Auf Mastodon ansehen
Cryptomator ist ein empfehlenswertes Tool: Auf einfache Weise können damit verschlüsselte Tresore erstellt werden - lokal oder bei einem Cloud-Dienst [1]. Damit alles funktioniert, werden in den Tresoren zusätzliche Systemdateien gespeichert. Sind diese beschädigt, so kann der Tresor nicht mehr geöffnet werden. Solche Schäden kann ein zusätzlicher Recovery Key beheben. Diese Möglichkeit gibt es zwar schon länger, aber mit der aktuellen Cryptomator Version 1.18 ist der Schutz deutlich verbessert worden [2].
Um welche Dateien geht es?
Ein Tresor enthält neben den eigentlichen Dokumenten einen Master-Key, der sich aus dem vergebenen Passwort ableitet. Man kann sich diese Datei als eine Art "Schloss" für das Passwort vorstellen. Mit ihr wird überprüft, ob das Passwort korrekt ist. Erst dann beginnt der eigentliche Entschlüsselungsprozess.
Eine zweite Datei ist zentral für einen funktionierenden Tresor: vault.cryptomator. Diese Konfigurationsdatei ist so etwas wie eine "Bedienungsanleitung" für Cryptomator und erklärt dem Programm, wie es mit den verschlüsselten Inhalten umzugehen hat.
Wirft man einen "Röntgenblick" in den verschlüsselten Tresor, so sieht man die beiden erwähnten Dateien (1). Im Unterordner "d" liegen im Beispiel die eigentlichen Dokumente (2). [3] Werden bei einem Sync oder Kopiervorgang diese Dateien beschädigt, so kann der Tresor nicht mehr geöffnet werden, selbst wenn man das korrekte Passwort besitzt.
Wie erhält man den Recovery-Key?
Beim Anlegen eines neuen Tresors wird die Frage eingeblendet, ob man auch einen Recovery-Key dafür erzeugen möchte. Aber auch bei bestehenden Tresoren kann man diesen nachträglich generieren: Dazu den Tresor zunächst sperren, sofern er offen sein sollte. Dann per rechtem Mausklick auf den Tresornamen den Menüpunkt "Tresoroptionen anzeigen" wählen.
Unter dem Reiter "Passwort" gibt es den Button "Wiederherstellungsschlüssel anzeigen". Nach einer Sicherheitsabfrage erhält man einen langen Text mit sehr vielen zusammengewürfelten Wörtern. Diesen bewahrt man getrennt auf. Ich nehme dafür meinen Passwortmanager, damit der Inhalt verschlüsselt bleibt.
Wie funktioniert die Wiederherstellung?
Ich habe in meinem Tresor die beiden zentralen Dateien samt deren Backup-Versionen gelöscht. Das bemerkt Cryptomator natürlich sofort und bietet an: "Tresorkonfiguration wiederherstellen".
Anschließend kommt ein kurzer Info-Text, ob man auch alles verstanden habe. Schließlich erscheint ein leeres Textfeld, in das man seinen Recovery-Key kopiert.
Nun noch ein neues Passwort vergeben - und die Tresortür steht wieder offen.
Bildnachweis:
Titelbild: Originalfoto und Bearbeitung vom Artikelautor
Hinweise und Quellen:
[1] Einführung in Cryptomator: https://gnulinux.ch/cryptomator-daten-sicher-in-der-cloud
[2] Cryptomator-Blog: https://cryptomator.org/de/blog/2025/11/19/desktop-1.18.0/
[3] Im Screenshot sind weiterhin zwei Backup-Dateien (*.bkup) zu sehen. Diese werden automatisch beim ersten Entsperren des Tresors angelegt und können in leichteren Fällen der Beschädigung "einspringen", ohne dass man einen Recovery-Key benötigt.
Vielen Dank für den Tipp!