Using server-side encryption

Nextcloud includes a server-side encryption app, and when it is enabled by your Nextcloud administrator all of your Nextcloud data files are automatically encrypted on the server. Encryption is server-wide, so when it is enabled you cannot choose to keep your files unencrypted. You don’t have to do anything special, as it uses your Nextcloud login as the password for your unique private encryption key. Just log out and in and manage and share your files as you normally do, and you can still change your password whenever you want.

O seu principal propósito é cifrar ficheiros en servizos de almacenamento remoto conectados ao seu servidor de Nextcloud. Este é un xeito sinxelo e transparente de protexer os seus ficheiros en almacenamento remoto. Pode compartir os seus ficheiros remotos a través de Nextcloud da forma habitual, porén non pode compartir os seus ficheiros cifrados directamente desde o servizo remoto que está a usar, porque as chaves de cifrado están almacenadas no servidor de Nextcloud e nunca están expostas a provedores de servizos externos.

Se o seu servidor de Nextcloud non está conectado a ningún servizo de almacenamento remoto, é mellor usar algunha outra forma de cifrado como o cifrado a nivel de ficheiro ou o cifrado de disco completo. Debido a que as chaves se gardan no servidor de Nextcloud, é posíbel que a súa administración de Nextcloud poida botar unha ollada nos seus ficheiros e se o servidor está comprometido, o intruso pode acceder aos seus ficheiros. (Lea Cifrado en Nextcloud para obter máis información.)

Preguntas frecuentes (FAQ) sobre cifrado

Como se pode desactivar o cifrado?

O único xeito de desactivar o cifrado é executar o script «descifrar todo», que descifra todos os ficheiros e desactiva o cifrado.

É posíbel desactivar o cifrado coa chave de recuperación?

Si, se cada usuario usa a chave de recuperación de ficheiros, «descifrar todo» empregarao para descifrar todos os ficheiros.

Pódese desactivar o cifrado sen o contrasinal do usuario?

Se non ten o contrasinal de usuario ou a chave de recuperación de ficheiros, entón non hai forma de descifrar todos os ficheiros. É máis, executalo no acceso sería perigoso, porque é probábel que teña tempos de espera.

Está previsto pasar isto ao seguinte acceso de usuario ou a un traballo de fondo?

Se fixésemos iso, necesitaríamos almacenar o seu contrasinal de acceso na base de datos. Isto podería considerarse un problema de seguranza, polo que non hai nada diso previsto.

É posíbel compartir grupos coa chave de recuperación?

Se quere dicir engadir usuarios a grupos e facelo funcionar máxicamente? Non. Isto só funciona coa chave mestra.

Usar o cifrado

O cifrado de Nextcloud está máis ou menos definido e pode esquecelo, mais ten algunhas opcións que pode usar.

Cando a súa administración de Nextcloud activa por primeira vez o cifrado, ten que saír da sesión e logo acceder de novo para crear as chaves de cifrado e cifrar os seus ficheiros. Cando estea activado o cifrado no seu servidor de Nextcloud, verá un báner marelo na súa páxina de Ficheiros advertíndolle que saia da sesión e logo volva acceder:

../../_images/encryption1.png

Cando volva iniciar sesión tarda uns minutos en traballar, dependendo de cantos ficheiros teña e logo volve á súa páxina predeterminada de Nextcloud.

../../_images/encryption2.png

Nota

Nunca debe perder o seu contrasinal de Nextcloud, porque vai perder o acceso aos seus ficheiros. Aínda que existe unha opción de recuperación opcional que pode activar a súa administración de Nextcloud; consulte a sección Contrasinal da chave de recuperación (deseguido) para obter máis información.

Compartir ficheiros cifrados

Só os usuarios que teñen chaves de cifrado privadas teñen acceso a ficheiros e cartafoles cifrados compartidos. Os usuarios que aínda non crearon as súas chaves de cifrado privado non terán acceso a ficheiros compartidos cifrados; verán cartafoles e nomes de ficheiros, pero non poderán abrir ou descargar os ficheiros. Verán unha pancarta de advertencia marelo que di «A aplicación de cifrado está activada, mais as chaves non foron preparadas, saia da sesión e volva a acceder de novo»

É posíbel que os propietarios de recursos compartidos teñan que volver compartir ficheiros após activar o cifrado; os usuarios que tenten acceder á compartición verán unha mensaxe aconsellándolle que solicite ao propietario que comparta de novo o ficheiro. No caso de comparticións individuais, deixar de compartir e volver compartir o ficheiro. Para compartir en grupo, comparta con calquera persoa que non poida acceder á compartición. Isto actualiza o cifrado e, deseguido, o propietario do recurso compartido pode retirar as comparticións individuais.

Contrasinal da chave de recuperación

Se a súa administración de Nextcloud activou a funcionalidade de chave de recuperación, pode optar por usar esta funcionalidade para a súa conta. Se activa o «Contrasinal de recuperación» a administración da instancia pode ler os seus datos cun contrasinal especial. Esta característica permite que a administración da instancia poida recuperar os seus ficheiros no caso de que perda o seu contrasinal de Nextcloud. Se a chave de recuperación non está activada, non hai xeito de restaurar os ficheiros se perdeu o seu contrasinal de acceso.

../../_images/encryption3.png

Ficheiros sen cifrar

Só se cifran os datos dos seus ficheiros e non os nomes de ficheiro ou as estruturas de cartafoles. Estes ficheiros nunca se cifran:

  • Ficheiros antigos no cesto do lixo.

  • Miniaturas de imaxe da aplicación Galería.

  • Vistas previas da aplicación Ficheiros.

  • O índice de busca da aplicación de busca de texto completo.

  • Datos da aplicación de terceiros

Só se poden cifrar aqueles ficheiros que se comparten con fornecedores de almacenamento de terceiros, é posíbel que o resto dos ficheiros non estean cifrados.

Cambiar o contrasinal da chave privada

Esta opción só está dispoñíbel se a administración da instancia non cambiou o contrasinal de cifrado, senón só o contrasinal de acceso.. Isto pode ocorrer se o seu provedor de Nextcloud usa unha infraestrutura de usuario externo (por exemplo, LDAP) e cambiou o seu contrasinal de acceso usando esa configuración de infraestrutura. Neste caso, pode definir o seu contrasinal de cifrado no seu novo contrasinal de acceso fornecendo o seu antigo e novo contrasinal de acceso. A aplicación de cifrado funciona só se o seu contrasinal de acceso e o seu contrasinal de cifrado son idénticos.