Open Sesame Demo released
Unser Tool für mehr Sicherheit beim Datenaustausch
Das Internet ist eine tolle Erfindung. Stichwort Datenaustausch: Praktisch, schnell und ziemlich bequem, ganz gleich wo man sich gerade befindet. Doch all diese Annehmlichkeiten haben leider auch ihren Preis und machen das Netz zu einem sehr unsicheren Ort — gerade wenn es um Informationen geht, die wir untereinander teilen.
Jeden Tag schicken wir diese Daten hin und her, quer über die Welt. Seien es Passwörter, Zugangsdaten oder SSH-Keys — im Team oder mit unseren Kunden. Dass diese Daten wichtig und sensibel sind, ist uns allen nicht erst seit DSGVO oder den täglich neuen Passwort-Exploits bekannt. Der Mensch kommt bei dieser Thematik mitunter auf innovative aber auch recht merkwürdige Ideen, wenn es um Datenverschlüsselung oder Versand geht.
Ein Bekannter erzählte bereits vor vielen Jahren, dass ein Mitarbeiter eines großen Automobilkonzerns wichtige Daten – weil es eben schnell und Übersee gehen musste – durch den Äther jagte, aber dabei lieber auf Nummer sicher gehen wollte. So wurden die Dateiendungen stets vor dem Versand in ein anderes Format umbenannt. Aus PDF-Dokumenten wurden JPEG Dateien oder aus .pdf ein .tiff. Das ganze wurde zusätzlich gezippt und mit einem Passwort versehen, welches im Anschluss telefonisch mitgeteilt wurde. Solche Taktik ist tatsächlich eine gängige und gar nicht mal so schlechte Methode, für die es sogar eine Bezeichnung gibt: Verschlüsselung durch Verwirrung – allein für den Fall das unterwegs mitgelesen, abgefischt oder gar gehackt wird.
»Sesame — Encrypt your messages or credentials and share them with a passphrase protected secret link. So sensitive data remains secret.«Atelier Disko
Uns begleitet das gute alte Passwort tagtäglich, selbst, wenn es verschlüsselt im Browser oder einem Passwort-Manager hinterlegt ist. Dennoch ist es nicht verwunderlich, dass auch heute immer noch viele dieser Passwörter geknackt werden. Mit Zeit und Know-How gelingt es jenen, die etwas Böses wollen. Die Schwachstelle sitzt dabei häufig vor der Computer und tippt mit einer, wird-schon-nix-schiefgehen-Haltung 123456 (nach wie vor eines der weitverbreitesten Passwörter auf der Welt) in das Passwortfeld.
Der Mensch geht oft den Weg des geringsten Widerstandes. Das liegt vielleicht in unserer Natur. Oder: Keine Zeit, keine Lust und wie wahrscheinlich ist es, dass ausgerechnet mir etwas passieren kann?
Um überhaupt als ansatzweise sicher zu gelten, muss Entschlüsselung auf der anderen Seite ein klein wenig unbequem für die User/innen sein. Ein Passwort allein ist nunmal nicht sicher genug und das ist nur einer der Gründe, warum es Erfindungen wie die 2-Faktor-Authentifizierung gibt mit der wir unsere Überweisungen beim Online-Banking tätigen.
Doch wie können Informationen im Arbeitsalltag guten gewissens untereinander austauschen ohne das wichtige Informationen in E-Mail Postfächern oder Chats für immer einsehbar sind? Auf diese Frage haben wir als Antwort Sesame entwickelt: Eine Web-App, über die wichtige Informationen verschlüsselt, einmalig einsehbar und zeitlich begrenzt hinterlegt und bereitgestellt werden können.
Dabei werden Nachrichten direkt im Browser über AES-256 durch eine definierte oder generierte Passphrase verschlüsselt und anschließend über eine REST-API in Redis gespeichert. Dadurch wird sichergestellt, dass zu keinem Zeitpunkt Serverseitig unverschlüsselte Nachrichten gespeichert werden. Ohne Passphrase ist es also für niemanden möglich, gespeicherte Nachrichten zu entschlüsseln – ob als Hoster oder Entwickler.
Die API liefert nach Speicherung einer Nachricht einen Hashwert zurück, über welchen die Nachricht wieder abgerufen werden kann. Der Hash wird per SHA256 generiert und ist daher für niemanden implizit auffindbar. Wird die Nachricht abgerufen, muss nun noch die vergebene Passphrase eingegeben werden, um die Nachricht wieder zu dechiffrieren. Durch den Aufruf wird die Nachricht gelöscht. Wurde die Nachricht nicht innerhalb des gewählten Zeitraums abgerufen, wird sie ebenfalls gelöscht. Für immer.
Sesame trifft also diverse Maßnahmen die Nachrichten zu sichern. Hierbei ist es dem Nutzer überlassen eine sichere Passphrase und Gültigkeit zu definieren. Ebenfalls sollte der Link und definitiv die Passphrase über einen sicheren verschlüsselten Kanal kommuniziert werden – idealerweise getrennt voneinander.
Letztendlich liegt Datensicherheit natürlich in der Hand des Nutzers. Sesame macht es jedoch ein wenig einfacher, keine hochsensiblen Daten über Slack Historien oder E-Mails zu verteilen, welche dort über Ewigkeiten abliegen und leisten somit einen Beitrag zum Thema nachhaltige Sicherheit im Netz.
Test Sesame: sesame.atelierdisko.de
Get it at: github.com/atelierdisko
It is open source and free to use.