PanBox: Staatlich geförderte Verschlüsselung für die Cloud
Ein Fraunhofer-Institut und die IT-Firma Sirrix haben die Software PanBox entwickelt, die eine durchgehende Verschlüsselung für Cloud-Speicher bietet und "laientauglich" sein soll. Ohne Handbuch kommt der Laie aber wohl nicht aus.
Das Open-Source-Tool PanBox verschlüsselt Dateien lokal, ehe sie bei einem Cloud-Speicher wie Dropbox hochgeladen werden. Nach dem Herunterladen werden sie transparent wieder entschlüsselt. Das soll auch mit mehreren Nutzern und Geräten funktionieren. Entwickelt wurde PanBox von Fraunhofer-Institut für sichere Informationstechnologie (SIT) und der Saarbrücker Sirrix AG, unterstützt mit 640.000 Euro Fördermitteln von Bundesministerium der Justiz und für Verbraucherschutz (BMJV).
PanBox soll "laientauglich" sein, wie Michael Herfert vom Fraunhofer-SIT gegenüber heise Security bei der Vorstellung des Programms in Berlin erklärte. Zum Einsatz kommt ein Public-Key-Verfahren. Der öffentliche Schlüssel eines Nutzers A soll dabei über eine Art Adressbuch an einen Partner B verteilt werden, damit dieser für den Empfänger von Informationen die Daten zunächst verschlüsseln und eine Art Vorhängeschloss wie vor einer Schatztruhe anbringen kann. Mit dem zugehörigen privaten Schlüssel, der auf dem Gerät von A abgelegt wird, kann A dann dieses Schloss öffnen und auf die Daten zugreifen. Die gesamte Kontrolle über das Verfahren bleibe beim Nutzer, versicherte Herfert: "Man braucht niemand, um Schlüssel zu verwahren oder Identitäten zu bestätigen".
Die in Java programmierte Anwendung unterstützt neben Dropbox auch andere Cloud-Anbieter, die einen Sync-Ordner auf der Festplatte einrichten. Sie steht derzeit für Windows 7 und 8, Linux und Smartphones mit Android bereit. Eine Version für Mac OS X und iOS "wollen wir herausgeben", erklärte Sirrix-Chef Ammar Alkassar. Dies hänge aber auch davon ab, wie die Lösung von den Nutzern und der Open-Source-Entwicklergemeinde angenommen werde.
Startschwierigkeiten
Bei einem ersten Test von heise Security zeigte sich, dass die Version 1.0 anscheinend noch ein gutes Stück davon entfernt ist, "laientauglich" zu sein. Insbesondere die Einrichtung ist kompliziert und nicht selbsterklärend. Uns gelang es nur mit Hilfe des Handbuchs (PDF), PanBox unter Windows in Betrieb zu nehmen und ein Android-Smartphone damit zu verknüpfen. Der Laie wird etwa aufgefordert, sich ein Access Token bei Dropbox abzuholen und dieses in den Einrichtungsassistenten zu kopieren.
Den Schlüsselaustausch kann man im lokalen Netz über einen QR-Code anstoßen, den man mit dem Smartphone vom Bildschirm des Rechners abfotografiert. Was in der Theorie einfach klingt, funktionierte bei unserem Kurztest erst nach mehreren Anläufen: PanBox startete einen Server, der auf mehreren Rechnern lediglich auf dem Loopback-Interface (127.0.0.1) lauschte und so natürlich nicht die Anfragen des Smartphones empfangen konnte.
Zugriff mit mehreren Geräten
Sirrix-Mitarbeiter Norbert Schirmer erläuterte, dass die Lösung auch beim Zugriff von mehreren Geräten aus nach Anbringen der entsprechenden Identitäten funktioniere. Beim konkreten Einsatz schicke man einem Kommunikationspartner seine "PanBox-Identität" zu, die automatisch installiert werde, Daten im Hintergrund verschlüssele und dafür ein eigenes Laufwerk anlege. Dass der Nutzer dabei die "alleinige Hoheit über die Verschlüsselung" habe, sei ein Alleinstellungsmerkmal der Anwendung.
Herfert sieht PanBox als Schritt in eine nahe Zukunft, in der "alles automatisch verschlüsselt wird". "Der Quellcode ist verfügbar, die Community kann das weiterentwickeln", ergänzte Schirmer. Die Firma selbst arbeite an einer "Enterprise-Version" speziell für den Unternehmenskontext, die dortige Arbeitsflüsse gezielt unterstützen solle. Daher habe Sirrix selbst ein "nachhaltiges Interesse" daran, auch die Open-Source-Variante "zu unterhalten".
Update vom 11. März, 16:30: Angaben zum Public-Key-Verfahren korrigiert. (Ronald Eikenberg) / (rei)