Schlüssel auch per AES zu verschlüsseln um den Anmeldevorgang zu beschleunigen.


Boxcryptor-Server – Welche Daten wir speichern

Alle Daten, die auf unseren Servern gespeichert werden, sind geschützt und sicher. Um ein möglichst nahtloses Bedienerlebnis von Boxcryptor über verschiedene Geräte zu ermöglich, müssen wir eine kleine Menge an Nutzerdaten auf unserem Server speichern.

Allgemeine Nutzerdaten, die gespeichert werden

Wir speichern eine kleine Menge allgemeiner Informationen von jedem Nutzer, jeder Gruppe und jeder Firma auf unseren Servern. Die Informationen sind notwendig, um Sie bei Anmeldung zu authentifizieren.

  • E-Mail-Adresse
  • Vor- und Nachname
  • Land
  • etc.

Schlüssel und weitere gespeicherte Werte

Zusätzlich speichern wir von uns erstellte und für die Verschlüsselung notwendige Daten und Schlüssel von Nutzern, natürlich ebenfalls bestmöglich geschützt.

  • Privater RSA-Schlüssel, verschlüsselt mit Ihrem Passwort
  • Öffentlicher RSA-Schlüssel
  • AES-Schlüssel, verschlüsselt mit Ihrem Passwort bzw. Mantelschlüssel.
  • Hashwert des Passwort-Hashwerts
  • Anzahl der KDF-Iterationen die in der Funktion zur Schlüsselerstellung genutzt wurden
  • Salt
  • Wenn eine Organisation einen Firmenschlüssel nutzt: Passwortschlüssel (verschlüsselt mit dem öffentlichen RSA Firmenschlüssel)

Daten, die bei Gruppenmitgliedschaft gespeichert werden

Wenn Sie Mitglied einer Gruppe sind, werden weitere zusätzliche Schlüssel gespeichert.

  • Privater RSA-Schlüssel, verschlüsselt mit dem Mitgliedschaftsschlüssel
  • Öffentlicher RSA-Schlüssel
  • AES-Schlüssel, verschlüsselt mit dem Mitgliedschaftsschlüssel bzw. Mantelschlüssel
  • Mitgliedschaftsschlüssel, verschlüsselt mit den öffentlichen RSA-Schlüsseln aller Mitglieder
  • Mitgliedschaftsschlüssel, optional – per AES verschlüsselt mit den Gruppenschlüsseln aller Mitglieder

Daten, die bei Nutzung des Firmenpakets gespeichert werden

Bei der Nutzung des Firmenpakets werden weitere notwendige Daten gespeichert.

  • Privater RSA-Schlüssel, verschlüsselt mit dem Passwort der Firmenadministration
  • Öffentlicher RSA-Schlüssel
  • Liste der Nutzer
  • Die von der Firma aktivierten Richtlinien

Datenschutz – Wie Ihre Daten auf unseren Servern geschützt werden

Aufgrund der Zero-Knowledge-Eigenschaft von Boxcryptor ist jegliche sensible Information, die an den Boxcryptor-Server geschickt wird, entweder bereits verschlüsselt – wie z.B. die privaten RSA-Schlüssel – oder nicht abrufbar – wie z.B. der Passwort-Hash. Alle Daten sind somit geschützt, sobald sie Ihr Gerät verlassen.

Um die Sicherheit noch weiter zu erhöhen, werden sensible Informationen und persönliche Daten zusätzlich verschlüsselt, bevor diese in der Datenbank gespeichert werden. Der Datenbankschlüssel ist für die Anwendung nur während der Laufzeit verfügbar (?). Sollte es einem Angreifer gelingen, die Datenbank anzugreifen, hätte dieser nur Zugriff auf verschlüsselte Daten.

Von den Daten, die wir speichern, sind Ihre E-Mail-Adresse, Ihr Privater RSA-Schlüssel und Ihr Passwort die sensibelsten Informationen. Diese werden folgendermaßen geschützt.

E-Mail-Adresse

Die E-Mail-Adresse user(at)example.org wird in der Datenbank als folgender String abgespeichert: SLMIL5crw/YIWDoZLU5ehifcoOsTsyg

Privater RSA-Schlüssel

Ihr privater Schlüssel wurde bereits auf Ihrem Gerät mit Ihrem Passwort verschlüsselt. Der verschlüsselte private Schlüssel wird nochmals zusätzlich mit dem Datenbankschlüssel verschlüsselt.

Passwort

Das Passwort wird bereits auf Ihrem Gerät gehasht und wird auf unserem Server erneut gehasht. Danach wird der Hashwert dieses Passwort-Hashes mit dem Datenbankschlüssel verschlüsselt.


Datenschutz+ durch Zero Knowledge – Volle Kontrolle über Ihre Daten

Boxcryptor ist ein Zero-Knowledge-Anbieter (wörtliche Übersetzung: “Keine Kenntnis”), da alle private und sensible Informationen der Nutzer nur verschlüsselt an Boxcryptor übertragen werden – geschützt mit dem Passwort des Nutzers. Dieses wird ebenfalls zu keinen Zeitpunkt an uns oder an Dritte übertragen. Das Besondere an Zero Knowledge ist, dass wir Ihr Passwort nicht kennen und dadurch zu keinem Zeitpunkt auf Ihre Daten zugreifen können.

Passwörter, Passwortschlüssel und Dateischlüssel verlassen zu keinem Zeitpunkt das Gerät des Nutzers. Nutzer-, Gruppen- und Firmenschlüssel hingegen werden verschlüsselt auf dem Boxcryptor-Server gespeichert. Alle Verschlüsselungsoperationen werden immer direkt auf Ihrem Gerät ausgeführt und niemals auf unseren Servern.

Der Ausgangspunkt für jede Entschlüsselung ist der Passwortschlüssel eines Nutzers, da dieser benötigt wird, um den privaten Schlüssel und den Mantelschlüssel zu entschlüsseln. Der private Schlüssel und der Mantelschlüssel entschlüsseln wiederum alle anderen Schlüssel im System (AES-Schlüssel, Dateischlüssel, Mitgliedschaftsschlüssel, Gruppenschlüssel etc.). Somit ist Boxcryptor ein Zero-Knowledge-Anbieter, obwohl Ihre Schlüssel auf dem Boxcryptor-Server gespeichert werden. Denn die privaten Schlüssel werden bereits nur in verschlüsselter Form übertragen.

Die einzigen Schlüssel, die unverschlüsselt auf dem Boxcryptor Schlüsselserver gespeichert werden, sind öffentliche Schlüssel. Diese enthalten keinerlei vertrauliche Informationen und müssen daher nicht geheim gehalten werden.


Passwortsicherheit – So schützen wir Ihr Passwort

Ihr Passwort verlässt zu keinem Zeitpunkt Ihr Gerät. Jedoch wird das Passwort des Nutzers für zwei Zwecke benötigt: Die Authentifizierung des individuellen Nutzers und die Entschlüsselung des privaten Schlüssels. In beiden Fällen verwendet Boxcryptor nicht das Passwort selber, sondern Ableitungen des Passwortes: den Passwortschlüssel und den Passwort-Hash.

Passwortschlüssel

Boxcryptor nutzt den PBKDF2 Standard mit HMACSHA512, 10.000 Iterationen und einem zufälligen 24 Byte Salt um einen sicheren Passwortschlüssel von dem Passwort abzuleiten. Der Passwortschlüssel wird genutzt um den privaten RSA-Schlüssel zu entschlüsseln.

Passwort-Hash

Für die Ableitung des Passwort-Hashes wird ebenfalls PBKDF2 mit HMACSHA512 und 5000 Iterationen genutzt, allerdings mit einem anderen Salt. Um den Passwort-Hash abzuleiten, wird ein Salt genutzt, der aus einer Kombination der E-Mail-Adresse des Nutzers und einer weiteren anwendungsspezifischen Komponente gebildet wird.

Zusammengefasst wird Ihr Passwort gehasht und in dieser gehashten Form an uns geschickt, wenn Sie sich beim Anmelden in der Software mit Ihrem Passwort authentifizieren. Bevor der Hashwert in unserer Datenbank gespeichert wird, hashen wir ihn erneut, sodass potentielle Angreifer es noch schwerer haben, Ihr Passwort herauszufinden.


Wie die Nutzer-, Gruppen- und Firmenverwaltung funktioniert

Sobald Sie ein Boxcryptor-Konto erstellen und Sie über Ihre E-Mail-Adresse und Ihren Schlüssel eindeutig identifizierbar sind, gelten Sie als Boxcryptor-Nutzer.

Ihre Schlüssel werden auf Ihrem Gerät generiert (Ihrem PC, Smartphone oder Tablet), wenn Sie Ihr Konto erstellen. Bevor Ihre Schlüssel an den Boxcryptor-Server übertragen werden, werden alle sensiblen Daten verschlüsselt oder gehasht, so dass Sie allein Zugriff darauf haben.

Alle AES-Schlüssel werden mit dem Mantelschlüssel verschlüsselt. Ihr privater RSA-Schlüssel und Ihr Mantelschlüssel werden mit Ihrem Passwortschlüssel verschlüsselt. Somit können diese Schlüssel von niemandem entschlüsselt werden, der Ihr Passwort nicht kennt.

Gruppenverwaltung

Eine Gruppe ist eine Anzahl von Nutzern die aufgrund von Zugehörigkeit zu einer Gruppe im Besitz von Gruppenschlüsseln ist. Jede Gruppe verfügt über einen Mitgliedschaftsschlüssel, der benötigt wird, um die Gruppenmitgliedschaften zu verwalten.

Die Gruppenschlüssel werden auf dem Gerät des Nutzers generiert, wenn der Nutzer eine neue Gruppe erstellt. Bevor die Schlüssel an den Boxcryptor-Schlüsselserver übertragen werden, werden sensible Informationen verschlüsselt, so dass lediglich der Nutzer, der die Gruppe erstellt hat, darauf Zugriff hat.

Alle AES-Schlüssel werden mit dem Mantelschlüssel verschlüsselt. Der private RSA-Schlüssel und der Mantelschlüssel werden mit dem Mitgliedschaftsschlüssel verschlüsselt. Nur wer Gruppenmitglied ist und somit über Mitgliedschaftsschlüssel verfügt, kann Gruppeninhalte entschlüsseln.

Der Mitgliedschaftsschlüssel wird mit dem öffentlichen RSA-Schlüssel der einzelnen Gruppenmitglieder verschlüsselt, sodass die Gruppenmitglieder den Mitgliedschaftsschlüssel mit ihrem privaten RSA-Schlüssel entschlüsseln können. So erhalten die einzelnen Gruppenmitglieder Zugriff auf die Daten der Gruppe.

Um den Anmeldevorgang zu beschleunigen, wird der Mitgliedschaftsschlüssel bei der nächsten Möglichkeit – zum Beispiel bei der nächsten Anmeldung – zusätzlich mit dem Gruppenschlüssel der Nutzer per AES verschlüsselt. Wenn der Mitgliedschaftsschlüssel auch in AES-verschlüsselter Form vorliegt, kann bei nachfolgenden Anmeldevorgängen eine Entschlüsselung per AES – anstelle von RSA – durchgeführt werden, was deutlich schneller ist.

Firmenverwaltung

Nutzer und Gruppen können einer Firma zugeordnet sein. Diese besitzt einen Firmenschlüssel. Eine Firma kann eigene Richtlinien festlegen, die dann auf alle Nutzer und Gruppen die dieser Firma zugeordnet sind angewendet werden, wie zum Beispiel eine Mindestpasswortlänge.
Die Firmenschlüssel werden während der Erstellung des Firmenkontos auf dem Gerät des Nutzers erstellt. Bevor die Schlüssel an den Boxcryptor-Schlüsselserver übertragen werden, werden die sensiblen Informationen verschlüsselt, sodass nur der Administrator der Firma Zugriff darauf hat.

Der private RSA-Firmenschlüssel wird mit einem speziellen Firmenverwaltungs-Passwortschlüssel chiffriert. Daher ist die Kenntnis dieses Passwortes erforderlich, um den privaten RSA-Firmenschlüssel zu dechiffrieren. Eine Firma besitzt keine zusätzlichen AES-Schlüssel.

HINWEIS: Die zusätzlichen AES-Schlüssel wurden nach dem initialen Release von Boxcryptor eingeführt und bestehende Accounts werden im Laufe der Zeit aktualisiert. Zum Zwecke der Rückwärtskompatibilität ist der Dateinamenschlüssel zusätzlich mit dem öffentlichen RSA Schlüssel verschlüsselt - dieser wurde in vorigen Versionen dieser Dokumentation als "AES Schlüssel" bezeichnet.


Wie ein Nutzer authentifiziert wird

Wenn ein Nutzer ein Boxcryptor-Konto erstellt, leitet Boxcryptor den Passwort-Hash vom Passwort des Nutzers ab. Dieser Passwort-Hash wird für alle anschließenden Authentifizierungsoperationen verwendet. Auf dem Boxcryptor-Server wird nur ein Hash des Passwort-Hashes gespeichert – der Passwort-Hash selbst wird niemals gespeichert.

Ein Nutzer erstellt sein Boxcryptor-Konto

  1. Der Passwort-Hash wird vom Passwort abgeleitet.
  2. Der Passwort-Hash (nicht das Passwort selbst) wird an den Boxcryptor-Server geschickt
  3. Auf dem Server wird der Passwort-Hash erneut mit PBKDF2 und HMACSHA512 mit 10.000 Iterationen und einem zufälligen 24-Byte-Salt des Nutzers gehasht.
  4. Auf dem Server wird das gehashte Passwort verschlüsselt in der Datenbank gespeichert.

Ein Nutzer meldet sich mit seinem bestehenden Konto an

  1. Der Passwort-Hash wird vom Passwort abgeleitet.
  2. Die E-Mail-Adresse und der Passwort-Hash werden an den Boxcryptor Schlüsselserver geschickt.
  3. Auf dem Server wird der Passwort Hash erneut mit PBKDF2 und HMACSHA512, 10.000 Iterationen und einem zufälligen 24 Byte Salt des Nutzers gehasht.
  4. Auf dem Server wird der gehashte Passwort Hash mit dem in der Datenbank gespeicherten Wert verglichen. Wenn die Werte übereinstimmen, dann hat der Nutzer das richtige Passwort eingegeben und sich erfolgreich authentifiziert. Wenn die Werte nicht übereinstimmen, dann ist das eingegebene Passwort falsch.

Anmerkung: Dieser Prozess ist nur nötig, um den Nutzer gegenüber dem Boxcryptor-Server zu authentifizieren – nicht um Zugriff auf die verschlüsselten Dateien zu erlangen. Der Zugriff auf die verschlüsselten Dateien ist nur möglich, wenn der private Schlüssel korrekt entschlüsselt wird. Hierzu ist die Kenntnis des korrekten Passwortes erforderlich.

Auch wenn es einem Angreifer möglich wäre, sich unrechtmäßig zu authentifizieren (zum Beispiel indem der Boxcryptor-Server gehackt wird), kann er keine einzige Datei entschlüsseln, da er dazu das Passwort benötigt, das nur dem Nutzer bekannt ist.


Wie Boxcryptor Dateien ver- und entschlüsselt

Boxcryptor implementiert einen kombinierten Verschlüsselungsprozess basierend auf asymmetrischer RSA und symmetrischer AES Verschlüsselung. Jede Datei hat ihren eigenen, eindeutigen und zufällig generierten Dateischlüssel der bei der Erstellung der Datei generiert wird. Der Dateischlüssel wird dazu genutzt, die Inhalte der Datei wie folgt zu ver- und entschlüsseln:

Verschlüsselung

  1. Boxcryptor erstellt einen sicheren zufälligen Dateischlüssel.
  2. Der Klartext wird mit dem Dateischlüssel verschlüsselt.
  3. Der Dateischlüssel wird mit dem öffentlichen Schlüssel des Nutzers verschlüsselt.
  4. Der verschlüsselte Dateischlüssel wird mit den verschlüsselten Inhalten in der verschlüsselten Datei gespeichert.
  5. Wenn mehrere Nutzer Zugriff auf eine Datei haben, wird der Dateischlüssel mit dem öffentlichen Schlüssel jedes Nutzers verschlüsselt und die Ergebnisse dieser Verschlüsselung werden in der verschlüsselten Datei gespeichert.

Entschlüsselung

  1. Boxcryptor entschlüsselt den verschlüsselten Dateischlüssel mit dem privaten Schlüssel des Nutzers.
  2. Die chiffrierten Daten werden mithilfe des Dateischlüssels entschlüsselt.

Für die Verschlüsselung verwendete Algorithmen

  1. AES mit einer Schlüssellänge von 256 Bit, CBC (Cipher Block Chaining) und PKCS7 Padding.
  2. RSA mit einer Schlüssellänge von 4096 Bit und OAEP Padding.

Die Zugriffsfreigabe – So funktioniert das Teilen von Berechtigungen und Daten

Welche Prozesse führt Boxcryptor aus, wenn Sie einem Kollegen die Berechtigung erteilen, dass er auf eine Datei oder einen Ordner zugreifen darf? Was passiert, wenn Sie den Zugriff auf eine Datei mit einer Gruppe teilen, in der Ihr Kollege Mitglied ist? Nehmen wir mal an, Ihr Name ist Alice und Ihr Kollege heißt Bob.

Teilen der Zugriffsfreigabe mit einer Person

  1. Alice möchte Bob Zugriff auf eine Datei geben und fordert dafür Bobs öffentlichen Schlüssel vom Boxcryptor-Server an.
  2. Alice verschlüsselt den Dateischlüssel mit Bobs öffentlichem Schlüssel.
  3. Alice speichert den neuen verschlüsselten Dateischlüssel in der verschlüsselten Datei.
  4. Der Cloud-Speicheranbieter synchronisiert die bearbeitete, verschlüsselte Datei.
  5. Bob entschlüsselt den Dateischlüssel mit seinem privaten Schlüssel.
  6. Bob entschlüsselt die Datei mit dem Dateischlüssel.

Teilen der Zugriffsfreigabe mit einer Gruppe

  1. Alice möchte einer Gruppe Zugriff auf eine Datei geben und fordert dafür den öffentlichen Gruppenschlüssel vom Boxcryptor-Server an.
  2. Alice verschlüsselt den Dateischlüssel mit dem öffentlichen Gruppenschlüssel.
  3. Alice speichert den neuen verschlüsselten Dateischlüssel in der verschlüsselten Datei.
  4. Der Cloud-Speicheranbieter synchronisiert die bearbeitete verschlüsselte Datei.
  5. Bob, der Mitglied in der Gruppe ist, entschlüsselt den Mitgliedschaftsschlüssel der Gruppe mit seinem privaten Schlüssel.
  6. Bob entschlüsselt den privaten Gruppenschlüssel mit dem Mitgliedschaftsschlüssel.
  7. Bob entschlüsselt den Dateischlüssel mit dem privaten Gruppenschlüssel.
  8. Bob entschlüsselt die Datei mit dem Dateischlüssel.

Passwort zurücksetzen im Firmenpaket: So funktioniert der Firmenschlüssel

Aufgrund der Zero-Knowledge Eigenschaft von Boxcryptor verliert der Nutzer den Zugriff auf seine Dateien, wenn er sein Passwort vergisst. Ohne das Passwort ist es nicht möglich, den privaten Schlüssel zu entschlüsseln. Daher können auch die Dateien nicht entschlüsselt werden. Wenn eine Firma allerdings die Firmenschlüssel-Option aktiviert hat, kann die Firma von der Passwort-zurücksetzen-Funktion Gebrauch machen.

Boxcryptor bietet für Unternehmen ein Firmenpaket mit zusätzlichen Funktionen an, wie zum Beispiel der Möglichkeit, mit der Firmenschlüssel-Funktion Passwörter zurückzusetzen. Die Firmenschlüssel-Funktion ermöglicht es dem Administrator des Unternehmens, die privaten Schlüssel aller dieser Firma zugehörigen Nutzer zu entschlüsseln und damit sicherzustellen, dass die Firma jederzeit auf ihre Daten zugreifen kann. Somit kann er jede Datei entschlüsseln, die für Nutzer dieser Organisation zugänglich ist, ohne das Passwort der Nutzer kennen zu müssen.

Mit Nutzung des Firmenschlüssels kann ein Unternehmen somit sicherstellen, dass es nicht den Zugriff auf sein Eigentum (seine Dateien) verliert – sogar in schwierigen Situationen, zum Beispiel wenn ein Mitarbeiter sein Passwort vergisst oder das Unternehmen verlässt. In den folgenden Beispielen ist ein Firmenschlüssel vorhanden und Alice ist Nutzerin und Teil des Unternehmens.

Alice erstellt oder ändert ihr Passwort

  1. Der Passwortschlüssel wird von ihrem Passwort abgeleitet.
  2. Ihr privater Schlüssel und der Mantellschlüssel werden mit dem Passwortschlüssel verschlüsselt.
  3. Der Passwortschlüssel wird mit dem öffentlichen Firmenschlüssel verschlüsselt.
  4. Der verschlüsselte, private Schlüssel, der verschlüsselte Mantelschlüssel und der verschlüsselte Passwortschlüssel werden an den Boxcryptor-Server übertragen.

Das Unternehmen benötigt Zugriff auf Alices Dateien

  1. Der Administrator der Firma entschlüsselt den privaten Firmenschlüssel mit dem Firmenadministrationspasswort.
  2. Der verschlüsselte Passwortschlüssel von Alice wird mit dem privaten Firmenschlüssel entschlüsselt.
  3. Alices privater Schlüssel und Mantelschlüssel werden mit dem Passwortschlüssel entschlüsselt.
  4. Der Dateischlüssel wird mit Alices privatem Schlüssel entschlüsselt.

Alice vergisst ihr Passwort und will es zurücksetzen lassen

  1. Der Firmenadministrator entschlüsselt den privaten Firmenschlüssel mit dem Firmenadministrationspasswort
  2. Der verschlüsselte Passwortschlüssel von Alice wird mit dem privaten Firmenschlüssel entschlüsselt
  3. Der private Schlüssel und der Mantelschlüssel von Alice werden mit dem Passwortschlüssel entschlüsselt.
  4. Es wird ein neues zufälliges Passwort generiert und aus diesem wird ein neuer Passwortschlüssel abgeleitet.
  5. Der private Schlüssel und der Mantelschlüssel werden mit dem neuen Passwortschlüssel verschlüsselt.
  6. Der neue Passwortschlüssel wird mit dem öffentlichen Firmenschlüssel verschlüsselt.
  7. Die neu verschlüsselten private Schlüssel und Mantelschlüssel sowie der neue verschlüsselte Passwortschlüssel werden an den Boxcryptor Schlüsselserver übertragen.

Warum und in welchen Fällen Boxcryptor eine Internetverbindung benötigt

Boxcryptor benötigt eine Internetverbindung um Daten von und zum Boxcryptor-Server zu empfangen bzw. zu schicken. In bestimmten Fällen ist eine Internetverbindung deswegen zwingend erforderlich. Doch abgesehen von diesen Fällen ist es ohne Probleme möglich, Boxcryptor offline zu verwenden.

Wann eine Internetverbindung erforderlich ist

Erstellung Ihres Boxcryptor-Kontos
Nach dem Ausfüllen der Anmeldeinformationen und der lokalen Erstellung der Schlüssel des Nutzers schickt Boxcryptor die verschlüsselten Nutzerdaten an den Boxcryptor Schlüsselserver um den Account zu erstellen.

Einrichtung eines neuen Gerätes
Wenn der Nutzer sich auf einem neuen Gerät mit seinem Boxcryptor Account einloggt, wird er automatisch anhand seiner Anmeldedaten authentifiziert (Email, Passwort Hash). Dann werden alle Informationen des Nutzers (z.B. Vorname, Gruppen) sowie die Schlüsseldaten des Nutzers (Nutzerschlüssel, Gruppenschlüssel etc.) abgerufen. Diese Informationen werden dann lokal auf dem Gerät gespeichert.

Zugriffsfreigabe auf eine Datei oder einen Ordner
Wenn eine Datei oder ein Ordner für einen anderen Nutzer freigegeben wird, ruft Boxcryptor den öffentlichen Schlüssel des Nutzers vom Boxcryptor Schlüsselserver ab.

Verwaltung von Gruppen
Die Erstellung, Bearbeitung oder Löschung von Gruppen oder Gruppenmitgliedern erfordert Zugriff auf den Boxcryptor Schlüsselserver.

Synchronisierung des Cache-Speichers
Während Boxcryptor ausgeführt wird und eine Internetverbindung verfügbar ist, wird versucht alle Nutzerinformationen und Schlüsseldaten des eingeloggten Nutzers zu synchronisieren.

Ohne Internetverbindung mit Boxcryptor arbeiten

Abgesehen von den oben beschriebenen Fällen (“Warum und wann Boxcryptor eine Internetverbindung benötigt“), benötigt Boxcryptor keine Internetverbindung. Insbesondere die Ver- und Entschlüsselung erfordert keine Internetverbindung. Sobald der Nutzer Boxcryptor auf seinem Computer installiert hat und sich erfolgreich eingeloggt hat, werden die Schlüssel des Nutzers auf dem Gerät gespeichert und Boxcryptor kann alle Daten ohne Internetverbindung ver- und entschlüsseln.


Lokales Konto

Nutzer, die auch physische Kontrolle über ihre Nutzerinformationen und Schlüssel benötigen, können Boxcryptor mit einem lokalen Konto nutzen. Bei einem lokalen Konto werden alle Nutzerinformationen und Schlüssel in einer Schlüsseldatei auf dem Gerät gespeichert und nicht an den BoxcryptorServer übertragen. Lokale Konten können jederzeit wieder in ein Standard-Boxcryptor-Konto umgewandelt werden (und vice versa).

Wichtig:
Die Zugriffsfreigabe auf Dateien und Ordner ist mit einem lokalen Konto nicht möglich. Zusätzlich trägt beim lokalen Konto allein der Nutzer die Verantwortung für die Schlüsseldatei. Dieser sollte die Schlüsseldatei manuell auf andere Geräte übertragen und selbständig Backups erstellen. Wenn die Schlüsseldatei verloren geht, ist Zugriff auf die verschlüsselten Dateien nicht mehr möglich. (Tipp: Da die sensiblen Informationen in der Schlüsseldatei (z.B. private Schlüssel) verschlüsselt sind, kann die Schlüsseldatei auch im Ordner des Cloud-Speicheranbieters abgelegt werden.


Verwendete Bibliotheken

Um die eigentliche, "low level" Verschlüsselung durchzuführen und Zufallszahlen zu erzeugen, setzt Boxcryptor auf etablierte und erprobte Bibliotheken von Dritten. Je nach Plattform und Zweck verwendet Boxcryptor dabei entweder bekannte Open-Source-Projekte oder Bibliotheken, die Teil des Betriebssystems sind. Die folgenden Bibliotheken werden verwendet.

Verwendete Bibliotheken

Windows
Microsoft CryptoAPI (aufgerufen durch den .NET Framework cryptography namespace) / Bouncy Castle; Zufallszahlengenerator: .NET RNGCryptoServiceProvider

Mac OS X und iOS
Common Crypto, Security Framework und OpenSSL; Zufallszahlengenerator: SecRandomCopyBytes

Android
Bouncy Castle / Spongy Castle; Zufallszahlengenerator: Java SecureRandom

Chrome
Eigene Javascript / C Implementierung (Keine passende Bibliothek vorhanden)

Lernen Sie unsere Kunden kennen

Das Boxcryptor-Firmenpaket unterstützt Unternehmen in einer Vielzahl von Branchen dabei, ihre wertvollsten Informationen zu schützen. Lesen Sie in den Erfolgsgeschichten unserer Kunden, wie sie Boxcryptor erfolgreich in Ihrem Unternehmen einsetzen.