Kostenlose Verschlüsselung mit Steganos FreeCrypt (Update)
Das deutsche Sicherheitsunternehmen Steganos stellt mit FreeCrypt eine Lösung vor, mit der Anwender ohne Softwareinstallation Texte mit dem Advanced Encryption Standard (AES) in der 256-Bit-Variante ver- und entschlüsseln können.
Das deutsche Sicherheitsunternehmen Steganos stellt mit FreeCrypt eine kostenlose Lösung vor, mit der Anwender ohne Softwareinstallation Texte mit dem Advanced Encryption Standard (AES) in der 256-Bit-Variante ver- und entschlüsseln können. Dazu müssen Nutzer nur die FreeCrypt-Webseite ansurfen, den Text in das Formular kopieren und ein Passwort zum Verschlüsseln eingeben. Daraufhin generiert FreeCrypt den verschlüsselten Text, den der Sender dann von der Webseite kopieren und beispielsweise per E-Mail verschicken kann – das Passwort sollte jedoch über einen anderen Kanal laufen und nicht etwa in dieselbe E-Mail gepackt werden. Der Textempfänger kann dann mit dem Passwort das Chiffrat auf der Seite wieder in seine Klartextform bringen.
Kurz nach der Ankündigung von FreeCrypt führte der Aufruf der Steganos-Webseite noch zu einer ungesicherten http-Verbindung, sämtliche Daten wurden im Klartext zwischen Rechner und Server übertragen. Diesen groben Schnitzer hat das Sicherheitsunternehmen jedoch inzwischen erkannt, der Aufruf der URL www.steganos.de/freecrypt/ führt nun automatisch per Umleitung zu einer verschlüsselten https://-Verbindung.
Problematisch bleibt jedoch, dass potenzielle Nutzer dem Steganos-Server vertrauen müssen. Laut Dominique Wagner, Pressesprecherin von Steganos Deutschland, plant das Unternehmen nicht, etwa ein Java-Applet zur Ver- und Entschlüsselung zu programmieren, das auf dem lokalen Rechner ausgeführt wird. Da Steganos als Sicherheitsfirma jedoch offenbar einen guten Ruf genießt, dürfte dies für viele Benutzer kein Hindernis sein.
Update:
Laut den Steganos-Entwicklern kommt in FreeCrypt derzeit das statistisch angreifbare Verfahren Electronic Codebook (ECB) zum Einsatz. Dabei werden die einzelnen Blöcke des Originaltextes immer mit demselben Schlüssel AES-verschlüsselt. Im Ergebnis sind Muster des Originals auch im Chriffrat erkennbar. Daher eignet sich ECB nicht für kryptographische Protokolle, für Datenbanken kann es jedoch sinnvolle ECB-Einsatzzwecke geben.
Steganos plant, in wenigen Tagen auf Cipher Block Chaining (CBC) umzusatteln, wobei das chiffrierte Ergebnis des vorangehenden Blocks in die Verschlüsselung des aktuellen Blocks einbezogen wird. Dadurch steigt die Entropie an, Muster im Original werden verschleiert. Ein Angriff auf die Verschlüsselung wird somit schwierig.
Ob das Passwort korrekt ist, überprüft FreeCrypt anhand einer Passphrase, die in den Header mitverschlüsselt wird. Ist diese Passphrase nach der Entschlüsselung falsch, war auch das Passwort inkorrekt. (dmk)
