Verschlüsseln Ihrer Nextcloud-Dateien auf dem Server

Nextcloud enthält eine serverseitige Verschlüsselungs-App. Wenn diese von Ihrem Nextcloud-Administrator aktiviert wird, werden alle Ihre Nextcloud-Dateien automatisch auf dem Server verschlüsselt. Die Verschlüsselung ist serverweit, d.h. wenn sie aktiviert ist, können Sie nicht wählen, ob Ihre Dateien unverschlüsselt bleiben sollen. Sie müssen nichts Besonderes tun, da Ihr Nextcloud-Login als Passwort für Ihren privaten Verschlüsselungsschlüssel verwendet wird. Melden Sie sich einfach ab und wieder an und verwalten und teilen Sie Ihre Dateien wie gewohnt, und Sie können Ihr Passwort jederzeit ändern.

Der Hauptzweck besteht darin, Dateien auf entfernten Speicherdiensten, die mit Ihrem Nextcloud-Server verbunden sind, zu verschlüsseln. Dies ist eine einfache Möglichkeit, Ihre Dateien auf entfernten Speichergeräten zu schützen. Sie können Ihre entfernten Dateien wie gehabt über Nextcloud teilen, aber Sie können Ihre verschlüsselten Dateien nicht direkt über den entfernten Dienst teilen, da die Schlüssel auf Ihrem Nextcloud-Server gespeichert und niemals an externe Anbieter weitergegeben werden.

Wenn Ihr Nextcloud-Server nicht mit einem entfernten Speicherdienst verbunden ist, so ist es besser, eine andere Form der Verschlüsselung zu nutzen, wie Dateisystem- oder Datenträgerverschlüsselung. Da die Schlüssel auf Ihrem Nextcloud-Server verbleiben, ist es Ihrem Nextcloud-Administrator möglich, Ihre Dateien einzusehen, und falls der Server kompromittiert wird, könnte der Angreifer Zugriff auf Ihre Dateien erlangen. (Für weitere Informationen vergleichen Sie Encryption in Nextcloud.)

Verschlüsselungs-FAQ

Wie kann die Verschlüsselung deaktiviert werden?

Die einzige Art und Weise, Verschlüsselung zu deaktivieren, besteht darin, das Skript „decrypt all“ auszuführen, welches alle Dateien entschlüsselt und Verschlüsselung deaktiviert.

Ist es möglich, die Verschlüsselung mit dem Wiederherstellungsschlüssel zu deaktivieren?

Ja, wenn jeder Benutzer den Wiederherstellungsschlüssel verwendet, „decrypt all“ wird benutzt, um alle Dateien zu entschlüsseln.

Kann die Verschlüsselung ohne das Passwort des Benutzers deaktiviert werden?

Wenn Sie das Passwort Ihrer Benutzer nicht besitzen, oder den file recovery key, dann gibt es keine Möglichkeit, alle Dateien zu entschlüsseln. Außerdem wäre es gefährlich, es bei der Anmeldung auszuführen, da es wahrscheinlich Timeouts geben würde.

Ist geplant, dies auf die nächste Benutzeranmeldung oder einen Hintergrundjob zu verschieben?

In diesem Fall müssten wir Ihr Anmeldekennwort in der Datenbank speichern. Dies könnte als Sicherheitsproblem angesehen werden, daher ist nichts dergleichen geplant.

Ist eine Gruppenfreigabe mit dem Wiederherstellungsschlüssel möglich?

Meinen Sie damit, dass es auf magische Weise funktionieren sollte, wenn Sie Benutzer zu Gruppen hinzufügen? Leider nein. Dies funktioniert nur mit dem Master-Schlüssel.

Verschlüsselung verwenden

Die Verschlüsselung von Nextcloud ist gewissermaßen vom Typ „Erst konfigurieren, dann vergessen“, dennoch haben Sie einige Einstellungsmöglichkeiten.

Wenn Ihr Nextcloud-Administrator zum ersten Mal Verschlüsselung aktiviert, müssen Sie sich abmelden und anschließend wieder anmelden, um Ihre Schlüssel zu erstellen und Ihre Dateien zu verschlüsseln. Wenn Verschlüsselung auf Ihrem Nextcloud-Server aktiviert wurde, sehen Sie ein gelbes Banner auf Ihrer Dateien-Seite, das sie darauf hinweist, sich ab- und anzumelden:

../../_images/encryption1.png

Wenn Sie sich erneut anmelden, wird dieser Vorgang - je nach Anzahl Ihrer Dateien - einige Minuten in Anspruch nehmen, bevor Sie zu Ihrer standardmäßigen Nextcloud-Seite umgeleitet werden.

../../_images/encryption2.png

Bemerkung

Sie dürfen Ihr Nextcloud-Passwort niemals verlieren, da Sie dadurch den Zugriff auf Ihre Daten verlieren werden. Allerdings gibt es eine optionale Wiederherstellungsmöglichkeit, die Ihre Nextcloud-Administration aktivieren kann; vergleichen Sie unten den Abschnitt „Rettungsschlüssel-Passwort“.

Verschlüsselte Dateien teilen

Nur Benutzer mit privaten Schlüsseln haben Zugriff auf verschlüsselte Freigaben von Dateien und Ordnern. Benutzer, die noch keine privaten Schlüssel erstellt haben, werden keinen Zugriff auf verschlüsselte Datei-Freigaben haben; sie werden Ordner und Dateinamen sehen, aber keine Möglichkeit haben, die Dateien zu öffnen oder herunterzuladen. Sie werden ein gelbes Banner mit folgendem Hinweis sehen „Verschlüsselungs-App ist aktiviert, aber Ihre Schlüssel sind noch nicht initialisiert, bitte ab- und wieder anmelden.“

Besitzer von Freigaben müssen Ihre Dateien möglicherweise erneut teilen, nachdem Verschlüsselung aktiviert wurde. Benutzer, die auf die Freigabe zugreifen wollen, werden eine Benachrichtigung sehen, den Besitzer der Freigabe aufzufordern, diese erneut mit ihnen zu teilen. Für individuelle Freigaben heben Sie die Freigabe für die Datei auf und erteilen Sie sie erneut. Für Gruppen-Freigaben teilen Sie einfach mit den Personen, die keinen Zugriff auf die Freigabe haben. Dadurch wird die Verschlüsselung aktualisiert, sodass der Besitzer der Freigabe die individuellen Freigaben entfernen kann.

Wiederherstellungs-Passwort

Wenn Ihre Nextcloud-Administration die Funktion „Rettungsschlüssel“ aktiviert hat, können Sie diese Funktion für Ihr Konto nutzen. Wenn Sie Passwort-Wiederherstellung aktivieren, kann die Administration Ihre Daten mit einem speziellen Passwort lesen. Durch diese Funktion kann die Administration Ihre Dateien wiederherstellen, falls Sie Ihr Nextcloud-Passwort verlieren. Falls der Rettungsschlüssel nicht aktiviert ist, gibt es keine Möglichkeit, Ihre Dateien wiederherzustellen, wenn Sie Ihr Anmelde-Passwort verlieren.

../../_images/encryption3.png

Dateien nicht verschlüsselt

Nur die Daten innerhalb Ihrer Dateien werden verschlüsselt, aber weder die Dateinamen noch die Ordnerstruktur. Folgende Dateien werden niemals verschlüsselt:

  • Alte Dateien im Papierkorb.

  • Vorschaubilder aus der Gallerie-App

  • Vorschaubilder aus der Dateien-App

  • Der Suchindex aus der Volltextsuche-App.

  • Drittanbieter App-Daten

Es können nur Dateien auf Freigaben externer Speicherdienstleister verschlüsselt werden, die übrigen Dateien dürfen nicht verschlüsselt werden.

Passwort für den Privaten Schlüssel ändern

Diese Option ist nur verfügbar, wenn das Passwort für die Verschlüsselung von der Administration nicht geändert wurde, sondern nur das Passwort für die Anmeldung. Dies kann auftreten, wenn Ihr Nextcloud-Anbieter ein externes Benutzer-Backend verwendet (z.B. LDAP) und Ihr Anmelde-Passwort über diese Backend-Konfiguration geändert hat. In diesem Falle können Sie Ihr Verschlüsselungs-Passwort als Ihr neues Anmelde-Passwort festlegen, indem Sie Ihr altes und Ihr neues Anmelde-Passwort angeben. Die Verschlüsselungs-App funktioniert nur, wenn Anmelde-Passwort und Verschlüsselungs-Passwort identisch sind.