Hoe Doqubox end-to-end encryptie gebruikt om gevoelige documenten te beschermen
Organisaties die klanten vragen om gevoelige documenten, zoals paspoorten, contracten, financiële overzichten, medische dossiers of compliance-documenten te delen, dragen een zware verantwoordelijkheid. Het risico zit niet alleen in onderschepping tijdens verzending, maar vooral ook in wat daarna gebeurt. Gevoelige bestanden belanden in inboxen, back-ups, verkeerd doorgestuurde bijlagen, gedeelde mailboxen of interne systemen die niet zijn ingericht voor vertrouwelijke data, met alle risico’s van dien.
Doqubox is gebouwd om die blootstelling te verkleinen. Met Doqubox worden bestanden versleuteld vóórdat ze het apparaat van de verzender verlaten en pas ontsleuteld door een bevoegde ontvanger. Dat betekent dat het alleen de verzender en ontvanger toegang hebben tot de documenten en verder niemand deze kan inzien.
In dit artikel leggen we uit hoe dat in de praktijk werkt en wat het concreet betekent dat het platform geen praktische toegang heeft tot de inhoud van versleutelde documenten.
Het kernidee: eerst versleutelen, daarna uploaden
Doqubox is zo ontworpen dat versleuteling al in de browser van de verzender plaatsvindt.
Wanneer iemand een bestand uploadt naar een Doqubox-adres, wordt het oorspronkelijke bestand lokaal in de browser verwerkt met moderne browsercryptografie. Eerst versleutelt de browser het bestand en daarna pas wordt de versleutelde versie ge-uploadt. De versleuteling vindt plaats met een sleutel die al eerder door de ontvanger is aangemaakt en verder bij niemand bekend is.
Met deze technologie onderscheidt Doqubox zich wezenlijk van traditionele filesharing-systemen, die bestanden vaak wel versleutelen tijdens transport en opslag, maar waarbij het systeem zelf ook toegang heeft tot de (inhoud van) de bestanden. U stuurt feitelijk niet alleen het bestand naar de ontvanger, maar ook naar de tussenliggende dienst. Hierdoor weet u niet zeker wat er met die gegevens wordt gedaan en u loopt daarnaast onnodig risico mocht de dienst ge-hacked worden.
Praktisch betekent dit dat onze servers versleutelde gegevens kunnen opslaan, routeren en afleveren zonder de onderliggende documenten te kunnen inzien.
Wat er gebeurt wanneer iemand een bestand uploadt
In de versleutelde Doqubox workflow versleutelt Doqubox bestanden in de browser voordat de upload wordt verstuurd.
In grote lijnen ziet dat proces er zo uit:
- De verzender navigeert naar een speciaal portaal voorzien van de branding van uw organisatie en kiest welk bestand hij wil verzenden.
- De browser maakt nieuw versleutelingsmateriaal aan voor dat specifieke bestand op basis van een geheime sleutel die alleen bij de ontvanger bekend is. Hiermee wordt het bestand versleuteld.
- Alleen het versleutelde bestand en de noodzakelijke versleutelingsmetadata worden geüpload naar Doqubox.
- De ontvanger krijgt een bericht dat hij een nieuw bestand heeft ontvangen.
Het oorspronkelijke leesbare bestand wordt dus niet opgeslagen op ons platform. Tegen de tijd dat het document onze servers bereikt, is het al versleuteld. Dat maakt onze aanpak uniek: niemand anders dan de bedoelde ontvanger kan de inhoud van documenten inzien – ook wij niet.
Wat er gebeurt wanneer een bevoegde ontvanger een bestand downloadt
Wanneer een bevoegde ontvanger een versleuteld document downloadt, haalt de browser het versleutelde bestand op en wordt het lokaal ontsleuteld. De server kan nog steeds toegangsregels afdwingen en het versleutelde bestand afleveren, maar voert de ontsleuteling zelf niet uit. Pas na die lokale ontsleuteling krijgt de gebruiker een leesbaar bestand in de browser. Sterke encryptie zoals PGP, zonder gedoe
Conceptueel volgt dit hetzelfde basisprincipe als PGP: end-to-end encryptie met publieke en private sleutels (PKI), waarbij gegevens worden versleuteld met de publieke sleutel voordat ze worden verstuurd en alleen door de bedoelde ontvanger met de private sleutel geopend kunnen worden.
Het verschil zit in gebruiksgemak. PGP is krachtig, maar voor veel mensen te technisch voor dagelijkse documentuitwisseling. Sleutelbeheer, configuratie en dagelijks gebruik vormen al snel een drempel.
Doqubox past hetzelfde beveiligingsprincipe toe op een manier die praktisch en gebruiksvriendelijk is voor normaal zakelijk gebruik. Gebruikers hoeven niets van cryptografie te begrijpen om er voordeel van te hebben. Ze kunnen eenvoudig én veilig gevoelige documenten opvragen, versturen, ontvangen en openen via een vertrouwde workflow, terwijl de versleuteling op de achtergrond plaatsvindt.
Waarom end-to-end encryptie écht het verschil maakt
Veel platforms spreken over encryptie (en soms zelfs over end-to-end-encryptie) maar in de praktijk hebben zij zelf toegang tot de sleutels en daarmee toegang tot documentinhoud. Hoewel dit een zekere mate van beveiliging geeft, betekent dit dat u er op moet vertrouwen dat zij deze gegevens niet (mis)bruiken en dat ze niet onbedoeld in verkeerde handen vallen.
Bij echte end-to-end-encryptie (E2EEE) worden bestanden al versleuteld vóórdat ze het apparaat van de verzender verlaten op zo’n wijze dat deze alleen door de ontvanger ontsleuteld kunnen worden. Daardoor levert een datalek, interne toegang of blootgestelde back-up geen leesbare informatie op, maar slechts onbruikbare versleutelde bestanden.
Zelfs binnen het platform is documentinhoud niet inzichtelijk voor anderen dan de bedoelde ontvanger. Dit neemt niet alle beveiligingsmaatregelen weg—zaken als goede authenticatie en endpoint-beveiliging, bewaarbeleid en toegangsbeheer blijven essentieel—maar het elimineert wél een van de grootste structurele risico’s: centrale toegang tot gevoelige data.
Dat is de praktische beveiligingswaarde van het end-to-end encryptiemodel waarbij ook de sleutels buiten het bereik van het platform blijven (zero knowledge). Voor organisaties die werken met identiteitsgegevens, juridische documenten, financiële informatie of medische dossiers betekent dat een fundamenteel hoger niveau van gegevensbescherming.