Martins key.matiq-Blog
>> Zurück zum Artikelverzeichnis >>
Prioritäten bei Klartext-Export und -Import
Geschrieben: 19.12.2022
Letzte Überarbeitung: 24.11.2023
Stichwörter: Nähkästchen, Sicherheit mit Bedienbarkeit
Man sollte meinen, dass der Klartext-Export und -Import von Daten auf gleiche Weise (also durch clientseitige Verschlüsselung) geschützt sein sollten. Doch näher betrachtet erscheinen unterschiedliche Prioritäten sinnvoll.
Wofür wird der Klartext-Export benötigt?
Unternehmen entstehen und verschwinden. Oder sie entscheiden sich, Produkte vom Markt zu nehmen. Das erlebt man immer wieder mal und als Kund*in muss man dann oft in kürzester Zeit Ersatz suchen. Wichtig bei Online-Diensten ist es dann, die eigenen Daten rasch abholen zu können.
Wir haben nun weder vor zu verschwinden, noch key.matiq vom Markt zu nehmen. Und falls wir unsere Meinung irgendwann ändern sollten, so ist eines unserer Prinzipien, die Kund*in niemals hängen zu lassen.
Aber die Kund*in braucht keine Absichtserklärungen von uns, sondern eigene Sicherheit. Die Möglichkeit, die eigenen Daten herzunterladen und unabhängig vom key.matiq-Dienst einsehen (und eigenständig in ein anderes Format wandeln) zu können ist essenziell. Diese Möglichkeit sollte nicht erst irgendwann, sondern immer bestehen.
Wofür wird der Klartext-Import benötigt?
Wenn man große Mengen an Daten in einem anderen Passwortmanager besitzt, und diese in eine key.matiq-Box holen möchte, kann eine Import-Funktion schon sehr hilfreich sein. Zum Beispiel versteht key.matiq, Daten im "KeePass XML (2.x)"-Format zu importieren.
Es kann auch sinnvoll sein, regelmäßig die Daten der eigenen key.matiq-Box im Standard-Format zu exportieren und lokal zu verschlüsseln, um sie immer im Klartext unabhängig von key.matiq verfügbar zu haben. Aber auch, um sie evtl. wieder in dieselbe oder eine andere key.matiq-Box importieren zu können.
Wenn letzteres benötigt wird, muss man dies auch gleich ausprobieren können. D. h. dann ist die Import-Funktion erforderlich.
Welche Export/Import-Funktionen gibt es bei key.matiq?
Wir bieten derzeit den Export und Import in drei Formaten an:
- Nicht als Klartext, sondern verschlüsselt: Die Backups. Diese werden automatisch erstellt und können jederzeit heruntergeladen oder wieder importiert werden. Die Verschlüsselung erlaubt unmittelbar die sichere Speicherung auf dem eigenen PC. Dafür ist es aber nicht einfach, an die Klartexte heranzukommen, auch wenn man das Hauptkennwort kennt.
- Im Standard-Export-Format können alle Daten des Hauptordners oder eines Teilbaums so exportiert werden, dass sie sowohl wieder in eine key.matiq-Box oder einen Gruppencontainer importiert werden können, als auch mit Standardmitteln (Text-Editor etc.) betrachtet werden können.
- Mit dem KeePass-Export-Format können die wichtigsten Daten (Geheimnisse, Komponenten, Notizen) des Hauptordners oder eines Teilbaums so exportiert werden, dass sie von KeePass1 in eine Datenbank importiert werden können. KeePass ist ein freier Offline-Password-Manager, der unter Windows®1 (aber auch anderen Betriebssystemen) läuft.
Wie steht es um die Sicherheit beim Export und Import?
- Im Backup-Format sind alle Kerngeheimnisse verschlüsselt, so dass eine Entschlüsselung ohne Kenntnis des Hauptkennworts nicht möglich ist.
- Bei den beiden Klartext-Formaten (Standard und KeePass) wird die Entschlüsselung für den Export clientseitig vorgenommen, so dass es hier zu keiner Sicherheitseinbuße (über das notwendige Maß hinaus2) kommt.
- Die Verschlüsselung bei den Klartext-Formaten findet derzeit3 auf dem Server statt. Deshalb ist hierfür im Rahmen der Umstellung auf einen "Cautiously Knowing Service"4 eine Genehmigung durch die Nutzer*in erforderlich. Diese kann entweder generell (in den Einstellungen5) oder im Einzelfall gegeben werden. Wird die Genehmigung nicht gegeben, so ist der Import nicht möglich.
Warum diese Ungleichbehandlung von Export und Import?
Beim Export geht es um Sicherheit und Vertrauen: Die Nutzer*in hat die Sicherheit, ohne unnötige Datenschutzeinbußen jederzeit die Daten im Klartext herunterladen zu können. key.matiq benötigt dafür kein zusätzliches Vertrauen6.
Beim Import geht es dagegen meist nur um Bequemlichkeit. Relativ selten ist ein Import wirklich erforderlich:
- Große Mengen an zu importierenden Daten von anderen Passwortmanagern dürften wohl meist nur einmal pro Box anfallen.
- Das Einpflegen von Daten ist immer noch manuell möglich, wenn man keine serverseitige Verschlüsselung akzeptieren möchte.7
- Die Kontrolle, ob ein Import funktionieren würde, kann auch mit Testdaten (also ohne echte Passwörter) erfolgen.
Nun ist es aber viel aufwändiger, die clientseitige Verschlüsselung von Importdaten zu implementieren, als die clientseitige Entschlüsselung von Exportdaten.8
Daher wäre es nicht gerechtfertigt, einen Zeitverzug für die Erstellung der Version 3.09 von key.matiq in Kauf zu nehmen. Für die Version 3.0 wird es deshalb eine Exportfunktion nur mit serverseitiger Verschlüsselung geben.10
Was muss aber bei der Importverschlüsselung beachtet werden?
Die serverseitige Verschlüsselung von Importdaten im Rahmen eines Cautiously Knowing Service darf aber auch bei Genenehmigung durch die Kund*in nicht zu mehr Serverwissen führen als unbedingt notwendig. Der Server darf kurzzeitig nur die Importdaten selbst kennenlernen, nicht aber andere geheime Daten der Box. Deshalb darf ihm keineswegs der Hauptschlüssel ausgehändigt werden, um die zu importierenden Daten zu verschlüsseln.11
Wir sehen: Es bleibt auch so immer noch genug zu tun.
Blaupause für die Suchfunktion
Das Vorgehen beim Import diente bei der anschließenden Umstellung der Suchfunktion als Vorlage: Auch dort sollte zunächst noch die serverseitige Entschlüsselung ausreichen. Auch diese muss genehmigt werden. (Alternative in diesem Fall: Verzicht auf die Suche in Kerngeheimnissen.) Auch dort dürfen die Hauptschlüssel dem Server nicht im Klartext bekannt werden. Der Client wird dann dem Server die einzelnen Datenschlüssel für die Suche übergeben, so dass dieser lediglich kurzzeitig die zu durchsuchenden Inhalte kennen wird, aber keinen Deut mehr.
1) Hinweise zu Marken Dritter:
"KeePass" scheint ein Warenzeichen von Dominik Reichl zu sein.
"Windows" ist eine eingetragene Marke der Microsoft Corporation in den USA und/oder anderen Ländern.
2) Natürlich bedeutet der Klartext-Export als solches ein Risiko, was beachtet werden muss. Aber es liegt in der Verantwortung der Nutzer*in, während des Exports (Schutz vor dem Zugriff durch weitere Personen) und danach (durch lokale Verschlüsselung und komplette Löschung der Klartext-Daten), die Daten zu schützen.
3) Zum Zeitpunkt der Erstellung dieses Artikels.
4) Siehe den Blog-Artikel "Zero Knowledge+ (1): Der 'Cautiously Knowing Service'"
5) Über Einstellungen > Genehmigungen
6) Wir nehmen den Hinweis Bertold Brechts sehr ernst, dass Vertrauen dadurch erschöpft wird, dass es in Anspruch genommen wird.
7) Zum Zeitpunkt der Erstellung dieses Artikels wird zwar das Erstellen und Editieren von Geheimnissen auch noch nicht mit clientseitiger Verschlüsselung unterstützt, aber dieses wird gewiss weit eher implementiert werden, als die clientseitige Verschlüsselung bim Import.
8) Es ist schon immer aufwändiger, beliebigen Input zu parsen als einen definierten Output zu erzeugen. Aber in diesem Fall kommt noch hinzu, dass wir darauf achten, nicht nur das aktuelle, sondern auch frühere Export-Datenformate für den Import zu unterstützen.
9) Die Version 3.0 soll den Punkt markieren, wo wir die kritische Masse an Sicherheit und Funktionalität erreicht sehen, um auf dem Markt erfolgreich agieren zu können.
10) Wir planen allerdings, dass spätestens in der Version 3.0 auch für die Export-Funktion die clientseitige Verschlüsselung implementiert ist.
11) Die Datenschlüssel für die einzelnen Geheimnisse müssen vom Client mit dem Hauptschlüssel verschlüsselt werden. Beide, verschlüsselte und unverschlüsselte Datenschlüssel übergibt dann der Client dem Server zusammen mit den Importdaten, damit dieser den letztlichen Import ohne Kenntnis des Hauptschlüssels vornehmen kann.