Kryptografische Architektur

Ihre Daten,
selbst für uns unlesbar.

leggit setzt die modernen Standards der Ende-zu-Ende-Verschlüsselung ein. Hier in klaren Worten, wie es funktioniert — und warum es Sie schützt.

Das Prinzip: Zero-Knowledge

«Zero-Knowledge» bedeutet wörtlich: leggit hat keinerlei Kenntnis vom Inhalt Ihrer Tresore. Ihre Daten werden auf Ihrem Gerät verschlüsselt, bevor sie gesendet werden, und der Schlüssel zur Entschlüsselung verlässt niemals Ihren Rechner oder den Ihrer Empfänger.

Konkret: Selbst wenn unsere Server beschlagnahmt oder kompromittiert würden, blieben die Inhalte unlesbar — eine verschlüsselte Datei ohne Schlüssel ist zufälliges Rauschen.

Seit der E2EE-Entwicklung (Ende-zu-Ende-Verschlüsselung) der Plattform ist dieses Prinzip kein Versprechen mehr: es ist eine überprüfbare technische Garantie. Für Ihre persönlichen Tresore erfolgen Ver- und Entschlüsselung in Ihrem Browser, in einem isolierten Web Worker, der allein Ihre Schlüssel hält. Der leggit-Server erhält nur opake verschlüsselte Blobs.

🔒 Wie es tatsächlich funktioniert: die kryptografische Bibliothek libsodium-wrappers wird von unseren eigenen Servern ausgeliefert (kein externes CDN → Anti-Supply-Chain). Jedes kritische JavaScript wird mit einem SRI (Subresource Integrity)-Hash geliefert: der Browser verweigert die Ausführung, wenn der Code während der Übertragung verändert wurde. Die Hashes sind auf unserer E2EE-Transparenzseite veröffentlicht; Sie können sie mit openssl lokal nachrechnen.
📋 Mises à jour récentes (2026-05-18) — Périmètre E2EE étendu

Depuis la version 1.0 de l'attestation, plusieurs modules ont été renforcés ou ajoutés au périmètre du chiffrement bout-en-bout (E2EE) :

  • Mode Prudent crypto-wallets — La table de substitution (photo scannée associée à un wallet) est désormais chiffrée dans votre navigateur AVANT envoi via le flux chunked E2EE (libsodium secretstream_xchacha20, header + chunks séparés). leggit ne voit jamais l'image en clair, même temporairement.
  • Workflow dual-device (PC + téléphone) — Vous pouvez désormais saisir les mots substitués sur votre PC et scanner la table sur votre téléphone, sans qu'aucun appareil n'ait simultanément les deux secrets. Le pairing utilise un token long (256 bits, stocké en SHA-256 côté serveur) + un code court à 6 caractères (rate-limité 10 tentatives / 15 min).
  • Révélation Prudent en 3 modes — Lors de la consultation d'un wallet Prudent, vous choisissez : « Mots seuls », « Table seule » (la seed n'est pas déchiffrée sur l'écran qui affiche la table), ou « Les deux ». Défense en profondeur cohérente avec le modèle dual-device.
  • Référentiel des relations administrable — Les types de relations (Conjoint, Enfant, Parent, etc.) sont désormais centralisés dans une table administrée, avec leur miroir réciproque et un flag « Ayant droit par défaut » pour suggérer la propagation.

Voir l'attestation v2.0 complète — ou la version technique détaillée.

Hüllen-Verschlüsselung

Jedes Element (Text, Datei, Nachricht) wird mit einem einzigartigen zufälligen Schlüssel verschlüsselt, dem sogenannten Data Encryption Key (DEK). Dieser DEK wird seinerseits mit Ihrem Hauptschlüssel verschlüsselt, der über Argon2id (ein aufwändiger Algorithmus, der Massenangriffen widersteht) aus Ihrem Passwort abgeleitet wird.

Vorteil: Wenn Sie Ihr Passwort ändern, werden nur die DEK neu verschlüsselt, nicht alle Ihre Dateien.

Öffentliche X25519-Schlüssel für Empfänger

Jeder Empfänger verfügt über ein auf seinem Gerät erzeugtes Schlüsselpaar (öffentlich/privat). Um Alice ein Datum zu übermitteln, verschlüsselt Ihr Tresor den DEK mit Alices öffentlichem Schlüssel: nur Alices privater Schlüssel kann ihn entschlüsseln.

X25519 ist der Algorithmus, der von WireGuard, Signal und allen modernen verschlüsselten Messaging-Lösungen verwendet wird.

Shamir-Geheimnisteilung

Für die Wiederherstellung Ihres Kontos oder die Post-mortem-Freigabe zerlegt leggit einen kritischen Schlüssel in mehrere mathematisch verknüpfte Teile. Zum Beispiel in 5 Teile, von denen 3 nötig sind, um das Geheimnis zu rekonstruieren.

Kein einzelnes Teil liefert eine Information: das Quorum muss erreicht sein — zum Beispiel 3 von 5 Vertrauenspersonen — um die Entschlüsselung auszulösen. Niemand kann allein handeln.

AEAD: Integrität und Vertraulichkeit

Alle angewandten Verschlüsselungen nutzen AEAD-Algorithmen (XChaCha20-Poly1305). Das heißt, ein Angreifer kann weder den Inhalt lesen noch heimlich ein Byte der Datei verändern, ohne dass dies bei der Entschlüsselung erkannt wird.

Wo werden die Schlüssel gespeichert?

  • Ihr Hauptschlüssel wird bei jeder Anmeldung über Argon2id aus Ihrem Passwort abgeleitet. Er wird dann direkt an einen isolierten Web Worker in Ihrem Browser übergeben, wo er für die Dauer Ihrer Sitzung im RAM verbleibt. Er wird niemals im Klartext persistiert, und der Haupt-JavaScript-Thread (DOM, Inline-Skripte) kann nicht darauf zugreifen — was die Auswirkungen einer möglichen XSS begrenzt.
  • Die privaten X25519-Schlüssel Ihrer Empfänger werden mit deren eigenem Passwort verschlüsselt und in deren Konto gespeichert.
  • Die Shamir-Teile liegen bei den von Ihnen benannten Vertrauenspersonen und sind für leggit niemals im Klartext zugänglich.
  • Beim Abmelden oder Schließen des Tabs wird der Worker beendet: alle Schlüssel im RAM werden sofort gelöscht (memzero).

Überprüfen Sie selbst

Sie müssen uns nicht beim Wort nehmen: die browserseitige kryptografische Kette ist auditierbar.

  • Öffnen Sie die Entwicklerwerkzeuge Ihres Browsers (F12) → Reiter Netzwerk. Beim Schreiben oder Lesen eines Elements sehen Sie nur Base64-Blobs (cipher_blob_b64, my_wrap) übertragen — niemals Klartext.
  • Konsultieren Sie unsere E2EE-Transparenzseite: sie zeigt in Echtzeit die SRI-Hashes jedes Krypto-Skripts mit dem Befehl zur lokalen Nachberechnung.
  • Inspizieren Sie den Quellcode der Skripte (Rechtsklick → "Seitenquelltext anzeigen"). Alles ist lesbar, nicht obfuskiert, und identisch mit dem öffentlich publizierten Code.

Unser Bedrohungsmodell ist auf der Transparenzseite ehrlich dokumentiert — einschließlich dessen, was E2EE nicht schützt (Kompromittierung Ihres eigenen Browsers durch lokale Malware z.B.).

Aktueller E2EE-Geltungsbereich

Noch ist nicht alles in reinem Browser-E2EE — hier der tatsächliche Stand:

  • Persönliche Tresore (Texte, Passwörter, Dateien und Videos bis 100 MB): vollständiges Browser-E2EE. Schreiben, Lesen, Empfänger-Hinzufügen (mit Re-Authentifizierung), schrittweise Migration alter Inhalte, RGPD-Export: alles läuft durch Ihren Browser. Der Server sieht nur opake Cipher-Blobs.
  • 🔘 Familientresore (zwischen mehreren Mitgliedern geteilt): serverseitige Verschlüsselung mit Mehrschlüsselverteilung (Shamir + X25519 pro Mitglied). Der Server hat während aktiver Sitzungen Zugriff auf den Inhalt, um das Teilen zwischen Mitgliedern zu ermöglichen. Browser-E2EE-Upgrade ist auf der Roadmap.
  • 🔘 Krypto-Wallets (Substitutionstafeln als Bilder): serverseitige libsodium-secretstream-Verschlüsselung. E2EE-Upgrade geplant.
  • ⚙️ Post-mortem-programmierte E-Mail-Nachrichten: legitim serverseitig. Der Server MUSS am Tag der Freigabe entschlüsseln können, um die E-Mail zu versenden — eine reine E2EE-E-Mail wäre nicht zustellbar.
  • ⚙️ Post-mortem-Freigabe-Pipeline (Erbe): Shamir-Kombination + sitzungsseitige Entschlüsselung nach Quorum. Für persönliche Tresore in E2EE erfolgt die abschließende Entschlüsselung im Browser des Empfängers.

Öffentliche Roadmap: offizielle Browsererweiterung und signierter Desktop-Client, um die Abhängigkeit von durch unsere Server ausgeliefertem JavaScript zu eliminieren (Wegfall des Restrisikos "aktiv kompromittiertes JS"). In Arbeit.

Audit und Transparenz

Jede kryptografische Operation wird in einem zeitstempelgesicherten Audit protokolliert. Sie können jederzeit die Zugriffshistorie auf Ihren Tresor einsehen: wer hat was wann und von wo aus gesehen. Für persönliche E2EE-Tresore sind sensible Details (Titel, Vorschauen) selbst mit Ihrem Hauptschlüssel im Log verschlüsselt — nur Sie können sie über Ihren Browser zurücklesen.

Passwort-Wiederherstellung ohne leggit

Wenn Sie Ihr Passwort vergessen, gibt es kein klassisches «hier klicken zum Zurücksetzen»: leggit hat keinen Zugriff auf Ihren Hauptschlüssel. Bei der Anmeldung haben Sie mindestens 2 Wiederherstellungspersonen benannt.

Bei einem Passwortverlust erhalten Ihre Vertrauenspersonen eine Benachrichtigung, validieren die Anfrage, und ein kryptografischer Mechanismus namens Shamir Secret Sharing rekonstruiert dann einen Schlüssel, mit dem Sie ein neues Passwort festlegen können. leggit erfährt im Prozess nichts.

Achtung: Verlieren Sie Ihr Passwort UND werden Ihre Wiederherstellungspersonen unverfügbar (Tod, Kontaktverlust, Verweigerung), sind Ihre Daten endgültig verloren. Benennen Sie mehr Personen als unbedingt nötig und bevorzugen Sie geografisch verteilte Personen.

Zwei-Faktor-Authentifizierung (2FA)

Zusätzlich zu Ihrem Passwort können Sie eine zweite Schutzschicht aktivieren: einen 6-stelligen Code, der von einer Standard-Authentifizierungs-App (Google Authenticator, Authy, 1Password) auf Ihrem Telefon erzeugt wird.

Mit aktiver 2FA kann sich jemand, selbst wenn er Ihr Passwort kennt (durch Phishing, Leak oder Beobachtung), ohne Ihr Telefon nicht anmelden. Dringend empfohlen für Tresore mit Krypto-Wallets oder sehr sensiblen Daten.

Gerichtliches Verfahren / Beschlagnahme

leggit kann eine gerichtliche Anordnung eines Richters oder einer staatlichen Stelle erhalten. Was kann übergeben werden? Nur das, worüber leggit verfügt: die verschlüsselten Blobs, die Metadaten, den Anmeldeverlauf, die Identität des Kontos. Nicht der Inhalt im Klartext, weil wir ihn nie hatten.

Keine Einrichtung einer technischen «Hintertür», die eine Entschlüsselung auf Anfrage erlaubt. Die Kryptografie ist mathematisch dicht. Verlangt die Justiz einen Inhalt, muss sie sich an die Empfänger oder Vertrauenspersonen wenden, denen es freisteht, zu kooperieren oder nicht.

Service-Kontinuität

Was passiert, wenn leggit zumacht? Wir verpflichten uns auf drei Punkte:

  • Mindestankündigungsfrist von 6 Monaten vor tatsächlicher Geschäftseinstellung.
  • Vollständiger Export jedes Tresors an jeden Nutzer in einem offenen, lesbaren Format (Klartext + Dateien).
  • Übergabe des Quellcodes, der technischen Dokumentation und der verschlüsselten Datenbanken an eine benannte Vertrauensperson, mit Escrow-Mechanismus, damit ein Übernehmer den Betrieb möglichst fortführen kann.

DSGVO-Konformität

leggit beachtet die Datenschutz-Grundverordnung (DSGVO) und das französische Datenschutzgesetz. Sie haben jederzeit das Recht, Ihre Daten einzusehen, zu berichtigen, zu exportieren und endgültig zu löschen.

Für die Post-mortem-Übermittlung fügt sich leggit in den Rahmen des französischen Gesetzes République Numérique 2016 (Art. 84-86 des Zivilgesetzbuches) ein, das die Äußerung und Ausführung digitaler Verfügungen nach dem Tod erlaubt. Die über DocuSeal unterzeichnete Post-mortem-Vollmacht hat juristische Beweiskraft.