Vault
Der persönliche Vault ist der verschlüsselte Datenraum deines Ephraim-Kontos. Er schützt private Chats, Dateien, Erinnerungen, persönliche Kalender und daraus erzeugte Zusammenfassungen. Er erklärt auch, warum Passwörter in Ephraim wichtiger sind als bei einfachen Schulportalen.
1. Die Grundidee
Ein normales Webkonto besteht oft nur aus Benutzername, Passwort und einigen gespeicherten Daten. Ephraim trennt stärker: Das Konto enthält Stammdaten und Berechtigungen, der Vault enthält private Inhalte. Der Vault besitzt einen eigenen Datenschlüssel, den User-DEK. DEK bedeutet Data Encryption Key, also Datenschlüssel.
Dein Passwort ist nicht dieser Datenschlüssel. Das Passwort verpackt den Datenschlüssel. Beim Login prüft Ephraim dein Passwort und öffnet damit die Verpackung des User-DEK für die aktuelle Sitzung. Erst danach sind private Inhalte lesbar und beschreibbar.
2. Was im Vault liegt
Der Vault schützt Inhalte, die fachlich zu deinem privaten Arbeitsbereich gehören. Ephraim speichert diese Inhalte nicht als Klartext in der Datenbank oder als normale Dateien im Dateisystem.
| Inhalt | Schutz im System |
|---|---|
| Normale Chats, Chat-Titel und Nachrichten | Werden im persönlichen Vault verschlüsselt gespeichert und nur mit entsperrtem Vault gelesen. |
| Chat-Zusammenfassungen für „Mein Ephraim“ und spätere Wiederaufnahme | Liegen verschlüsselt in den Summary-Tabellen und werden aus dem entsperrten Vault-Kontext erzeugt. |
| Persönliche Dateien und Dateinamen | Werden chunkweise verschlüsselt gespeichert; auch Anzeigenamen sind geschützt. |
| Persönliche Erinnerungen | Werden mit dem User-DEK verschlüsselt und nur für das eigene Konto genutzt. |
| Private Kalenderabos | Nutzen eigene Quellschlüssel, die mit dem User-DEK verpackt sind. URL, Rohdaten, Chunks, Embeddings und Termine bleiben vaultgebunden. |
| Private KI-Artefakte | Werden bei vorhandenem User-DEK verschlüsselt gespeichert, damit spätere Ansichten nicht auf Klartext-Persistenz angewiesen sind. |
Wenn aus Vault-Inhalten Embeddings entstehen, ist die Spark nur der lokale Rechner:
school-ui-embedding wandelt freigegebene Klartextabschnitte kurz in
Zahlenvektoren um und speichert daraus nichts dauerhaft. Gespeichert werden die Chunks
und Embedding-Vektoren wieder verschlüsselt in Ephraim.
3. Was nicht im Vault liegt
Nicht alle Daten eines Kontos gehören in den Vault. Ephraim muss Rollen, Klassen, Sperrstatus, Sitzungsstatus und technische Sicherheitsereignisse verwalten, auch wenn der private Vault gerade nicht entsperrt ist.
- Benutzername, Anzeigename, Rolle, Klasse und E-Mail-Adresse liegen als Kontodaten außerhalb des Vaults.
- Passwörter liegen nie im Klartext vor. Gespeichert wird ein Passwort-Hash.
- 2FA-Geheimnisse sind serverseitig verschlüsselt; 2FA-Recovery-Codes liegen nur gehasht vor.
- Globale Wissensquellen der Schule verwenden einen serverseitigen Knowledge-Schlüssel, nicht deinen User-DEK.
- Administrationsprotokolle speichern technische Vorgänge, aber keine Chatinhalte, Passwörter oder Vault-Schlüssel.
4. Was beim Login passiert
Beim Login prüft Ephraim dein Passwort gegen den gespeicherten Passwort-Hash. Danach wird der mit deinem Passwort verpackte User-DEK entsperrt und in der serverseitigen Sitzung gehalten. Die PHP-Sessiondateien selbst sind verschlüsselt, damit der Schlüssel nicht als Klartext in normalen Sessiondateien liegt.
Diese Sitzung ist der praktische Arbeitszustand: Chat speichern, Datei herunterladen, private Kalender im Chat nutzen, „Mein Ephraim“ zusammenfassen und Daten exportieren brauchen den entsperrten User-DEK. Ohne entsperrten Vault antworten diese Funktionen mit einem Sperrhinweis oder liefern keine privaten Inhalte.
5. Warum das Passwort Folgen für Daten hat
Solange du dein aktuelles Passwort kennst, ist der Wechsel einfach: Der User-DEK ist in der aktuellen Sitzung entsperrt und wird mit dem neuen Passwort neu verpackt. Die verschlüsselten Daten bleiben unverändert.
Wenn du das Passwort vergessen hast, fehlt die normale Verpackung des User-DEK. Dann gibt es genau zwei technische Wege: vorbereitete datenerhaltende Recovery oder datenlöschender Reset. Die Recovery bringt denselben User-DEK über einen Live-Fall zurück. Der Reset erzeugt einen neuen User-DEK und entfernt alte private Vault-Daten.
6. Was Recovery kryptografisch leistet
Die Vorbereitung besteht aus drei Schritten: Einladung, Annahme und Aktivierung. Erst bei der Aktivierung durch den Kontoinhaber mit entsperrtem Vault erzeugt Ephraim das Recovery-Material. Der Kontakt bekommt dabei keinen Klartextschlüssel. Ephraim verschlüsselt einen Recovery-Anteil für den öffentlichen Schlüssel des Kontakts.
Im Ernstfall startet der Kontoinhaber eine Passwort-Wiederherstellung. Ephraim erzeugt einen zeitlich begrenzten Live-Fall. Der Kontakt meldet sich an, entsperrt seinen eigenen Vault, prüft die Identität außerhalb der App und gibt frei. Die API liefert den rekonstruierten Owner-DEK nicht an den Kontakt aus. Sie verpackt ihn für den laufenden Recovery-Fall. Danach setzt der Kontoinhaber ein neues Passwort, und Ephraim rewrappt den bestehenden User-DEK mit diesem neuen Passwort.
7. Vault und Projekte
Projekte sind fachlich eigene Arbeitsräume. Projektmaterialien, Projektauftrag und Lehrkraft-Konfiguration gehören zum Projekt. Persönliche Projektchat-Verläufe, persönliche Fazite und nutzerbezogene Folgeartefakte bleiben dagegen an den jeweiligen Vault gebunden.
Daraus folgt: Eine Lehrkraft liest keine privaten Projektchats eines Schülers. Lehrkräfte arbeiten mit den vorgesehenen Fazit- und Beobachtungsfunktionen. Diese erzeugen verdichtete Auswertungen unter den im Projekt gesetzten Regeln; sie öffnen nicht einfach den Vault eines Lernenden.
8. Export, Suche und Löschung
Datenexport, Suche, Dateidownload und Chatwiederaufnahme brauchen einen entsperrten Vault. Der Export ist eine bewusste Klartext-Ausleitung: Ephraim entschlüsselt deine Daten für den Download, erstellt bei Dateioption ein temporäres verschlüsseltes ZIP außerhalb des Webroots und löscht dieses ZIP nach dem Download wieder.
Bei Kontolöschung entfernt Ephraim Konto- und Vault-Daten. Bei datenlöschendem Reset entfernt Ephraim alte private Vault-Daten und erzeugt einen neuen Vault. Bei datenerhaltender Recovery bleibt der alte Vault erhalten.