Inhalt

Verschlüsselung


Definition clientseitige Verschlüsselung

Die clientseitige Verschlüsselung bietet eine maximale Sicherheit. Denn hierbei werden die Dateien schon auf dem Clientsystem
verschlüsselt, also bevor sie überhaupt versendet werden. Sämtliche, in krz DataBox abgelegten Daten werden clientseitig mit Hilfe
einer Ende-zu-Ende-Verschlüsselung geschützt.

Dieses Prinzip verwehrt effektiv auch den Technikern und Administratoren jeglichen Zugriff auf die bereitgestellten Informationen.
Wie dies im Detail funktioniert, wird in folgenden Abschnitten dargestellt.

Schlüsselverwaltung

Jeder Benutzer erhält ein asymmetrisches Schlüsselpaar; einen öffentlichen und einen privaten Schlüssel.
Das RSA-2048-Bit-Schlüsselpaar wird durch einen Zufallsgenerator im Hintergrund erzeugt (1). Der Benutzer wird danach dazu
aufgefordert sein Entschlüsselungskennwort zu erstellen (2). Mit Hilfe dieses Kennworts wird sein privater Schlüssel unter Verwendung von PBKDF2 und AES verschlüsselt (3). Anschließend werden die beiden Schlüssel in die krz DataBox geladen (4). Dies ist erforderlich, damit der Benutzer von unterschiedlichen Endgeräten (Browser, Mobile App, etc.) auf seinen privaten Schlüssel (und damit auf die
verschlüsselten Dateien) zugreifen kann. Dadurch entfällt die Installation von Zertifikaten und privaten Schlüsseln auf den
unterschiedlichen Endgeräten.

Schaubild Schlüsselverwaltun

Upload einer Datei

Stellt ein Benutzer eine Datei in einem verschlüsselten Datenraum bereit, so wird zunächst lokal ein zufallsgenerierter
Dateischlüssel erzeugt (1). Anschließend wird die Datei noch auf dem Gerät des Benutzers mittels AES-256-GCM verschlüsselt (2)
und in die krz Databox geladen (3).

Der Dateischlüssel muss nun den berechtigten Benutzern des Datenraumes zur Verfügung gestellt werden.
Hierzu erhält der Benutzer, der die Datei bereitstellt, die öffentlichen Schlüssel der jeweiligen Eigentümer (4).
Mit diesem öffentlichen Schlüssel wird eine Kopie des Dateischlüssels verschlüsselt (5) und in die krz DataBox hochgeladen (6).
Damit ist der Upload-Vorgang abgeschlossen.

Schaubild Upload einer Datei

Download einer Datei

Die bereitgestellten Dateien in einem Dateiraum können jederzeit durch die berechtigten Nutzer heruntergeladen werden.
Will ein Nutzer eine Datei herunterladen, so wird zuvor der verschlüsselte private Schlüssel heruntergeladen (1) und lokal entschlüsselt
mit Hilfe des Entschlüsselungskennwort (2). Ist dieser Vorgang erfolgreich, fordert der Client den verschlüsselten Dateischlüssel der
gewünschten Datei von krz DataBox an (3). Dieser wird mit Hilfe des zuvor erhaltenen privaten Schlüssels auf dem Endgerät des Benutzers entschlüsselt (4). Sind diese Schritte erfolgt, wird erst die eigentliche Datei heruntergeladen (5) und mit dem Dateischlüssel
entschlüsselt (6). Diese Datei kann dann entweder lokal abgespeichert oder geöffnet werden (7).

Es finden bei der Entschlüsselung sämtliche zentralen Schritte unter der vollständigen Kontrolle des Benutzers auf seinem Endgerät statt.

Schaubild Download einer Datei

Bereitstellung von Dateischlüsseln an neu berechtigten Benutzer

Erhält ein zusätzlicher Benutzer Berechtigungen in einem verschlüsselten Datenraum, benötigt er Kopien der Dateischlüssel aller Dateien in diesem Raum. Um diese zu erzeugen, erhalten Anwender, die bereits über die entsprechenden Schlüssel verfügen, die Aufforderung, Dateischlüsse an andere Benutzer zu verteilen.

Wenn ein Anwender dies tut, lädt der Client zunächst den privaten Schlüssel herunter (1) und entschlüsselt diesen mit dem Entschlüsselungskennwort (2). Anschließend lädt der Client die entsprechenden Kopien der Dateischlüsseln (3) und entschlüsselt diese mit dem privaten Schlüssel (4). Abschließend werden die Dateischlüsseln mit dem öffentlichen Schlüssel des hinzugekommenen Nutzers wieder verschlüsselt (5) und bereitgestellt.

Schaubild Bereitstellung von Dateischlüsseln an neu berechtigten Benutzer

Download-Freigabe einer verschlüsselten Datei

Möchte ein Benutzer eine verschlüsselte Datei über eine Download-Freigabe an einen externen Empfänger bereitstellen, so lädt er seinen privaten Schlüssel (1) und seinen eigenen Dateischlüssel (2) in seine Client-Applikation herunter. Anschließend entschlüsselt er mit Hilfe des Entschlüsselungskennworts seinen privaten Schlüssel (3) und danach den Dateischlüssel mit dem privaten Schlüssel (4). Nun erzeugt er ein neues asymmetrisches Schlüsselpaar (5) für die Download-Freigabe und schützt den privaten Schlüssel mit einem neu gewählten Freigabekennwort (6), bevor das Schlüsselpaar in krz DataBox bereitgestellt wird (7). Der im Klartext vorliegende Dateischlüssel wird abschließend mit dem öffentlichen Schlüssel des neu erzeugten Schlüsselpaares verschlüsselt (8) und ebenfalls in der krz DataBox
bereitgestellt (9).

Schaubild 1 Download-Freigabe einer verschlüsselten Datei

Der Empfänger des Freigab-Links muss nun zusätzlich über einen sicheren Kanal das zuvor festgelegte Freigabekennwort erhalten (10). Ist dies verfügbar, kann er den mit dem Kennwort geschützten privaten Schlüssel herunterladen und entschlüsseln (11). Anschließend lädt er den Dateischlüssel herunter und entschlüsselt ihn mit dem privaten Schlüssel (12). Danach lädt er die verschlüsselte Datei und
entschlüsselt sie mit dem Dateischlüssel (13).

Schaubild 2 Download-Freigabe einer verschlüsselten Datei

Upload-Freigabe eines verschlüsselten Datenraums

Upload-Freigaben externer Benutzer in verschlüsselten Datenräumen gestalten sich wesentlich einfacher als ein Download aus diesen. Erhält ein externer Anwender einen Link, der ihm den Upload in einen verschlüsselten Datenraum ermöglicht, so erzeugt er sich in seinem Client – analog dem Upload eines internen Benutzers (s. Abschnitt 2.3) – einen zufälligen Dateischlüssel (1) für die Datei und verschlüsselt sie damit (2). Anschließend kann der öffentliche Schlüssel eines Raum-Administrators heruntergeladen (3) und der Dateischlüssel damit verschlüsselt werden (4). Der verschlüsselte Dateischlüssel des Raum-Administrators wird anschließend zusammen mit der
verschlüsselten Datei in die krz DataBox bereitgestellt (5).

Schaubild Upload-Freigabe eines verschlüsselten Datenraums

Verlust des Entschlüsselungskennwortes

Vergisst ein Benutzer sein Entschlüsselungskennwort, so kann er sich jederzeit ein neues Schlüsselpaar erzeugen und mit einem neuen Passwort schützen. Sämtliche Dateischlüsseln, die mit seinem alten öffentlichen Schlüssel verschlüsselt wurden, werden entfernt und
andere autorisierte Benutzer der von ihm genutzten verschlüsselten Datenräume können neue Kopien der Dateischlüsseln für die
vorhandenen Dateien für ihn erzeugen und somit einen erneuten Zugriff ermöglichen (s. Abschnitt 2.5).

Für den Fall, dass es in einem Datenraum nur einen berechtigten Nutzer gibt und dieser sein Entschlüsselungskennwort vergessen hat oder wenn sämtliche autorisierte Nutzer ihr Entschlüsselungskennwort vergessen haben, sind sogenannte Notfallkennwörter vorgesehen, mit deren Hilfe die Dateien bei Schlüsselverlust wiederhergestellt werden können. Zu diesem Zweck bietet DRACOON zwei Varianten: ein System-Notfallkennwort oder ein Raum-Notfallkennwort.

Bei Aktivierung der clientseitigen Verschlüsselung muss das System-Notfallkennwort durch einen Config-Manager gesetzt werden.
Dieses kann bei Verlust der persönlichen Schlüssel zur Entschlüsselung von Dateien verwendet werden. Alternativ dazu kann für
einen Datenraum durch den jeweiligen Raum-Administrator ein sogenanntes Raum-Notfallkennwort festgelegt werden.

Aus technischer Sicht fungieren die Notfallkennwörter als virtuelle Benutzer, die nach dem oben beschriebenen Verfahren jeweils
eigene Dateischlüssel erhalten (sofern sie für den jeweiligen Datenraum autorisiert wurden) und damit analog zu einem Benutzer
Dateien entschlüsseln können.

Die Notfallkennwörter erfordern deswegen eine besonders sorgfältige Aufbewahrung. So empfiehlt es sich beispielsweise,
das System-Notfallkennwort in einem Safe zu lagern.

Einschränkungen für verschlüsselte Datenräume

Wurde die clientseitige Verschlüsselung für einen Datenraum aktiviert, so sind die folgenden Funktionen für den jeweiligen Datenraum nicht mehr verfügbar:

  1. Das Kopieren oder Verschieben von Dateien aus unverschlüsselten Datenräumen in verschlüsselte Datenräume, sowie umgekehrt,
    ist nicht möglich. Jedoch können Dateien aus verschlüsselten in andere verschlüsselte Räume kopiert bzw. verschoben werden
  2. Auf den Datenraum kann nicht via WebDAV zugegriffen werden.
    Tipp: Verwenden Sie unseren krz DataBox Windows Client bzw. iOS App für Mac, welche clientseitige
    Verschlüsselung unterstützen.
  3. Download-Freigaben können lediglich für Dateien, nicht jedoch für ganze Räume oder Ordner erstellt werden.
  4. Miniaturansichten für Dateien z.B. Bilddateien sind nicht verfügbar.
  5. Der Download mehrerer Dateien als einzelne, gebündelte Zip-Datei ist nicht möglich.
  6. Download-Freigaben müssen kennwortgeschützt sein.
  7. Freigabekennwörter können nicht per SMS verschickt werden.
  8. Die maximale Dateigröße beträgt 60 GB pro Datei.
nach oben zurück