Restore verschlüsselter Dateien

Ich betreibe eine Nextcloud v28.0.4 auf einem dedicated Hetzner-Server unter Proxmox VE in einem Turnkey-Linux Container. Die Nextcloud funktioniert bis auf bereits bekannte Probleme einwandfrei und erfüllt ihren Zweck. Server-seitige Verschlüsselung ist aktiviert. End-to-End-Verschlüsselung nicht.

Die Instanz wird täglich durch einen Proxmox Backup Server gesichert, der es auch erlaubt, einzelne Dateien, d.h. einzelne Dokumente aus einem Backup wiederherzustellen.

Bei der Wiederherstellung einer Datei passiert nun folgendes: Da die Wiederherstellung über das Linux-File-System erfolgt, handelt es sich um die verschlüsselte Datei, d.h. das entsprechende xOffice-Programm kann damit nichts anfangen. Deshalb:

Wie kann man diese Datei entschlüsseln? Oder was muss man noch aus dem Backup herausholen? Gibt es andere Backup-Programme, die mit dieser Situation umgehen können oder muss ich komplett auf Verschlüsselung verzichten.

Viele Fragen. Ich hoffe auf Hilfe von Euch. :wink:

Eventuell hilft dir das irgendwie weiter: GitHub - nextcloud/encryption-recovery-tools: This project contains tools to recover files that have been encrypted with the Nextcloud End-to-End Encryption or Nextcloud Server-Side Encryption.

Grundsätzlich würde ich dir aber empfehlen, die Server Side Encryption der Nextcloud zu deaktivieren. Die erzeugt imho mehr Probleme als sie löst. Wenn “Encryption at Rest” wirklich unbendingt notwendig ist, verschlüssele die Disks mit LUKS. Das ist komplett transparent für die Applikationen, die darauf laufen. Einziger Nachteil: Du musst manuell ein Passwort eingeben, wenn du die VM bootest.

Edit:
Ok, ob dann der induviduelle File Restore vom Proxmox Backup Server funktioniert, wenn die VM Disk mit LUKS verschlüsselt wurde, weiss ich ehrlich gesagt nicht.

Edit2:
Es geht, aber (noch?) nicht über den einfachen Weg via WebUI: Is there any way to restore single file form PBS with encrypted disk ? | Proxmox Support Forum

Wow! Herzlichen Dank. Ich schaue mir das an. Ja, wahrscheinlich läuft‘s darauf hinaus, die Verschlüsselung zu deaktivieren. LUKS ist leider keine Option, denn ich möchte Restarts ohne manuelle Eingriffe haben.