Шифрование ваших файлов Nextcloud на сервере

Nextcloud имеет серверное приложение «Шифрование» (Encryption), после включения которого вашим администратором Nextcloud все файлы с данными Nextcloud будут автоматически шифроваться на сервере. Шифрование выполняется на всем сервере, поэтому при включении соответствующей функции ни один файл не останется незашифрованным. Вам ничего не нужно делать дополнительно, поскольку в качестве уникального личного ключа шифрования используются ваши имя пользователя и пароль в Nextcloud. Вы по-прежнему можете входить и выходить из системы, управлять и предоставлять доступ к файлам, а также менять пароль в любой момент.

Основной целью данного приложения является шифрование в удаленных хранилищах, подключенных к вашему серверу Nextcloud, в т. ч. Dropbox и Google Drive. Это простой способ защиты ваших файлов, хранящихся удаленно. Вы можете как обычно предоставлять доступ к дистанционным файлам через Nextcloud, но не сможете предоставить доступ к зашифрованным файлам непосредственно из Dropbox, Google Drive или другого используемого удаленного хранилища, потому что ключи шифрования хранятся на вашем сервере Nextcloud и никогда не предоставляются внешним поставщикам услуг.

Если ваш сервер Nextcloud не подключен к службам удаленного хранения, рекомендуется использовать другой способ шифрования, например, шифрование на уровне файлов или шифрование всех файлов на диске. Поскольку ключи хранятся на сервере Nextcloud, ваш администратор Nextcloud сможет просмотреть ваши файлы. Также доступ может получить злоумышленник, взломавший сервер (подробная информация приведена в документе «Шифрование в Nextcloud»).

Часто задаваемые вопросы, касающиеся шифрования

Как отключить шифрование?

Единственным способом отключить шифрование является запуск сценария «дешифровать все» (decrypt all), который дешифрует все файлы и отключит шифрование.

Можно ли отключить шифрование при помощи ключа восстановления?

Да, если каждый пользователь использует ключ восстановления файла, то сценарий «дешифровать все» (decrypt all) использует его для дешифрования всех файлов.

Можно ли отключить шифрование без пароля пользователя?

Если у вас нет пароля пользователя или ключа восстановления файлов, то дешифровать все файлы не удастся. Более того, запуск данной процедуры при входе в систему опасен из-за того, что может быть активирована блокировка по времени.

Планируется, ли перенести данную операцию до следующего входа в систему или выполнить ее в фоновом режиме?

Для этого нам бы потребовалось хранить ваш пароль для входа в систему в базе данных. Это привело бы к возникновению проблем с безопасностью, поэтому мы не планируем этого делать.

Можно ли предоставить групповой доступ при помощи ключа восстановления?

Если вы имеет в виду добавление пользователей в группу и автоматическое выполнение остальных действий? Нет. Для этого нужен основной ключ.

Использование шифрования

Шифрование Nextcloud хорошо настроено, поэтому вам не стоит беспокоиться по этому поводу, однако у вас есть доступ к нескольким настройкам.

Когда ваш администратор Nextcloud включит шифрование в первый раз, вы должны будете выйти и войти в систему, чтобы создать ключи шифрования и зашифровать ваши файлы. При включении шифрования на вашем сервере Nextcloud на странице «Файлы» (Files) отобразится желтое сообщение с предупреждением о том, что нужно выйти и войти в систему снова.

Повторный вход в систему займет некоторое время (в зависимости от количества имеющихся файлов), после чего снова отобразится страница Nextcloud по умолчанию.

Примечание: нельзя терять пароль для Nextcloud, потому что это приведет к потере доступа к вашим файлам. Об этом необходимо помнить, несмотря на наличие опционального варианта восстановления, который может быть включен администратором Nextcloud; подробная информация приведена ниже в разделе «Ключ восстановления пароля».

Предоставление доступа к зашифрованным файлам

Только пользователи, имеющие личные ключи шифрования, имеют доступ к общим зашифрованным файлам и папкам. Пользователи, у которых еще нет личных ключей шифрования, не смогут получить доступ к общим зашифрованным файлам; они будут видеть названия папок и файлов, но не смогут открыть или загрузить их. Для них будет отображаться желтое предупреждение: «Включено приложение «Шифрование», но ваши ключи еще не инициализированы, выйдите из системы и войдите в нее снова.» (Encryption App is enabled but your keys are not initialized, please log-out and log-in again.).

После включения шифрования владельцам общих файлов может потребоваться повторно предоставить доступ. Пользователи, пытающиеся получить доступ к общим файлам, увидят сообщение о том, что владелец файлов должен повторно предоставить доступ. Что касается общих файлов для отдельных пользователей, в этом случае нужно отменить предоставление доступа, а потом повторно предоставить доступ. Для общих файлов для групп нужно предоставить доступ к файлам для пользователей, которые не могут открыть их. При этом обновится шифрование, после чего владелец общего файла может удалить общие файлы для отдельных пользователей.

Ключ восстановления пароля

Если администратор Nextcloud включит функцию ключа восстановления, вы сможете использовать ее в своей учетной записи. Если вы включите параметр «Восстановление пароля» (Password recovery) администратор сможет считать ваши данные при помощи специального пароля. Данная функция позволяет администратору восстановить файлы в случае потери пароля Nextcloud. Если функция ключа восстановления выключена, восстановить файлы при потере пароля для входа в систему не удастся.

Незашифрованные файлы

Шифруются только данные в файлах, а не названия файлов или структура папок. Следующие файлы никогда не шифруются:

  • старые файлы в корзине;
  • эскизы изображений в приложении «Галерея» (Gallery);
  • эскизы для предварительного просмотра в приложении «Файлы» (Files);
  • поисковый индекс в приложении «Поиск по полному тексту» (Full text search);
  • данные сторонних приложений.

Также могут не шифроваться и другие файлы; только файлы сторонних поставщиков услуг хранения шифруются всегда.

Смена пароля для личного ключа

Данная опция доступна только в том случае, если ваш пароль для входа в систему (а не пароль для шифрования) был изменен администратором. Это может произойти в том случае, когда ваш поставщик Nextcloud использует внешнюю серверную программу (например, LDAP) и меняет пароль для входа в систему при помощи серверной конфигурации. В данном случае вы можете установить пароль для шифрования в качестве нового пароля для входа в систему, введя старый и новый пароли для входа в систему. Приложение «Шифрование» (Encryption) работает только в том случае, когда ваш пароль для входа в систему и пароль для шифрования совпадают.

randomness