Il modo in cui implementarlo è probabilmente simile al modo in cui fanno molti provider di archiviazione con funzionalità di crittografia.
Viene generata una chiave casuale simmetrica che viene utilizzata per crittografare i dati. Vengono quindi crittografate 2 copie della chiave simmetrica, una con una chiave pubblica asimmetrica dell'utente e una con la chiave pubblica asimmetrica master. Solo le chiavi private possono quindi decodificare la chiave di decodifica del file e quindi i dati.
È possibile che per ragioni legali, il provider di archiviazione crittografa una terza copia con la propria chiave, in modo che i dati possano essere decifrati se vengono offerti con un mandato. Se questo tipo di sistema è richiesto, utilizzerei una chiave pubblica per account, da una chiave privata che è stata generata da un seme. La chiave privata non viene più memorizzata e una grande quantità di potenza di calcolo è necessaria per rigenerare la chiave privata dal seme utilizzando un processo deterministico (ad esempio 100 miliardi di iterazioni e 4 giga di ram). Il seed verrebbe quindi archiviato in modo sicuro allo stesso modo delle chiavi di crittografia.
BoxCryptor tuttavia è diverso da un provider di cloud storage, sono un provider di crittografia cloud. Il modo in cui lo fa significa che la chiave simmetrica viene generata dall'utente e gestiscono solo le chiavi pubbliche in modo che altri utenti possano accedere al file. Ciò significa che non vedono mai le chiavi private o le chiavi dei file e non hanno accesso ai dati crittografati. I file crittografati vengono quindi passati al provider di archiviazione effettivo, che in genere avrebbe visto il testo in chiaro, avrebbe avuto accesso alla chiave del file e sarebbe stato in grado di fornire la decifratura alle forze dell'ordine.
I provider come BoxCryptor possono anche archiviare una copia crittografata della chiave privata (credo che lo facciano), che viene scaricata sul client e decifrata con una password. BoxCryptor può anche crittografare le chiavi dei file con chiavi aggiuntive come le chiavi di gruppo e quelle di utenti aggiuntivi, in modo che possano anche accedere al file.