Tresorit verwendet zwei Arten von Profilen, um Ihre Dateien über alle Geräte hinweg sicher und zugänglich zu verwahren:
Roaming-Profil – Ihre sicheren Schlüssel, verschlüsselt und geräteübergreifend synchronisiert
Lokales Profil – gerätespezifische Informationen, ausschließlich lokal gespeichert
Beide sind verschlüsselt, dienen jedoch unterschiedlichen Zwecken.
Roaming-Profil
Ihr Roaming-Profil enthält die Verschlüsselungscodes, die benötigt werden, um auf Ihre Dateien Zugriff zu nehmen und sie zu entschlüsseln. Es wird durch einen aus Ihrem Passwort abgeleiteten Schlüssel geschützt, der Ihr Gerät niemals verlässt, und wird in der Cloud gespeichert, damit Sie sich von jedem Gerät aus sicher anmelden können.
Registrierung
Wenn Sie ein Tresorit-Konto erstellen, werden Verschlüsselungscodes generiert, um Ihre Daten zu schützen. Ein zufälliges 256-Bit-Salt wird erstellt und unter Verwendung von Scrypt – einer Schlüsselableitungsfunktion, die zur Abwehr von Brute-Force-Angriffen entwickelt wurde – mit Ihrem Passwort kombiniert. Das Ergebnis ist Ihr Hauptschlüssel, der Ihr Roaming-Profil mit AES-256-GCM verschlüsselt. Dies stellt sicher, dass Ihr Profil vertraulich bleibt und Manipulationen erkannt werden können.
Im selben Prozess wird auch ein kryptografisch unabhängiger Authentifizierungsschlüssel erzeugt. Dieser Schlüssel wird auf sichere Weise an die Server von Tresorit gesendet und nur verwendet, um Ihre Identität bei der ersten Anmeldung auf einem neuen Gerät zu verifizieren.
ℹ️ Schlüsselableitung nutzt Scrypt (RFC 7914) mit Parametern N=32,768, r=8, p=1, gefolgt von einem zusätzlichen HMAC-Schritt mit SHA-256 (FIPS-180-4). Verschlüsselung wird zur Gewährleistung von Vertraulichkeit und zum Schutz der Integrität mit AES-256-GCM ausgeführt.
Erstmalige Anmeldung auf einem neuen Gerät
Wenn Sie sich auf einem neuen Gerät anmelden (oder Ihr System neu installieren), lädt Tresorit Ihr verschlüsseltes Roaming-Profil aus der Cloud herunter. Da Ihr Gerät noch nicht über eigene Zertifikate verfügt, wird ein Abfrage–Rückmeldung-Protokoll verwendet.
Der Server sendet eine zufällige Abfrage und Ihr Client leitet den Authentifizierungsschlüssel neu aus Ihrem Passwort ab und bestätigt Ihre Identität mit einer gültigen Rückmeldung.
Sobald die Authentifizierung erfolgreich abgeschlossen wurde, wird Ihr Roaming-Profil heruntergeladen und unter Verwendung Ihres Hauptschlüssels lokal entschlüsselt. An dieser Stelle generiert Tresorit neue gerätespezifische Schlüssel: Einer wird für die SSL/TLS-Kommunikation verwendet, ein anderer aktualisiert Ihr Roaming-Profil. Diese Schlüssel verlassen niemals Ihren Computer und werden sicher in Ihrem lokalen Profil gespeichert.
ℹ️ Authentifizierung basiert auf PBKDF2 + HMAC (SHA-1) mit Salts und Nonces, gemäß NIST 800-132.
Reguläre Anmeldung
Auf einem Gerät, auf dem Ihre Profile bereits existieren, setzt die Anmeldung keine Serverkommunikation voraus. Der Client entschlüsselt Ihr lokales Profil, ohne dass dafür der Server kontaktiert werden muss. Wenn Sie Ihr Passwort verwenden, wird mit PBKDF2 und SHA-256 ein lokaler Hauptschlüssel abgeleitet (100.000 Iterationen) – dieser lokale Schlüssel unterscheidet sich von dem, der Ihr Roaming-Profil schützt.
Automatische Anmeldung
Wenn Sie die automatische Anmeldung aktivieren, speichert Tresorit einen zusätzlichen Schlüssel im sicheren Speicher Ihres Betriebssystems. Dieser Schlüssel kann Ihr Profil entsperren, ohne dass dafür jedes Mal Ihr Passwort benötigt wird.
Lokales Profil
Ihr lokales Profil enthält Informationen, die benötigt werden, um Tresorit-Ordner auf Ihrem Gerät abzubilden. Es existiert nur auf Ihrem Gerät und wird niemals in die Cloud hochgeladen. Ebenso wie Ihr Roaming-Profil ist es mit AES-256-GCM verschlüsselt und integritätsgeschützt.