Säkerhet
Säkerhet & kryptering i CryptoVault Cloud
CryptoVault Cloud är byggt efter principen Zero Trust – ingen, inte ens vi som driftar tjänsten, ska kunna läsa ditt innehåll. Nedan förklarar vi hur skyddet fungerar i praktiken.
🔐 Transportkryptering – TLS 1.3
All kommunikation till och från våra servrar skyddas med TLS 1.3 och moderna algoritmer som AES-256-GCM och ChaCha20-Poly1305. Trafiken är krypterad hela vägen från din enhet till servern.
Ingen på vägen – inte ens din internetleverantör – kan se vad du överför.
Kort sagt: dina filer färdas i en krypterad tunnel.
🧩 Filkryptering – AES-256 i Seafile
När du skapar ett krypterat bibliotek i Seafile krypteras alla filer lokalt innan de laddas upp. Krypteringen använder AES-256 (CBC-läge) med en nyckel som härleds från ditt lösenord via PBKDF2-SHA-256.
Även om någon får fysisk tillgång till servern eller en backupdisk är filerna oläsliga utan din personliga nyckel.
Kort sagt: bara du – och de du delar med – kan öppna filerna.
🔑 Lösenordshanteraren – världsklass-kryptering
Våra lösenordshanterare (Bitwarden/Vaultwarden) skyddar allt med avancerad end-to-end-kryptering. All data krypteras lokalt på din enhet innan den lämnar webbläsaren. Krypteringen bygger på AES-256-GCM tillsammans med saltade hashvärden och PBKDF2-SHA-256 eller (rekommenderat) Argon2id för nyckelderivering.
- AES-256-GCM: symmetrisk kryptering med integritetsskydd (autentisering av data).
- PBKDF2-SHA-256 / Argon2id: skyddar mot brute-force med itereringar och (för Argon2id) minneshårdhet.
- Servern lagrar endast krypterad data – ditt huvudlösenord lämnar aldrig webbläsaren i klartext.
Kort sagt: lösenord i världsklass – bara du har nyckeln.
💽 Säker drift & hårdvara
Servern körs i Sverige på nya hårddiskar avsedda för kontinuerlig drift (NAS- och enterprise-klass). Systemet uppdateras regelbundet och skyddas av flera lager av brandväggar: en nätverksbrandvägg i routern, en dedikerad mjukvarubrandvägg på servern samt operativsystemets egen brandvägg som används för automatiska blockeringar.
Din data stannar i Sverige – skyddad av flera säkerhetslager enligt Zero-Trust-principen.
🛡 Intrångsskydd & automatiska blockeringar
Utöver kryptering övervakas miljön för att upptäcka och stoppa intrångsförsök. Loggar från brandvägg, fjärrinloggningar, databaser och webbservrar analyseras löpande för mönster som tyder på angrepp – till exempel upprepade felaktiga inloggningar, portskanningar eller kända exploit-förfrågningar.
När ett angrepp identifieras kan angriparens IP-adress automatiskt blockeras på brandväggsnivå under en period. Blockeringen gäller då alla skyddade tjänster på servern, inte bara en enskild webbapplikation.
Systemet använder dessutom hotinformation från ett större ekosystem av servrar världen över. Kända skadliga adresser kan därmed stoppas tidigt, ofta redan vid första försöket.
Inga filer eller lösenord skickas vidare i detta arbete – det handlar enbart om teknisk säkerhetsdata som IP-adresser, tidpunkter och felkoder.
✅ Rekommenderade säkerhetsvanor
- Aktivera 2FA (tvåstegsverifiering) i både Seafile och Bitwarden.
- Använd Argon2id som KDF i Vaultwarden om alternativet finns tillgängligt.
- Skapa långa huvudlösenord – minst 16 tecken – och lagra dem säkert.
- Använd alltid krypterade bibliotek för känsligt material.
🔐 Zero-Trust-principen
Zero-Trust är en modern säkerhetsprincip som utgår från att ingen enhet, användare eller tjänst kan anses vara pålitlig – inte ens inom det egna nätverket. Varje åtkomst måste därför verifieras, autentiseras och krypteras innan den godkänns.
I praktiken betyder det att data skyddas på alla nivåer: användare loggar in med tvåstegsverifiering, filer lagras i krypterade bibliotek, och varje systemdel har endast de minimala rättigheter som krävs. Ingen får implicit förtroende – säkerhet uppnås genom ständig kontroll.
Zero-Trust handlar inte om misstro, utan om att bygga förtroende på ett säkert sätt – genom verifiering, transparens och stark kryptering. Det är grunden i CryptoVault Clouds säkerhetsmodell.
Loggning & insyn
För att kunna upptäcka intrångsförsök, missbruk och tekniska problem behöver vi loggar. Samtidigt är poängen med CryptoVault Cloud att inte samla mer data om dig än nödvändigt. Här är vad vi loggar – och vad vi inte loggar.
Vad vi loggar
- Inloggningsförsök (tid, användarkonto, resultat: lyckat / misslyckat).
- Grundläggande tekniska serverloggar (felmeddelanden, krascher, resursvarningar).
- Viktiga admin-åtgärder (skapa/ta bort konto, ändra lagringskvot m.m.).
- Åtkomst till administrationsgränssnittet.
Loggarna används för felsökning, säkerhet och för att kunna agera om något ser misstänkt ut (t.ex. upprepade felaktiga inloggningar).
Vad vi aldrig kan se
- Innehållet i dina filer – krypteras på din enhet innan uppladdning.
- Lösenord eller hemligheter i Vaultwarden – end-to-end-krypterat.
- Krypteringsnycklar till dina Seafile-bibliotek.
- Dina förvalda huvudlösenord eller autofyll-data.
Detta är inte ett policyval – det är tekniskt omöjligt för oss att läsa eller logga dessa uppgifter. Allt är krypterat med zero-knowledge-principer, där bara du har nycklarna.
För den som vill läsa alla detaljer om loggar, lagringstid och rättigheter finns en separat sida med integritetspolicy. Där beskriver vi juridiken – här fokuserar vi på den praktiska säkerheten.
🧩 End-to-end-kryptering
End-to-end-kryptering (E2EE) innebär att informationen är krypterad hela vägen – från sändare till mottagare. Ingen mellanliggande server, leverantör eller administratör kan läsa innehållet, eftersom nycklarna aldrig lämnar användarens egna enheter.
Detta skiljer sig från vanlig kryptering, där data ofta dekrypteras tillfälligt på servern. Med E2EE är varje fil, meddelande eller lösenord skyddat även om någon skulle få tillgång till lagringen eller nätverket – det som finns där är bara meningslös krypterad data.
I CryptoVault Cloud används end-to-end-kryptering för att garantera att endast du och de du väljer att dela med kan läsa innehållet. Varken vi eller någon tredje part har nyckeln – och det är precis så säkerhet ska fungera.
🧾 Loggar & metadata
Vi loggar drift- och säkerhetshändelser (fel, resursanvändning, intrångsförsök) för att hålla tjänsten stabil och säker. Loggarna används bland annat för att kunna upptäcka och blockera angrepp automatiskt. Innehållet i krypterade bibliotek är okänt för oss och loggarna innehåller endast begränsad teknisk metadata – till exempel IP-adress, tidpunkt och felkoder. Rensning och rotation sker regelbundet.
💾 Backuper & retention
Backuper tas för driftsäkerhet och återställning. Innehållet förblir end-to-end-krypterat och oläsligt utan din nyckel. Komplettera gärna med egen offline-backup av det viktigaste.
🛠️ Sårbarhetsrapportering
Hittat något misstänkt? Hör av dig till cloud.cryptovault@gmail.com. Vi uppskattar ansvarsfull rapportering och prioriterar åtgärder.
🛡 Säkerhetsöversikt
Här är en snabb översikt över de viktigaste skyddslagren som är aktiva på servern. Det är en sammanfattning av verkliga funktioner – inga fiktiva mätare eller påhittade nivåer.
Logg- & mönsteranalys
Säkerhetsloggar från flera källor samlas centralt och analyseras för ovanliga mönster som kan tyda på angrepp.
Dynamiska blockeringar
Misstänkta och kända skadliga IP-adresser kan automatiskt spärras via brandväggen under en period.
Flerlagers brandvägg
Kombination av routerbrandvägg, serverbrandvägg och operativsystemets skydd ger en liten, hårt bevakad attackyta.
Zero-Trust-arkitektur
Åtkomst ges aldrig automatiskt – alla förfrågningar måste gå via inloggning, kryptering och tydligt definierade rättigheter.
Panelen beskriver vilka skydd som är aktiva – inte statistik. All fildata är fortfarande end-to-end-krypterad och kan inte läsas av oss.
Senast uppdaterad: november 2025