Kann man den Wiederherstellungsschlüssel von Cryptomator ändern?

[Nobody007]

Guten Abend,

habe eine kleine Frage zu Cryptomator und habe dazu nichts genaueres im Internet gefunden.
Wenn ich einen Tresor erstelle, dann kann ich ja ein Wiederherstellungsschlüssel anlegen. Kann ich diesen auch später ändern, wenn ich zum Beispiel auch das Tresor-PW ändere oder ist der nach der Erstellung komplett festegelegt und kann NIE geändert werden?
Was ja doof wäre, weil bei einem Verlust, wäre es schon schön, wenn man PW und Schlüssel ändern könnte.

 

[madmax2010]

Nicht ohne alle Datenn eu zu verschluesseln. Das liegt an den verwendeten Algorithmen.

 

[Nilson]

Das Passwort kannst du jeder Zeit ändern. Dabei wird auch nichts neu verschlüsselt, da das Passwort ein andere Schlüssel ist, als der mit dem die Daten dann tatsächlich verschlüsselt werden. Dein Passwort verschlüsselt nur diesen Schlüssel.
Der Recovery-Key wird aus deinen Daten generiert und kann nicht von dir geändert werden, aber jederzeit neu ausgelesen werden:
https://docs.cryptomator.org/en/latest/desktop/password-and-recovery-key/

 

[Nobody007]

Der Recovery-Key wird aus deinen Daten generiert und kann nicht von dir geändert werden, aber jederzeit neu ausgelesen werden:

Heißt also, dass im Falle eines Verlustes des Datenträgers mit dem Schlüssel am bestem der Tresor gelöscht werden sollte und einer neuer angelegt?

 

[Nilson]

Wenn du dein Passwort verlierst, kannst du mit dem Recovery-Key ein neues erstellen.

 

[Nobody007]

Nicht ohne alle Datenn eu zu verschluesseln. Das liegt an den verwendeten Algorithmen.

Okay, Dankeschön!

 

[el.com]

Unabhängig von der verwendeten Software funktioniert Datenträgerverschlüsselung meist so:

Beim erstmaligen Anlegen des Volumes wird ein zufallsgenerierter Master Key erstellt. Das macht die Software automatisch im Hintergrund und diesen Key kannst du nicht selber beeinflussen. Der Master Key wird zur Ver-/Entschlüsselung des Volumes verwendet und wird im Volume Header gespeichert. Da aber ein im Klartext hinterlegter Master Key witzlos wäre, wird dieser selbst wiederum nur in verschlüsselter Form abgespeichert (denn sonst könnte man sich die Verschlüsselung ja auch gleich sparen). An der Stelle kommt dein Passwort ins Spiel. Das Passwort (genauer gesagt: der Hashwert des Passworts) wird zur Verschlüsselung des Master Keys im Header benutzt. Das ermöglicht es dir das Passwort jederzeit ändern zu können, ohne das ganze Volume neu verschlüsseln zu müssen, denn der Master Key ändert sich dabei nicht. Er wird nur mit einem anderen Passwort neu verschlüsselt.

Das hat zur Folge: Wenn jemand Zugriff auf das Volume und gleichzeitig auf das Passwort hat, kann er sich den Master Key im Klartext aus dem Header extrahieren ("Header Backup"). Selbst wenn du jetzt das Passwort änderst, könnte er beim Zugriff auf das Volume einfach wieder den alten Header zurückspielen und sich somit weiterhin Zugriff auf den Inhalt des Volumes verschaffen (denn der Master Key ist ja gleich geblieben).

Den Master Key zu ändern geht meist nicht, weil dafür das gesamte Volume neu verschlüsselt werden müsste. Je nach Größe kann das sehr lange dauern. Schon eine 2 TB Festplatte vollzuverschlüsseln dauert mehrere Stunden.

Hast du also das Gefühl, dass dein Passwort entwendet wurde und der Angreifer gleichzeitig Zugriff auf das Volume hatte, hilft nur eines: Volume einstampfen und komplett neu verschlüsseln.

 

[Nobody007]

@el.com

Danke für deine ausführliche Erklärung. Jetzt ist mir das ganze Thema etwas klarer geworden. Danke dir 👍