PrivateBin: Pastebin-Alternative für Vertrauliches
PrivateBin verschlüsselt Inhalte, ist über das Tor-Netzwerk erreichbar und bietet einen Selbstzerstörungsmodus. Wer möchte, kann das Tool auch selbst auf seinem Server hosten.
- Caroline Berger
Die quelloffene Pastebin-Alternative PrivateBin legt besonderen Wert auf die Sicherheit der Inhalte und die Privatsphäre der Nutzer. Es handelt sich dabei um den durch weitere Funktionen ergänzten Nachfolger von ZeroBin, welches nicht mehr durch seinen Entwickler gepflegt wird. Alle Inhalte werden direkt im Browser per AES-256 verschlüsselt, welches laut aktuellem Stand der Technik als sicher gilt. Dieser chiffrierte Inhalt wird nun auf dem Server gespeichert. Der Krypto-Schlüssel wird in die URL des Inhalts eingebunden und gelangt niemals auf den Server. Wie genau das funktioniert, ist in unserem Artikel zu ZeroBin detailliert erklärt. Im Endeffekt bedeutet es, dass weder der Admin des Servers noch etwaige Geheimdienste auf die Inhalte zugreifen können. Wer jedoch die URL weiß, kennt automatisch auch den Schlüssel und kann damit den Inhalt dechiffrieren und lesen. Sind hochgeladene Inhalte also besonders brisant, empfiehlt es sich, die URL nur über Ende-zu-Ende-verschlüsselte Dienste weiterzugeben.
Dazu gibt es eine ganze Reihe weiterer Sicherheitsmaßnahmen, die man zusätzlich verwenden kann: So sind eine Passwortsperre und zwei verschiedene Selbstzerstörungsmodi einstellbar: Versieht man seine Inhalte mit einem Verfallsdatum, werden sie automatisch nach einer bestimmten Zeitspanne zwischen 5 Minuten und einem Jahr gelöscht. Ein "burn after reading"-Modus zerstört die Inhalte direkt nachdem sie zum ersten Mal gelesen wurden. Wenn man sich gegen "burn after reading" entscheidet, hat man die Möglichkeit, eine Diskussion zu starten. Hierbei können Nutzer in einer Foren-artigen Struktur unterhalb des geteilten Inhalts kommunizieren.
Die Qual der Wahl
Wer PrivateBin ausprobieren möchte, hat die Wahl zwischen diversen Servern, die einen unterschiedlichen Funktionsumfang bieten. Bei manchen kann man etwa Dateien hochladen, einer ist sogar als Hidden Service über Tor erreichbar. Bei der Nutzung der frei zugänglichen Installationen muss man allerdings dem hostenden Server vertrauen. Ein Admin mit bösen Absichten könnte etwa das JavaScript manipulieren, um den zur Entschlüsselung nötigen Key abzugreifen. Außerdem könnte besagter Admin Inhalte länger auf dem Server lassen als es die Selbstzerstörungsmodi vorsehen.
PrivateBin gibt einige Tipps, wie Server überprüft werden können, warnt jedoch selbst explizit vor diesen Gefahren und empfiehlt für die absolute Sicherheit, einen eigenen PrivateBin-Server aufzusetzen. Dafür werden eine detaillierte Anleitung und der Code auf GitHub bereitgestellt. Empfohlen ist PHP 7. Alternativ kann man PrivateBin mit PHP ab Version 5.4 betreiben, muss dann jedoch eine Erweiterung wie mcrypt installiert haben. (rei)
