Tresor |
  
|
Tresor |
|
Einführung
Der "Tresor" ist eine Funktion zur sicheren und verschlüsselten Speicherung von Zugangsdaten die mit anderen Benutzern geteilt werden können.
Unter anderem wird auch die generierung von Einmalkennwörtern (TOTP) wie beim Google Authenticator unterstützt. Viele Webseiten, welche Zwei-Faktor-Authentifizierung (2FA) fordern, werden von diesem generator unterstützt.
z.B. Paypal, Google, Amazon, ...
Einrichtung
Bei der ersten Nutzung des Tressors werden Sie automatisch dazu aufgefordert ein neues Master-Kennwort zu erstellen. Verwenden Sie hierfür ein sicheres Kennwort das Sie sich merken können. Sollten Sie das Kennwort vergessen, ist ein Zugriff auf die verschlüsselten Daten unmöglich.
Hinweis
Vergisst ein Benutzer sein Kennwort, ist kein Zugriff mehr auf den verschlüsselten Teil seiner Einträge möglich. Sofern ein anderer Benutzer noch Zugriff darauf hat, kann dem Benutzer erneut zugriff erteilt werden. Existiert allerdings kein anderer Benutzer, der Zugriff auf den Eintrag hat, ist es unmöglich die verschlüsselten Daten wiederherzustellen oder das Kennwort zurückzusetzen.
Einem Benutzer kann erst dann Zugriff auf Einträge gewährt werden, wenn dieser ein Master-Kennwort eingerichtet hat, da erst dann ein privater und öffentlicher Schlüssel für den Benutzer generiert wird.
Technische Beschreibung
Zu keinem Zeitpunkt wird das Master-Kennwort des Benutzers oder unverschlüsselte Daten zum Server übertragen.
Der Teil des Eintrags der unverschlüsselt ist, damit dieser zum suchen eines Eintrags auf dem Server verwendet werden kann, wie z.b. Beschreibung und Bezeichnung, werden zwischen Server und App verschlüsselt übertragen, jedoch unverschlüsselt auf dem Server gespeichert.
Der verschlüsselte Teil wird verschlüsselt gespeichert und im verschlüsselten Zustand über eine zusätzliche verschlüsselte Verbindung übertragen und erst beim Endbenutzer mit dessen Schlüssel entschlüsselt.
Ersteinrichtung
Bei der ersten Nutzung des Tressors wird für den Benutzer ein öffentlicher und ein privater Schlüssel generiert.
Der öffentliche Schlüssel wird für alle anderen Benutzer zur verfügung gestellt, der private Schlüssel wird mit einem vom Benutzer vergebenen Kennwort verschlüsselt und als Backup auf dem Server abgelegt.
Erstellung eines Eintrags
Wird ein Eintrag zum ersten mal gespeichert, so wird für diesen Eintrag ein geheimes Kennwort generiert. Mit diesem Kennwort wird der Eintrag verschlüsselt. Das Kennwort wird anschließend mit dem öffentlichen Schlüssel des Benutzers verschlüsselt und auf dem Server zusammen mit den verschlüsselten Daten des Eintrags abgelegt.
Öffnen eines Eintrags
Das Backup des privaten Schlüssels des Benutzers wird vom Server geladen. Der Benutzer muss sein Kennwort eingeben um den privaten Schlüssel zu entschlüsseln.
Danach wird das verschlüsselte geheime Kennwort für den Eintrag vom Server geladen und mit dem privaten Schlüssel des Benutzers entschlüsselt.
Nun wird der verschlüsselte Eintrag vom Server geladen und mit dem entschlüsselten Kennwort für den Eintrag entschlüsselt und angezeigt.
Berechtigung für andere Benutzer
Damit einem anderen Benutzer Zugriff auf einen Eintrag gewährt werden kann, muss zuerst Benutzer A den Eintrag öffnen und das geheime Kennwort mit dem der Eintrag verschlüsselt wurde entschlüsseln.
Anschließend generiert Benutzer A eine Kopie des geheimen Schlüssels und verschlüsselt diesen mit dem öffentlichen Schlüssel von Benutzer B.
Die verschlüsselte Kopie des Kennworts wird dann für Benutzer B auf dem Server abgelegt mit dem dieser Zugriff durch entschlüsseln mit seinem privaten Schlüssel erhalten kann.
Falls dies über die App für mehrere Ordner und Einträge angewendet wird, führt die App im Hintergrund für jeden Eintrag die oben angegebenen Schritte durch. Dabei werden alle ver- und Entschlüsselungen in der Anwendung des Endbenutzers ausgeführt und niemals unverschlüsselte Daten zum Server übertragen.
Beim entfernen einer Berechtigung für einen Benutzer wird dessen geheimer Schlüssel für die entsprechenden Einträge gelöscht.
Schlüsselübersicht
