Neben der TLS- und serverseitigen Verschlüsselung, kann jede Bibliothek optional durch den Benutzer verschlüsselt werden. Dadurch behält dieser die Schlüsselhoheit seiner Daten - nicht einmal die Systemadministratoren können eine verschlüsselte Bibliothek einsehen.

Ende-zu-Ende-Verschlüsselung bedeutet, dass die Daten während der kompletten Übertragung hindurch voll verschlüsselt sind. Nur die Kommunikationspartner (die „Endpunkte“) können die Nachricht entschlüsseln. Dazu wird eine 32 Byte lange, kryptographisch starke Zufallszahl gebildet, die als Schlüssel für die Entschlüsselung dient. Dieser sogenannte Dateischlüssel wird mit einem Passwort zusätzlich

luckycloud verwendet zunächst den PBKDF2-Algorithmus (1000 Wiederholungen von SHA256), um von dem Passwort ein Schlüssel/IV-Paar abzuleiten. Sämtliche Daten der Datei werden durch den Dateischlüssel mit AES 256/CBC verschlüsselt.

Das Ergebnis ist der verschlüsselte Dateischlüssel. Danach werden die Daten auf den Server hochgeladen und gespeichert. Um auf die Daten zuzugreifen, muss mit der passenden Dateischlüssel mit dem richtigen Passwort entschlüsselt werden.

Um maximale Sicherheit zu gewährleisten, wird das Klartext-Passwort niemals auf dem Server gespeichert, sondern liegt komplett in der Verantwortung des Nutzers.