Sichere Schlüsselübermittlung
Willkommen im Portal der sicheren Schlüsselübermittlung. Dieser Service steht in Verbindung mit (De)Coder 4.1 zur
sicheren Übermittlung von Passwörtern, kann aber auch unabhängig davon kostenlos genutzt werden. Für diesen
Service wird keine Garantie oder Haftung übernommen. Bitte beachten Sie die Sicherheitshinweise!
Das Problem bei der symetrischen Dateiverschlüsselung, so wie sie (De)Coder verwendet, ist, dass das Passwort zum
Verschlüsseln das gleiche ist wie zum Entschlüsseln. Wird eine verschlüsselte Datei z.B. per E-Mail mit dem
Passwort versandt, kann ein Hacker, der die E-Mail abfangen könnte, die Daten entschlüsseln. Eine mündliche Übertragung
des Passwortes per Telefon ist ebenfalls unsicher und persönlich funktioniert nur, wenn die Zielpersonen nicht zu
weit auseinander wohnen.
So funktioniert es:
- Füllen Sie das Formular zur Sendung eines Schlüssels aus, um einen Schlüssel zu der Zielperson zu senden. Dieser Schlüssel wird mit einem Zufallswert kodiert und in der Datenbank abgespeichert. Der Zufallswert selbst ist nicht in der Datenbank gespeichert. Somit kann der Serveradministrator die Schlüssel nicht einsehen. Die Zielperson erhält per E-Mail den Zufullswert zum entschlüsseln des kodierten Schlüssels. Der kodierte Schlüssel kann über einen Link, der in der E-Mail enthalten ist, angezeigt und entschlüsselt werden. Nach dem öffnen dieses Links wird der Schlüssel aus der Datenbank entfernt. Folglich kann der Link nur ein einzigstes Mal geöffnet werden. Der Link bleibt im ungeöffneten Zustand bis zu 1 Monat aktiv. Sollte ein Hacker die E-Mail abfangen, müsste er den Link öffnen, um an den Schlüssel zu kommen. Die Zielperson bemerkt dies jedoch, weil sie den Link nicht mehr öffnen kann, wenn die E-Mail ankommt.
- Die Zielperson öffnet den Link in der E-Mail und entschlüsselt die geheime Nachricht mit dem Zufallswert, der in der E-Mail enthalten ist.
- Sprechen Sie sich mit der Zielperson ab! Erst wenn die Zielperson den Schlüssel weiß und keine Probleme bei der Übermittlung entstanden, dürfen Sie die verschlüsselte Datei z.B. per E-Mail oder ICQ an die Zielperson schicken!
Sicherheitshinweise:
- Es gibt folgende Schwachstellen dieser Übermittlungsmethode:
- Sollte in Hacker in den ViaThinkSoft-Server eindringen, könnte dieser mit Paketloggern eventuell die eingehenden Schlüsselanfragen im Klartext lesen, ohne dass der Link, der bei der Zielperson ankommt, deaktiviert wird. Dieses System besitzt keine HTTPS/SSL-Verbindung.
- Wenn der Computer der Zielperson Malware (Viren, Trojaner, etc) enthält, könnten Informationen der Zwischenablage oder Tastenanschläge ausgelesen werden. Information: (De)Coder 4.1 ist gegen die meisten softwarebasierenden Keylogger, die Tastenanschläge abfragen, geschützt.
- Malware auf dem PC der Person, die den Schlüssel sendet, kann einem Hacker ebenfalls den Schlüssel im Klartext offenlegen.
- Ein Hacker kann eine E-Mail abfangen, lesen oder gar E-Mails der Zielperson fälschen, wenn er die Zugangsdaten des E-Mail-Kontos besitzt.
- Um die maximale Sicherheit zu gewährleisten, verwenden Sie niemals für eine zu verschlüsselnde Datei ein allgemein gültiges Passwort wie z.B. das Passwort Ihres E-Mail-Kontos. Verwenden Sie für entweder jede Datei für jede Zielperson ein anderes Passwort.
- Kommt die E-Mail nicht an, kann dies folgende Gründe haben:
- Der Sender hat die E-Mail-Adresse der Zielperson falsch eingetippt.
- Ein Spamfilter hat die E-Mail geblockt oder in einen Junk-Mail-Ordner verschoben.
- Ein Hacker hat die E-Mail komplett abgefangen.
- Erhält die Zielperson beim ersten Anklicken des Links die Meldung "Dieser Schlüssel existiert nicht" existiert ein ernst anzunehmendes Sicherheitsproblem! Eine andere Person weiß nun wahrscheinlich das Passwort der verschlüsselten Datei. Die Zielperson sollte umgehendst das E-Mail-Passwort ändern und den Sender nochmals bitten, ein neues Passwort zu senden.
- Dieses System benutzt HTTPS bzw. SSL nicht. Die Information, die die Zielperson erhält, ist mit DES verschlüsselt und muss per JavaScript mit dem Zufallswert, der der E-Mail beiliegt, entschlüsselt werden.
Ressourcen
© Copyright 2007 ViaThinkSoft. Alle Rechte vorbehalten!