Nextcloud Ende-zu-Ende-Verschlüsselung – Aktueller Stand und Empfehlungen
Regelmässig erreichen uns Anfragen betreffend Ende-zu-Ende-Verschlüsselung in Nextcloud. Leider ist die dazugehörige Nextcloud App bisher nur eingeschränkt nutzbar und nicht für den produktiven Betrieb empfohlen. Über den aktuellen Stand sowie mögliche Alternativen informieren wir in diesem Beitrag.
Aktueller Stand
Die offizielle End-to-End Encryption App wurde von Nextcloud veröffentlicht und zwischen 2018 und 2020 aktiv gepflegt. Danach erfolgten nur noch minimale Anpassungen, was sich in den vielen schlechten Bewertungen im App-Store und den vielen offenen Tickets auf GitHub widerspiegelt, und dazu führt, dass die App heute auf einer aktuellen Nextcloud Version nicht verwendet werden kann.
Wenn es trotzdem gelingt, die App erfolgreich in Betrieb zu nehmen, werden nur Dateiinhalte verschlüsselt. Die Dateinamen, Ordnerstruktur sowie alle andere Daten (z. B. Kalendereinträge) sind weiterhin unverschlüsselt gespeichert.
Aufgrund dieser Qualitätsmängel verzichten wir darauf, die End-to-End Encryption App auf unserem Shared Nextcloud Angebot anzubieten. Die Verwendung auf einer Private Nextcloud Installation ist zwar möglich, wir empfehlen dies aber aus oben genannten Gründen nicht. Zudem muss bei jedem Nextcloud Update damit gerechnet werden, dass die App nicht mehr kompatibel ist. Dies kann im schlimmsten Fall dazu führen, dass nach dem Update sämtliche Daten korrupt und somit unwiderruflich verloren sind.
Datensicherheit ohne Ende-zu-Ende-Verschlüsselung
Wir unternehmen alles, damit deine Daten auch ohne Ende-zu-Ende-Verschlüsselung sicher bei uns aufgehoben sind. Dies bestätigt die ISO 27001 Zertifizierung unserer Firma sowie unseres Rechenzentrums, sowie unsere Mitgliedschaft beim Label swiss-hosting.
Wo immer technisch möglich und sinnvoll, verschlüsseln wir deine Daten zusätzlich auf der Speicherebene. Zum Beispiel werden sämtliche Daten einmal täglich über eine verschlüsselte Verbindung in ein externes Rechenzentrum gesichert, und dort auf verschlüsselten Festplatten gespeichert.
Serverseitige Verschlüsselung
Häufige Fragen erreichen und auch zum Thema serverseitige Verschlüsselung innerhalb von Nextcloud. Diese Funktion ist erprobt und kann bei Bedarf aktiviert werden. Weil die Schlüssel als Datei auf derselben Nextcloud Installation gespeichert werden, ist dies hauptsächlich dann sinnvoll, wenn ein externer, nicht vertrauenswürdiger Speicher in die eigene Nextcloud eingebunden wird. Meistens sollen die Daten jedoch lokal gespeichert werden, dann wird die Sicherheit durch eine zusätzliche Verschlüsselung mit einem Schlüssel auf demselben Datenspeicher nicht erhöht.
Bei einem normalen Aufbau deiner Nextcloud Installation mit lokaler Datenspeicherung ist die Aktivierung der serverseitigen Verschlüsselung deshalb nicht sinnvoll und wird von uns nicht empfohlen.
Alternativen
Wenn du nicht auf eine vollständige Ende-zu-Ende-Verschlüsselung verzichten möchtest, empfehlen wir die lokale Verschlüsselung der Daten mittels einer Drittapplikation. Ein dafür geeignete und von uns selbst verwendete Software ist Cryptomator. Damit verschlüsselst du deine Daten auf deinem lokalen Gerät, und es werden nur noch geschützte Daten in die Nextcloud übertragen und bei uns gespeichert. Dies ist Stand heute die einzige technisch mögliche Variante, wenn du deine Daten verschlüsselt bei uns oder einem anderen Nextcloud Provider abspeichern möchtest.
Ausblick
Wir hoffen, dass die End-to-End Encryption App eines Tages wieder aktiv weiterentwickelt und damit zuverlässig nutzbar wird. Sobald es neue Entwicklungen oder Erkenntnisse gibt, werden wir diesen Beitrag entsprechend aktualisieren.
– ENGLISH VERSION –
Nextcloud End-to-End-Encryption – Current State and Recommendations
We receive frequent inquiries about end-to-end encryption in Nextcloud. Sadly, the corresponding Nextcloud app is incomplete and not recommended for production use. In this blog post, we will summarize the current state and talk about possible alternatives.
Current Situation
The official end-to-end encryption app was published by Nextcloud, and they maintained the project actively between 2018 and 2020. After that, only minimal changes were made. This led to many poor app-store ratings, countless pending GitHub tickets and to the fact, that the app cannot be used with a current Nextcloud version.
Even if you’re able to install the app somehow, only file content but not file- and folder names or any other data like calendar appointments will be encrypted.
Due to those flaws, we do not support this app on our shared Nextcloud installations. You can install the app on your own private Nextcloud installation with us, even though we do not recommend this for the reasons mentioned above. Furthermore, you risk compatibility issues with each upcoming Nextcloud update, which can lead to corrupted or even lost data.
Data Integrity Without End-to-End-Encryption
We do everything we can to ensure that your data is safe with us, even without end-to-end encryption. This is approved by our ISO 27001 certification for our company and also the datacenter, and also through our membership with the swiss-hosting label.
Whenever possible and feasible from a technical standpoint, we additionally encrypt your data on our storage level. For example, we copy your data once a day to a remote datacenter. The copy does use a encrypted connection and the backup data is store on encrypted hard drives.
Server-Side Encryption
Numerous questions reach us about service-side encryption within Nextcloud as well. There is a built-in Nextcloud option to achieve this, which is proven and well tested. However, there is one major caveat, which is that the encryption key is saved within the very same installation as is the data. An additional encryption of locally stored data does not make sense, for this.
As long as you use Nextcloud without any external storage providers, you do not increase the security of your data, and we do not recommend enabling server-side encryption in this scenario therefor.
Alternatives
We recommend encrypting your data on your local device when you cannot go without end-to-end encryption. One of the possible options which we also use by ourselves is Cryptomator. This software will encrypt your data locally, only encrypted data will leave your local device. As of today, this is the only viable method to save your data in an encrypted way with us or any other Nextcloud provider.
Prospects
We hope that the end-to-end encryption app will be actively maintained again someday. As soon as there are any updates, we will update this post accordingly.