Sicherheit bei Locki

Name: Locki Security
Brand: Locki

Sicherheit ist das Herzstück von Locki. Wir haben unsere Plattform nach einem Prinzip entwickelt: Ihre Klartextdaten sollten Ihren Browser niemals verlassen — unter keinen Umständen. Diese Seite beschreibt unsere Sicherheitsarchitektur und was sie für Ihre Organisation bedeutet.

1. Lokale Verschlüsselung

Die gesamte Ver- und Entschlüsselung erfolgt lokal in Ihrem Browser. Locki überträgt, speichert oder greift niemals auf Ihre Klartextdaten zu. Ihre Verschlüsselungsschlüssel bleiben vollständig unter Ihrer Kontrolle — die Erweiterung verwendet sie nur im Arbeitsspeicher und sendet sie niemals im Klartext an einen Server.

2. Zero-Knowledge-Architektur

Wir haben Locki mit einem strikten Zero-Knowledge-Modell entwickelt. Selbst für Org-Schlüssel, die auf unseren Servern gespeichert sind — sie werden AES-GCM-verschlüsselt mit einem Schlüssel gespeichert, der vom Master-Geheimnis Ihrer Organisation abgeleitet ist. Wir speichern verschlüsselte Blobs, keine verwendbaren Schlüssel. Selbst wenn unsere Datenbank kompromittiert würde, blieben Ihre Schlüssel geschützt.

3. Verschlüsselungsstandards

Locki verwendet AES-256-GCM — denselben Algorithmus, der von Finanzinstitutionen, Regierungen und Cloud-Anbietern zum Schutz sensibler Daten eingesetzt wird. Jede verschlüsselte Nutzlast enthält einen eindeutigen 12-Byte-IV, um Replay-Angriffe zu verhindern. Dies wird mithilfe der nativen Web Crypto API des Browsers implementiert, nicht mit Drittanbieter-Bibliotheken.

4. Keine Klartextdatenerfassung

Locki erfasst nicht den Inhalt dessen, was Sie verschlüsseln. Audit-Protokolle erfassen nur Metadaten — Akteur, Aktion, Schlüssel-ID, Zeitstempel und Web-App-URL — niemals den Klartext oder Chiffretext Ihrer Nachrichten. Dieses Design gewährleistet standardmäßige DSGVO-Konformität.

5. Open-Source-Kryptografie

Wir sind überzeugt, dass Datenschutz-Tools überprüfbar sein müssen. Lockis zentrale kryptografische Primitive sind als Open Source veröffentlicht — github.com/locki-hub/locki-crypto — und als npm-Paket verfügbar (@lockisecurity/crypto-core). Das Verschlüsselungsformat, die IV-Behandlung und die Schlüsselableitung können von jedem unabhängig überprüft, auditiert und wiederverwendet werden.

6. Verantwortungsvolle Offenlegung

Wir begrüßen verantwortungsvolle Sicherheitsforschung. Wenn Sie eine Schwachstelle in Locki entdecken, kontaktieren Sie uns sofort unter contact@lockisecurity.com. Wir nehmen jeden Bericht ernst und antworten umgehend.

Zuletzt aktualisiert: 27. April 2026