Der hier beschriebene Wiederherstellungsprozess — Split-Knowledge, Verifizierung per Zoom-Call, server-blinde Rekonstruktion — ist das finale Design. Die Einrichtung wird im Release im Juni 2026 zusammen mit der Multi-Device-Registrierung bereitgestellt. Kunden mit Early-Access können den Zugang über support@clavitor.ai anfordern.
Für den Tag, an dem Sie Ihren Hardware-Key verlieren
Echte Verschlüsselung erfordert echte Wiederherstellung.
Die meisten Passwort-Manager haben einen Wiederherstellungsprozess, der ein Sicherheitsrisiko darstellt — E-Mail-Resets, SMS-Codes, Sicherheitsfragen; all das sind Umgehungen der Verschlüsselung. Die Wiederherstellung von Clavitor erfolgt durch die Verschlüsselung. Es ist die einzige ehrliche Antwort, wenn das wahre Versprechen lautet: „Wir können Ihren Tresor nicht entschlüsseln“.
Der Moment um 2 Uhr morgens
Sie sind in einem Hotel. Ihr Laptop ist leer. Ihr YubiKey liegt in einer Schublade zu Hause. Ihr Smartphone-Display ist gesprungen. Sie benötigen eine Anmeldeinformation, um sich in ein System einzuloggen, das gerade nicht erreichbar ist.
Dies ist der Moment, in dem die Einrichtung, die Sie bei der Anmeldung vorgenommen haben, entscheidend wird. Bei Clavitor sind es zwei Schritte:
1. Schreiben Sie eine E-Mail an support@clavitor.ai und vereinbaren Sie einen Zoom-Call. 2. Während des Telefonats lesen Sie das Verifizierungsmaterial vor, das Sie bei der Einrichtung gewählt haben — eine Codephrase, einen Videolink, ein Foto, ganz nach Ihrem Ermessen. Der Mitarbeiter liest Ihnen einen Sitzungscode vor. Ihr Browser rekonstruiert den Schlüssel direkt auf dem Gerät.
Das ist der gesamte Prozess. Keine SMS. Keine Sicherheitsfragen. Kein „Klicken Sie auf den Link in Ihrer E-Mail“, der nur so sicher ist wie die Sicherheit eines anderen Kontos. Der Server sieht den rekonstruierten Schlüssel niemals, selbst nicht während der Wiederherstellung.
Warum andere Wiederherstellungsprozesse nur Theater sind
Ein Passwort-Manager, der Ihnen erlaubt, auf „Hier klicken zum Zurücksetzen“ zu drücken, gibt zu, dass seine Verschlüsselung nur eine Empfehlung und keine Garantie war. Wenn der Support Sie mit einem Klick wieder hereinlassen kann, kann der Support jeden mit demselben Klick hereinlassen — unter Zwang, mit einem gestohlenen E-Mail-Konto oder nach einem Social-Engineering-Anruf.
Die Wiederherstellung ist nur so stark wie Ihr E-Mail-Konto. Was wiederum bedeutet, dass die Wiederherstellung nur so stark ist wie das E-Mail-Konto dieses Kontos. Das schwächste Glied in der Kette wird zu Ihrem Tresor.
Wiederherstellung über eine Nummer, die Sie nicht kontrollieren. Wiederherstellung für den SIM-Swap-Angreifer, nicht für Sie.
Wiederherstellung über Fakten aus Ihrem LinkedIn-Profil, Ihrem Jahrbuch oder dem Geburtsnamen Ihrer Mutter. Leicht durch Social Engineering zu manipulieren.
Dies sind keine Wiederherstellungsprozesse. Es sind Eingeständnisse, dass die Verschlüsselung lediglich dekorativ war.
Warum unsere Lösung anders ist
Drei Eigenschaften machen die Wiederherstellung von Clavitor kryptografisch fundiert statt rein prozeduralem Theater:
Split-Knowledge
Sie halten einen 48-Zeichen-Wiederherstellungscode (8×6 Raster). Wir halten einen 32-Byte-Wiederherstellungsanker. Beide bestehen aus 256 Bit reiner Entropie; keiner allein kann etwas entschlüsseln. Mathematik, nicht Richtlinien.
Menschliche Prüfung
Kein automatisierter Endpunkt. Kein Rate-Limit, das man durch Brute-Force umgehen könnte. Um unseren Teil zu erhalten, verifiziert eine Person bei Clavitor Sie in einem Zoom-Call anhand des Materials, das Sie bei der Einrichtung bei uns hinterlegt haben — die Wahl liegt bei Ihnen.
Server-blind, selbst während der Wiederherstellung
Unser Teil wird an Ihren Browser übertragen. Die mathematische Berechnung findet auf Ihrem Gerät statt. Wir sehen den rekonstruierten Schlüssel niemals, selbst nicht während der Wiederherstellung. Dieselbe Architektur, die Ihren Tresor vor uns verbirgt, verbirgt ihn auch während der Wiederherstellung vor uns.
Zwei Sicherheitsnetze
Richten Sie beides ein. Jedes schützt gegen eine andere Kategorie von Verlust:
Mehrere Geräte registrieren
Derselbe Tresorschlüssel, registriert für die Touch ID Ihres Laptops, die Face ID Ihres Telefons und einen YubiKey in einer Schublade. Jedes einzelne davon schaltet den Tresor frei. Laptop verloren — Sie haben noch Ihr Telefon. Beides verloren — Sie haben noch den YubiKey.
Wiederherstellung einrichten
Für den Fall, dass alle registrierten Geräte gleichzeitig verloren gehen. Generieren Sie Ihren Wiederherstellungscode, wählen Sie Ihr Verifizierungsmaterial und bewahren Sie beides sicher auf. Zwei Minuten Arbeit bei der Anmeldung. Der oben beschriebene Zoom-Call-Prozess tritt in Kraft, wenn Sie ihn benötigen.
Jedes ist eine eigene Ebene. Die meisten Kunden werden nur die erste benötigen — ein zweites Gerät. Der Wiederherstellungsprozess existiert für den Tag, an dem die erste Ebene nicht ausreicht. An diesem Tag werden Sie sehr, sehr dankbar sein, dass Sie die zwei Minuten investiert haben.
Wie die Einrichtung tatsächlich aussieht
Zwei Minuten während des Onboardings:
1. Generieren — Clavitor erstellt einen 48-Zeichen-Code in einem 8×6 Raster. Wir speichern ihn niemals. 2. Speichern — Drucken Sie ihn aus, senden Sie ihn sich selbst per E-Mail oder schreiben Sie ihn auf eine Karte. Überall dort, wo Sie ihn wiederfinden. 3. Bestätigen — Geben Sie eine zufällige Teilmenge zurück ein, um zu beweisen, dass Sie ihn korrekt gespeichert haben. 4. Verifizierungsmaterial wählen — eine Codephrase, ein Foto, ein Videolink. Was auch immer ein Mensch nutzen kann, um zu bestätigen, dass Sie es wirklich sind, und was ein Angreifer nicht erraten oder stehlen kann.
Sie können den Code jederzeit neu generieren — der alte Code verliert in dem Moment seine Gültigkeit, in dem ein neuer generiert wird.
Was wir nicht tun können
Wir sind bezüglich der Grenzen explizit. Dieselbe Architektur, die die Wiederherstellung von Clavitor kryptografisch echt macht, bedeutet auch, dass es keine Hintertür gibt, wenn Sie Ihren Teil verlieren.
Keine Übersteuerung, keine Backup-Datenbank, die wir konsultieren könnten, kein Ingenieur, der Ihnen einen neuen Schlüssel ausstellen kann. Wir haben Ihren Teil nicht; wir hatten ihn nie. Die Kryptografie, die Ihren Tresor vor uns schützt, hindert uns auch daran, Sie zu retten.
Der Zoom-Call ist das Tor, keine Gefälligkeit. Der Mitarbeiter kann den Verifizierungsschritt nicht „diesmal ausnahmsweise“ überspringen — das Verifizierungsmaterial, das Sie gewählt haben, ist der einzige Weg hindurch.
Das ist der Kompromiss. Echte Verschlüsselung kostet einen geplanten Zoom-Call statt eines sofortigen Reset-Links. Die meisten Kunden sind bereit, diesen Preis zu zahlen, sobald sie verstehen, was ein Reset-Link tatsächlich kostet.
Zwei Minuten heute.
Für immer kostenlos für bis zu 10 Einträge — keine Karte, kein Testzeitraum.
Die Registrierung mehrerer Geräte + die Einrichtung der Wiederherstellung sind Teil jedes Anmeldeprozesses. Insgesamt zwei Minuten. Sie werden es sich selbst danken.