Tresorit bietet mithilfe von Ende-zu-Ende-Verschlüsselung höchste Vertraulichkeit für hochgeladene Inhalte. Ihre Dateien werden auf dem Nutzergerät verschlüsselt, bevor sie auf unsere Server hochgeladen werden, und sie werden niemals entschlüsselt, bevor Sie wieder das Nutzergerät erreichen. Verschlüsselungscodes und Passwörter werden alle clientseitig verwaltet und verlassen Ihr Gerät - genau wie Ihre Dateien - niemals in einer unverschlüsselten oder anders lesbaren Form. Dementsprechend sind Inhalte ausschließlich für Sie zugänglich und für diejenigen, mit denen Sie diese teilen. Weder Tresorit noch Dritte haben Zugriff auf Ihre Daten.
💡 Für mehr Information über unsere Sicherheitstechnologie besuchen Sie unsere Webseite. Sie können auch unsere Nutzungsbedingungen und Datenschutzerklärung lesen.
Einführung in SSO
Tresorit bietet zurzeit Single-Sign-On-Support für Microsoft Azure AD, Google Workspace und Okta. Dieses Feature ermöglicht Nutzern in Ihrem Abonnement mit ihren bestehenden Firmenanmeldedaten auf ihr Tresorit-Konto zuzugreifen. Sie benötigen kein separates Passwort mehr für Tresorit. Administratoren können die zentralen Passwortrichtlinien und die 2-Stufen-Verifizierung über den Identitätsanbieter der Firma einrichten.
SSO-Services haben im Allgemeinen in einigen Konfigurationen eine Funktionsweise, aufgrund derer die Nutzung dieses Features eine Auswirkung auf die Vertraulichkeit Ihrer Dateien in Tresorit haben kann. Mit dieser Dokumentation möchten wir Ihnen einen Überblick darüber geben, wie SSO-Integration in Tresorit funktioniert, und wir fassen die möglichen Folgen für Sie zusammen, welche Sie vor der Aktivierung erwägen sollten.
Authentifizierung und Verschlüsselung in Tresorit
Ihre in Tresorit gespeicherten Dateien sind mit einer komplexen Baumstruktur aus symmetrischen und asymmetrischen Schlüsseln verschlüsselt. Die Hauptschlüssel zum Zugriff auf Ihre Inhalte werden in Ihrem sogenannten Nutzerprofil gespeichert. Dies ist ein verschlüsselter, in Tresorits Cloud gespeicherter Container. Dieses Schema erhält das Zero-Knowledge-Prinzip aufrecht, aber erlaubt es Ihnen auch, dass Sie auf Ihre Dateien von verschiedenen Geräten aus zugreifen können.
Rosa und blau sind gewöhnliche Nutzerprofile. Das Profil mit der Krawatte ist ein Admin-Konto
Um auf Ihre Dateien von einem neuen Gerät aus zuzugreifen, authentifiziert sich Ihre Client-App zuerst gegenüber Tresorits Servern, lädt das verschlüsselte Nutzerprofil herunter und entschlüsselt das Nutzerprofil dann lokal, um die Verschlüsselungscodes für Ihre Inhalte zu erlangen.
Passwortbasierte Standard-Authentifizierung
In der standardmäßigen Einrichtung basieren sowohl die serverseitige Authentifizierung als auch die clientseitige Entschlüsselung auf Ihrem Passwort für Ihr Tresorit-Konto. Die Tresorit-App berechnet zwei separate Werte aus Ihrem Passwort mithilfe eines Einweg-Algorithmus: ein Wert für die Authentifizierung und ein Wert für die Entschlüsselung des Nutzerprofiles.
Ein Grund dafür ist Bequemlichkeit: Sie müssen sich nicht zwei verschiedene Passwörter merken. Die Nutzung des Einweg-Algorithmus stellt sicher, dass das Passwort oder der Entschlüsselungscode nicht berechnet werden kann, auch wenn das abgeleitete Authentifizierungsgeheimnis bekannt geworden ist. Da Ihr Passwort das Nutzergerät nie verlässt, haben Tresorits Server keine Information über irgendwelche Verschlüsselungscodes.
Eine Einwegtransaktion berechnet zwei verschiedene Werte aus Ihrem Passwort: einen, der zur Authentifizierung genutzt wird, und einen für die Entschlüsselung des Nutzerprofils.
SSO-Authentifizierung
Wenn Sie SSO-Authentifizierung nutzen, verfügen Sie über kein Tresorit-Passwort, so dass sowohl die serverseitige Authentifizierung als auch die clientseitige Entschlüsselung auf anderen Komponenten basieren müssen. Wenn Sie sich in Tresorit via SSO anmelden, geben Sie Ihr (Firmenkonto-)Passwort auf dem Anmeldebildschirm des SSO-Anbieters an und die Tresorit-App hat keinerlei Zugriff auf dieses. Der SSO-Anbieter bestätigt der Client-App, dass Sie sich erfolgreich authentifiziert haben.
Aufgrund des Vertrauensverhältnisses, das Sie bei der SSO-Konfiguration für Tresorit eingehen, wird es für Tresorits Backend möglich sein, die Herkunft der Anfrage zu bestätigen und Zugriff auf Ihre verschlüsselten Inhalte zu gewähren. Die Tresorit-App kann diese Bestätigung nutzen, um ein zweites Geheimnis vom SSO-Anbieter zu beschaffen, das zur Entschlüsselung der Inhalte auf der Clientseite eingesetzt wird.
Tresorit verlässt sich auf die Meldung des SSO-Anbieters, bevor der Zugriff auf die verschlüsselten Inhalte gewährt wird. Das Nutzerprofil wird mit einem beim SSO-Anbieter gespeicherten Schlüssel entschlüsselt.
Fazit
Egal, ob Sie eine passwortbasierte Standard-Authentifizierung oder SSO nutzen: Tresorit wird als Service Provider niemals Ihr Passwort erhalten oder niemals Zugriff auf Ihre verschlüsselten Inhalte in einer lesbaren oder entschlüsselten Form haben. Alle kryptografischen Transaktionen werden clientseitig abgewickelt, mit Ende-zu-Ende-Verschlüsselung und nach Zero-Knowledge-Prinzip.
Indem Sie SSO für Ihr Tresorit-Abonnement einrichten, vertrauen Sie dem SSO-Anbieter, dass er Verschlüsselungsdaten für Tresorit-Nutzerprofile, die früher nur Kollegen bekannt waren, speichern und auf diese zugreifen kann - zusätzlich zu den Informationen zur Bestätigung des Passworts, für die der SSO-Anbieter bereits zuständig ist.
In den meisten Fällen ist dies gar kein Problem, da alle anderen Firmensysteme, die sensible Informationen (E-Mail, Gerätezugriff, zusätzlicher Cloudspeicher, Gehaltsabrechnungssystem usw.) verarbeiten, bereits für SSO konfiguriert wurden und das Risiko somit bereits bewertet und akzeptiert wurde.
Ihre Wahl des SSO-Anbieters hat auch einen Einfluss auf die Sicherheit:
- Azure AD und Okta verwalten den "Tresorit Login Key" unterschiedlich. In beiden Systemen ist dies als Profilerweiterungsfeld implementiert. In Azure AD können andere autorisierte Anwendungen und Nutzer möglicherweise auf Profilerweiterungen zugreifen. Okta ist diesbezüglich sicherer: Hier ist diese Information ausschließlich für Nutzer und Administratoren zugänglich. Dennoch zeigt Okta sie auf der Profilseite der Nutzer an und erlaubt die Bearbeitung dieser Angabe, was in manchen Fällen zu Verwirrung führen kann.
- Tresorits eigene Infrastruktur - einschließlich des Speichers für die verschlüsselten Nutzerinhalte - ist auf Microsoft Azure Services aufgebaut, was auch berücksichtigt werden sollte, wenn Azure AD als SSO-Anbieter für Tresorit gewählt wird.
Die Einführung von SSO kann verschiedene positive Auswirkungen auf die Sicherheit Ihres Tresorit-Abonnements haben, einschließlich der Vorteile der zentralen Nutzerverwaltung, der Möglichkeit für die Durchsetzung von Passwortstärkerichtlinien oder der Unterstützung der 2-Stufen-Verifizierung. Diese sind üblich für alle cloudbasierten Services mit SSO-Support und nicht Thema dieser Dokumentation.
Erwägungen
Tresorit bietet Kontrolloptionen, mit denen Sie das Risiko vermindern können, dass Ihre sensible Daten offengelegt werden:
- Administrative Aufgaben, die Erweiterte Kontrolloptionen verlangen (z.B. Zurücksetzung von Nutzerpasswörtern im Abonnement), benötigen weiterhin das Tresorit-Passwort des Lizenz-Eigentümers, auch wenn SSO für den Admin aktiviert wurde.
- Mit der Nutzung von verschiedenen Richtlinienprofilen werden Sie detaillierte Kontrolle darüber haben, wer SSO nutzen darf und welche Nutzer weiterhin bei passwortbasierter Authentifizierung bleiben sollten. So können Sie Nutzergruppen bilden, welche die sensibelsten Daten mit den höchsten von Tresorit angebotenen Sicherheitseinstellungen verwalten, während andere von der Bequemlichkeit von SSO profitieren können.
Sie haben Fragen? Schreiben Sie uns.