Das Wesentliche
rclone crypt ist eine clientseitige Verschlüsselungs-Überlagerung, die in rclone integriert ist, dem Open-Source-Kommandozeilentool, das Dateien über 70+ Cloud-Anbieter verwaltet und synchronisiert. Das crypt-Backend umhüllt ein anderes Remote und verschlüsselt den Inhalt deiner Dateien - und optional ihre Namen - auf deinem eigenen Gerät vor dem Upload und entschlüsselt sie beim Download. Der Anbieter speichert immer nur Ciphertext. Damit wird jede Cloud, auf die du es richtest, faktisch zero-knowledge.
Für wen ist es gedacht? Für alle, die im Terminal zu Hause sind und eine Verschlüsselung wollen, die skriptbar und automatisierbar ist: nächtliche verschlüsselte Backups, ein Headless-Server ohne GUI oder einfach das Hinzufügen clientseitiger Verschlüsselung über einem Anbieter - Google Drive, Backblaze B2, S3, OneDrive -, der keinen nativen Zero-Knowledge-Modus bietet. Wenn du die Kommandozeile lieber meidest, deckt Cryptomator dasselbe Ziel mit einem grafischen Tresor ab, und wir vergleichen die beiden weiter unten.
Diese Anleitung erklärt genau, wie rclone crypt verschlüsselt, wie du es Schritt für Schritt einrichtest, die Dateinamen-Modi und eine ehrliche Falle, die die meisten Tutorials überspringen - die Art, wie rclone.conf dein Passwort speichert.
Wie es verschlüsselt (Inhalt und Namen)
rclone crypt erledigt seine gesamte Arbeit lokal, mit dokumentierten Primitiven:
- Der Dateiinhalt wird mit XSalsa20-Poly1305 verschlüsselt, dem authentifizierten Verfahren aus der NaCl-SecretBox-Konstruktion. Authentifiziert bedeutet, dass Manipulationen beim Download erkannt werden.
- Der Verschlüsselungsschlüssel wird aus deinem Passwort mit scrypt (einer memory-hard Schlüsselableitungsfunktion) abgeleitet, mit einem optionalen zweiten Passwort - genannt Salt oder
password2-, um ihn weiter zu härten. - Dateinamen werden im standardmäßigen
standard-Modus mit EME (einem AES-basierten Wide-Block-Modus) verschlüsselt, sodass ein geändertes Zeichen irgendwo den gesamten verschlüsselten Namen ändert.
Was bei voller Verschlüsselung für den Anbieter sichtbar bleibt: ungefähr die Größe jeder verschlüsselten Datei und die Anzahl der Dateien. Nicht der Inhalt, nicht die Namen. Das ist dasselbe Prinzip, das Vertrauen auf ein lokales Passwort zu verlagern, das aller clientseitigen Verschlüsselung zugrunde liegt.
rclone crypt einrichten (Konfigurationsschritte)
Die Einrichtung besteht aus zwei Remotes: einem Basis-Remote, das mit deiner Cloud spricht, und einem crypt-Remote, das es umhüllt. Du steuerst alles über rclone config.
- Erstelle das Basis-Remote. Führe
rclone configaus, wählen(neues Remote), benenne es (z. B.gdrive) und folge den Eingabeaufforderungen des Anbieters (OAuth für Google Drive, Schlüssel für S3/B2 usw.). - Erstelle das crypt-Remote. Führe
rclone configerneut aus,nfür neu, benenne es (z. B.secret) und wähle dascrypt-Backend. - Richte es auf einen Unterpfad des Basis-Remotes, damit die verschlüsselten Blobs in einem eigenen Ordner landen:
remote> gdrive:encrypted
- Wähle die Datei- und Verzeichnisnamen-Verschlüsselungsmodi (siehe nächster Abschnitt), dann lege ein Passwort und optional ein zweites Passwort (Salt) fest. Du kannst rclone ein starkes zufälliges generieren lassen.
Sobald das secret:-Remote existiert, ist Verschlüsseln und Hochladen ein einziger Befehl:
rclone copy ~/files secret:
Alles, was in secret: geschrieben wird, wird lokal verschlüsselt und unter gdrive:encrypted gespeichert. Das Zurücklesen (rclone copy secret: ~/restore) entschlüsselt transparent. Dasselbe Muster funktioniert für rclone sync, rclone mount und jeden anderen rclone-Befehl.
Dateinamen-Verschlüsselungsmodi
Wenn du das crypt-Remote erstellst, fragt rclone, wie mit Dateinamen umgegangen werden soll. Drei Modi:
| Modus | Was er tut | Kompromiss |
|---|---|---|
standard | Verschlüsselt Dateinamen mit EME (AES) - der Standard | Stärkste Privatsphäre; verschlüsselte Namen sind länger |
obfuscate | Ein leichteres Verwürfeln der Namen | Schneller, kürzere Namen, schwächer als standard |
off | Dateinamen bleiben lesbar | Keine Namensprivatsphäre; Ordnerstruktur wird an den Anbieter preisgegeben |
Die Verzeichnisnamen-Verschlüsselung ist ein separater Ja/Nein-Schalter. Ihn einzuschalten verbirgt auch deinen Ordnerbaum vor dem Anbieter. Wenn du sowohl Datei- als auch Verzeichnisnamen-Verschlüsselung auf off setzt, ist nur der Datei-Inhalt geschützt und der Anbieter kann dein gesamtes Ordnerlayout sehen - nützliche Metadaten für einen Angreifer, also bevorzuge standard, sofern du keinen bestimmten Grund dagegen hast.
Die rclone.conf-Falle (verschleiertes Passwort)
Das ist der Vorbehalt, den die meisten Anleitungen überspringen, und er ist wichtig. Standardmäßig speichert rclone dein crypt-Passwort in rclone.conf verschleiert - nicht stark verschlüsselt. Verschleierung ist umkehrbar: Wer die Datei lesen kann, kann das Passwort wiederherstellen (rclone reveal tut genau das). Eine geleakte rclone.conf leakt daher deinen Verschlüsselungsschlüssel.
Zwei Dinge zu tun:
- Lege ein Konfigurationspasswort fest. Wähle in
rclone configSet configuration password (s). Das verschlüsselt die gesamterclone.conf-Datei, sodass das verschleierte crypt-Passwort ohne dieses Konfigurationspasswort nicht mehr lesbar ist. - Sperre die Datei ab. Beschränke die Berechtigungen (
chmod 600 rclone.conf), halte sie von geteilten oder im Klartext gesicherten Orten fern und behandle sie auf jedem Headless-Server als Geheimnis.
Und eine Regel ohne Umweg: Wenn du das crypt-Passwort verlierst, sind deine Daten unwiederbringlich. Es gibt kein Zurücksetzen, keinen Wiederherstellungsschlüssel, keine Support-Hotline. Sichere das Passwort in einem Passwortmanager mit einer verschlüsselten Offline-Kopie.
rclone crypt vs. Cryptomator (welches wählen)
Beide sind Open Source, clientseitig und zero-knowledge. Der Unterschied liegt in der Oberfläche und dem Workflow, nicht im Sicherheitsmodell.
| rclone crypt | Cryptomator | |
|---|---|---|
| Oberfläche | Kommandozeile (CLI) | Grafisch (GUI) |
| Zugriffsmodell | rclone-Befehle / rclone mount | Bindet einen Tresor als virtuelles Laufwerk ein |
| Am besten für | Headless-Server, automatisierte Backups, Skripting | Interaktive Desktop- und Mobilnutzung |
| Anbieter | Jedes der 70+ Remotes von rclone | Cloud-Clients (Dropbox, Drive, iCloud, pCloud, OneDrive…) |
| Offizielle Mobil-Apps | Nein | Ja (iOS + Android) |
| Open Source | Ja | Ja |
| Zero-Knowledge | Ja | Ja |
Wähle rclone crypt, wenn du Backups automatisierst, eine Headless-Maschine betreibst oder Verschlüsselung über jedem rclone-Remote von der Kommandozeile aus willst. Wähle Cryptomator, wenn du einen per Klick einzubindenden Tresor willst, den du auch auf deinem Handy öffnest. Sie sind keine Rivalen - viele nutzen rclone crypt für Server-Backups und Cryptomator für tägliche Desktop- und Mobildateien. Um einen Anbieter für eines der beiden Tools auszuwählen, siehe unseren Überblick über verschlüsselte Cloud-Speicherdienste.
Fazit
rclone crypt verwandelt jeden der 70+ Cloud-Anbieter in ein Zero-Knowledge-Ziel mit bewährten Primitiven - XSalsa20-Poly1305 für den Inhalt, scrypt für den Schlüssel, EME für die Namen. Es ist das richtige Tool, wenn du automatisierbare, skriptbare clientseitige Verschlüsselung willst, besonders auf einem Server. Die zwei Dinge, die du richtig machen musst, sind ehrliche: Wähle die standard-Dateinamenverschlüsselung, sofern du keinen Grund dagegen hast, und schütze rclone.conf mit einem Konfigurationspasswort, denn das gespeicherte crypt-Passwort ist nur verschleiert, nicht verschlüsselt. Tu das, halte ein sicheres Backup des Passworts bereit, und du hast clientseitige Verschlüsselung, die einen Einbruch oder eine gerichtliche Anordnung beim Anbieter übersteht.
FAQ
Die häufigsten Fragen werden im strukturierten FAQ-Block oben behandelt (auch im Google-Rich-Snippet angezeigt): was rclone crypt ist und für wen, die verwendete Kryptografie, die Datei- und Ordnerverschlüsselung, die Sicherheit des Passworts in rclone.conf und der Vergleich mit Cryptomator.
Häufig gestellte Fragen
- Was ist rclone crypt und für wen ist es gedacht?
- rclone crypt ist ein Backend (eine Überlagerung) in rclone, dem Open-Source-Kommandozeilentool, das Dateien über 70+ Cloud-Anbieter synchronisiert. crypt umhüllt ein anderes Remote und verschlüsselt den Inhalt deiner Dateien (und optional ihre Namen) auf deinem Gerät vor dem Upload und entschlüsselt beim Download. Der Cloud-Anbieter sieht immer nur Ciphertext, es ist also zero-knowledge. Es richtet sich an Menschen, die mit einem Terminal vertraut sind: alle, die automatisierte verschlüsselte Backups betreiben, einen Headless-Server nutzen oder clientseitige Verschlüsselung über einen Anbieter legen wollen, der keine native Zero-Knowledge-Option hat (Google Drive, Backblaze B2, S3, OneDrive und so weiter).
- Welche Kryptografie verwendet rclone crypt?
- Der Dateiinhalt wird mit XSalsa20-Poly1305 verschlüsselt, dem authentifizierten Verfahren aus der NaCl-SecretBox-Konstruktion. Der Verschlüsselungsschlüssel wird aus deinem Passwort mit scrypt abgeleitet, mit einem optionalen zweiten Passwort (Salt oder password2 genannt) für zusätzliche Stärke. Dateinamen werden im Standardmodus mit EME (einem Wide-Block-AES-Modus) verschlüsselt. Alles geschieht lokal vor jedem Netzwerktransit, sodass weder der Dateiinhalt noch die Namen den Anbieter im Klartext erreichen.
- Verschlüsselt rclone crypt auch Datei- und Ordnernamen?
- Ja, optional. Der Standard-Dateinamenmodus ist standard, der Dateinamen mit EME (AES) verschlüsselt. Du kannst auch obfuscate (ein leichteres, schnelleres Verwürfeln) oder off (Namen bleiben lesbar) wählen. Die Verschlüsselung von Verzeichnisnamen ist ein separater Schalter, den du während der Konfiguration ein- oder ausschalten kannst. Wenn du Datei- und Verzeichnisnamenverschlüsselung auf off setzt, ist nur der Dateiinhalt geschützt und die Ordnerstruktur bleibt für den Anbieter sichtbar, was Metadaten preisgeben kann.
- Ist mein Passwort in rclone.conf sicher?
- Nicht standardmäßig, und das ist der wichtigste Vorbehalt. rclone.conf speichert dein crypt-Passwort verschleiert, nicht stark verschlüsselt. Verschleierung ist umkehrbar: Wer deine rclone.conf-Datei lesen kann, kann das Passwort mit rclone reveal wiederherstellen. Um es wirklich zu schützen, lege über rclone config ein Konfigurationspasswort fest (Set configuration password), das die gesamte rclone.conf-Datei verschlüsselt. Beschränke immer die Dateiberechtigungen von rclone.conf und verschlüssle sie idealerweise. Behandle diese Datei als Geheimnis.
- rclone crypt oder Cryptomator - was soll ich nutzen?
- Beide sind Open Source, clientseitig und zero-knowledge, die Wahl dreht sich also um den Workflow. rclone crypt ist ein Kommandozeilentool: skriptbar, perfekt für Headless-Server und automatisierte Backups, und es funktioniert mit jedem der 70+ Remotes von rclone. Cryptomator ist grafisch ausgerichtet, bindet einen verschlüsselten Tresor als virtuelles Laufwerk ein und liefert offizielle Mobil-Apps für iOS und Android mit, was es besser für die interaktive Desktop- und Mobilnutzung macht. Wenn du in einem Terminal lebst oder Backups automatisierst, nimm rclone crypt. Wenn du einen per Klick eingebundenen Tresor willst, den du auch auf dem Handy öffnest, nimm Cryptomator. Viele nutzen beide.
Zero-Knowledge-Verschlüsselung hinzufügen → pCloud Crypto
Clientseitige Verschlüsselung · nur du hast den Schlüssel · Schweizer Gerichtsbarkeit