Glossar
| 2FA | Abkürzung für Zwei-Faktor-Authentisierung. | 2FA Abkürzung für Zwei-Faktor-Authentisierung. |
| AGB-Upgrade | Mit "AGB-Upgrade" bezeichnen wir das Verfahren, dass Sie als Kund*in geänderte AGB für Ihren Container-Vertrag akzeptieren. Es ist auch möglich, dass Sie eine Version der AGB akzeptieren, die schon nicht mehr den aktuellen entspricht, aber neuer ist, als die bislang akzeptierte. Wenn Sie die AGB nicht aktualisieren, läuft der Vertrag unter den bisherigen AGB weiter. Allerdings müssen Sie damit rechnen, dass zu diesen Bedingungen eine Verlängerung des Vertrages (z. B. durch Guthabeneinzahlung) nicht mehr möglich ist. Damit Sie (und wir) den Überblick behalten, werden die AGB mit einer dreiteiligen Versionsnummer (z. B. "1.2.3") versehen. Der erste Teil (im Beispiel "1"), die Hauptversionsnummer, wird nur geändert, wenn gravierende Änderungen erfolgt sind. Wird sie nicht geändert, so greifen die AGB-Änderungen nach unserem Verständnis nicht in Ihre bestehenden Rechte ein, sondern erweitern diese höchstens. Der zweite Teil (im Beispiel "2") wird geändert, wenn überhaupt inhaltliche Änderungen erfolgt sind. Nur der dritte Teil wird geändert, wenn die Änderungen den juristischen Inhalt überhaupt nicht berühren, sondern nur die sprachliche Darstellung verbessern. | AGB-Upgrade Mit "AGB-Upgrade" bezeichnen wir das Verfahren, dass Sie als Kund*in geänderte AGB für Ihren Container-Vertrag akzeptieren. Es ist auch möglich, dass Sie eine Version der AGB akzeptieren, die schon nicht mehr den aktuellen entspricht, aber neuer ist, als die bislang akzeptierte. Wenn Sie die AGB nicht aktualisieren, läuft der Vertrag unter den bisherigen AGB weiter. Allerdings müssen Sie damit rechnen, dass zu diesen Bedingungen eine Verlängerung des Vertrages (z. B. durch Guthabeneinzahlung) nicht mehr möglich ist. Damit Sie (und wir) den Überblick behalten, werden die AGB mit einer dreiteiligen Versionsnummer (z. B. "1.2.3") versehen. Der erste Teil (im Beispiel "1"), die Hauptversionsnummer, wird nur geändert, wenn gravierende Änderungen erfolgt sind. Wird sie nicht geändert, so greifen die AGB-Änderungen nach unserem Verständnis nicht in Ihre bestehenden Rechte ein, sondern erweitern diese höchstens. Der zweite Teil (im Beispiel "2") wird geändert, wenn überhaupt inhaltliche Änderungen erfolgt sind. Nur der dritte Teil wird geändert, wenn die Änderungen den juristischen Inhalt überhaupt nicht berühren, sondern nur die sprachliche Darstellung verbessern. |
| Anmeldeschlüssel | Falls Sie die Zwei-Faktor-Authentisierung eingeschaltet haben, können Sie mit diesem Schlüssel sich mit einem neuen Gerät an Ihre Box anmelden. Einen Anmeldeschlüssel erstellen Sie über das Menü "Einstellungen" (Untermenü "Anmeldung") in Ihrer Box. Falls Sie sich völlig ausgesperrt haben sollten, erstellen Sie bitte ein entsprechendes Ticket. | Anmeldeschlüssel Falls Sie die Zwei-Faktor-Authentisierung
eingeschaltet haben, können Sie mit diesem Schlüssel sich mit einem
neuen Gerät an Ihre Box anmelden.
Einen Anmeldeschlüssel erstellen Sie über das Menü "Einstellungen"
(Untermenü "Anmeldung") in Ihrer Box. Falls Sie sich völlig ausgesperrt
haben sollten, erstellen Sie bitte ein entsprechendes
Ticket.
|
| Anzeige-Ansicht | In dieser Ansicht werden die Daten eines Objekts der Benutzer*in präsentiert, ohne dass diese geändert werden können. Das geschieht im "Objekt-Bereich" der "Ordner-Ansicht". Sind die Daten umfangreich, werden Sie in mehreren Tabs dargestellt und vor dem ersten Tab wird ein Lupen-Symbol (für "Anzeige") eingeblendet. | Anzeige-Ansicht In dieser Ansicht werden die Daten eines Objekts der
Benutzer*in präsentiert, ohne dass diese geändert werden können.
Das geschieht im "Objekt-Bereich" der
"Ordner-Ansicht".
Sind die Daten umfangreich, werden Sie in mehreren Tabs
dargestellt und vor dem ersten Tab wird ein Lupen-Symbol (für "Anzeige")
eingeblendet.
|
| App-Key | Interner Schlüssel der Server-Anwendung. Er wird von key.matiq beim Start zufällig erstellt und nie unverschlüsselt auf die Platte geschrieben. Damit können Schlüssel in Sitzungsdaten oder Hintergrund-Jobs verschlüsselt gespeichert werden, so dass nur die laufenden key.matiq-Prozesse auf diese Schlüssel zugreifen können. | App-Key Interner Schlüssel der Server-Anwendung. Er wird von key.matiq
beim Start zufällig erstellt und nie unverschlüsselt auf die Platte
geschrieben. Damit können Schlüssel in Sitzungsdaten oder
Hintergrund-Jobs verschlüsselt gespeichert werden, so
dass nur die laufenden key.matiq-Prozesse auf diese Schlüssel
zugreifen können.
|
| Autor*in | Als "Autor*in" eines Kennworts bezeichnen wir diejenige Person, die das
Kennwort erstellt und auch für dessen Verwaltung zuständig ist, d. h. für
Weitergabe, Wechsel und auch die Löschung (den Verzicht auf weitere
Verwendung, also z. B. die Löschung eines damit verbundenen
Internetkontos oder die Verschrottung eines damit geschützten Geräts).
Ist an Stelle einer einzelnen Autor*in eine Gruppe von Personen mit dieser Administration befasst, so sprechen wir von einer Autor*innengruppe. | Autor*in Als "Autor*in" eines Kennworts bezeichnen wir diejenige Person, die das
Kennwort erstellt und auch für dessen Verwaltung zuständig ist, d. h. für
Weitergabe, Wechsel und auch die Löschung (den Verzicht auf weitere
Verwendung, also z. B. die Löschung eines damit verbundenen
Internetkontos oder die Verschrottung eines damit geschützten Geräts).
Ist an Stelle einer einzelnen Autor*in eine Gruppe von Personen mit dieser Administration befasst, so sprechen wir von einer Autor*innengruppe. |
| Autor*innengruppe | Eine Gruppe von Personen, die die Aufgabe der Autor*in eines Kennworts übernimmt. Die Person aus der Gruppe, die das aktuelle Kennwort erstellt oder gewechselt hat, nennen wir dann "aktuelle Autor*in". | Autor*innengruppe Eine Gruppe von Personen, die die Aufgabe der
Autor*in eines Kennworts übernimmt. Die Person aus
der Gruppe, die das aktuelle Kennwort erstellt oder gewechselt hat, nennen
wir dann "aktuelle Autor*in".
|
| Baum-Bereich | Der linke Bereich der Ordner-Ansicht. Unter dem
"Hauptordner" sind alle anderen Objekte hierarchisch
angeordnet. Handelt es sich um Ordner (oder Mitgliedschaften) können diese
erweitert (mit enthaltenen Objekten) oder reduziert (ohne diese)
dargestellt werden. Das entspricht der gewohnten Ansicht, wie man sie von
Dateiverwaltungsprogrammen oder E-Mail-Clients her kennt. Allerdings
werden bei key.matiq nicht nur die Unterordner (Zweige) im Baum
dargestellt, sondern auch alle anderen direkt enthaltenen Objekte
(Blätter).
Klickt man auf ein Objekt, wird dieses im Objekt-Bereich dargestellt. Per Maus-Rechtsklick (oder alternative Klick-Kombinationen) kann man Objekte auch löschen oder bearbeiten. Da auch die Bearbeitung immer im Objekt-Bereich erfolgt, erspart man sich zusätzliche Fenster oder Browser-Tabs und kann somit alle Objekte in einem einzigen Browser-Tab bearbeiten. Mitgliedschafts-Objekte dienen dabei zur Einbindung der Ordnerstruktur der entsprechenden Gruppen-Container. Ist die Mitgliedschaft aktiv, kann das Objekt wie ein Ordner "erweitert" werden und zeigt dann den Hauptordner der Gruppe an. (Dies ist analog zum "Mount", wie man es von Unix-Dateisystemen her kennt.) | Baum-Bereich Der linke Bereich der Ordner-Ansicht. Unter dem
"Hauptordner" sind alle anderen Objekte hierarchisch
angeordnet. Handelt es sich um Ordner (oder Mitgliedschaften) können diese
erweitert (mit enthaltenen Objekten) oder reduziert (ohne diese)
dargestellt werden. Das entspricht der gewohnten Ansicht, wie man sie von
Dateiverwaltungsprogrammen oder E-Mail-Clients her kennt. Allerdings
werden bei key.matiq nicht nur die Unterordner (Zweige) im Baum
dargestellt, sondern auch alle anderen direkt enthaltenen Objekte
(Blätter).
Klickt man auf ein Objekt, wird dieses im Objekt-Bereich dargestellt. Per Maus-Rechtsklick (oder alternative Klick-Kombinationen) kann man Objekte auch löschen oder bearbeiten. Da auch die Bearbeitung immer im Objekt-Bereich erfolgt, erspart man sich zusätzliche Fenster oder Browser-Tabs und kann somit alle Objekte in einem einzigen Browser-Tab bearbeiten. Mitgliedschafts-Objekte dienen dabei zur Einbindung der Ordnerstruktur der entsprechenden Gruppen-Container. Ist die Mitgliedschaft aktiv, kann das Objekt wie ein Ordner "erweitert" werden und zeigt dann den Hauptordner der Gruppe an. (Dies ist analog zum "Mount", wie man es von Unix-Dateisystemen her kennt.) |
| Bearbeitungs-Ansicht | In dieser Ansicht werden die veränderlichen Daten eines Objekts der Benutzer*in zur Bearbeitung dargestellt. Das geschieht im "Objekt-Bereich" der "Ordner-Ansicht". Sind die Daten umfangreich, werden Sie in mehreren Tabs dargestellt. | Bearbeitungs-Ansicht In dieser Ansicht werden die veränderlichen Daten eines
Objekts der Benutzer*in zur Bearbeitung dargestellt.
Das geschieht im
"Objekt-Bereich" der
"Ordner-Ansicht".
Sind die Daten umfangreich, werden Sie in mehreren Tabs
dargestellt.
|
| Begleitdaten | Diejenigen Teile eines Geheimnisses oder einer Komponente, die nicht zu
den Kerngeheimnissen zählen, z. B.
Benutzer*innenname, E-Mail-Adresse, URL, Telefonnummer, Notizen, nennen
wir "Begleitdaten". Sie werden Ihnen in der Anzeige-Ansicht des
Geheimnisses unverdeckt angezeigt.
Als "allgemeine Begleitdaten" bezeichnen wir weitere Daten einer Box oder eines Gruppencontainers, soweit es sich nicht um streng geheime Daten wie das Hauptkennwort, die Hauptschlüssel oder um Anmeldeschlüssel handelt. Das sind dann z. B. die E-Mail-Adresse, Namen von Objekten, Notizen oder Strukturen (nicht Inhalte) von Geheimnissen. Begleitdaten werden zwar gegen Außenstehende gut geschützt, aber key.matiq kann Ihnen den Zugriff darauf wiederherstellen, falls Sie Ihr Hauptkennwort vergessen haben sollten. Die key.matiq-Supportgruppe kann mit Ihrer Zustimmung auch Begleitdaten einsehen, wenn es z. B. darum geht, Ihnen wieder Zugriff auf Ihre Box zu verschaffen und wir einen letzten Beweis benötigen, dass Sie die rechtmäßige Eigentümer*in sind. | Begleitdaten Diejenigen Teile eines Geheimnisses oder einer Komponente, die nicht zu
den Kerngeheimnissen zählen, z. B.
Benutzer*innenname, E-Mail-Adresse, URL, Telefonnummer, Notizen, nennen
wir "Begleitdaten". Sie werden Ihnen in der Anzeige-Ansicht des
Geheimnisses unverdeckt angezeigt.
Als "allgemeine Begleitdaten" bezeichnen wir weitere Daten einer Box oder eines Gruppencontainers, soweit es sich nicht um streng geheime Daten wie das Hauptkennwort, die Hauptschlüssel oder um Anmeldeschlüssel handelt. Das sind dann z. B. die E-Mail-Adresse, Namen von Objekten, Notizen oder Strukturen (nicht Inhalte) von Geheimnissen. Begleitdaten werden zwar gegen Außenstehende gut geschützt, aber key.matiq kann Ihnen den Zugriff darauf wiederherstellen, falls Sie Ihr Hauptkennwort vergessen haben sollten. Die key.matiq-Supportgruppe kann mit Ihrer Zustimmung auch Begleitdaten einsehen, wenn es z. B. darum geht, Ihnen wieder Zugriff auf Ihre Box zu verschaffen und wir einen letzten Beweis benötigen, dass Sie die rechtmäßige Eigentümer*in sind. |
| Besitz, Besitzer*in | Besitzer*in einer Box ist diejenige, die über das Hauptkennwort verfügt. Besitzer*in eines Gruppen-Containers sind die Administrator*innen der Gruppe. Ist die Besitzer*in auch die Eigentümer*in oder handelt in deren Auftrag, ist sie die "rechtmäßige Besitzer*in", anderenfalls wird sie als "Usurpator*in" bezeichnet (siehe Usurpation). | Besitz, Besitzer*in Besitzer*in einer Box ist diejenige, die über das
Hauptkennwort verfügt. Besitzer*in eines
Gruppen-Containers sind die Administrator*innen der
Gruppe. Ist die Besitzer*in auch die Eigentümer*in
oder handelt in deren Auftrag, ist sie die "rechtmäßige Besitzer*in",
anderenfalls wird sie als "Usurpator*in" bezeichnet (siehe
Usurpation).
|
| Botnet | Siehe Wikipedia*. Bot = Kurzform für engl. Robot (Roboter). | Botnet Siehe Wikipedia*.
Bot = Kurzform für engl. Robot (Roboter).
|
| Box | So nennen wir einen key.matiq-Zugang mit all seinen Verbindungen und Geheimnissen. Es handelt sich um ein elektronisches Schließfach für digitale Informationen. | Box So nennen wir einen key.matiq-Zugang mit all seinen Verbindungen
und Geheimnissen. Es handelt sich um ein
elektronisches Schließfach für digitale Informationen.
|
| Brute Force | Engisch für "Rohe Gewalt". Hier ist die Methode, durch Ausprobieren in den Besitz eines Kennworts zu gelangen, gemeint, siehe Wikipedia "Brute-Force-Methode". | Brute Force Engisch für "Rohe Gewalt". Hier ist die Methode, durch Ausprobieren in den
Besitz eines Kennworts zu gelangen, gemeint,
siehe Wikipedia "Brute-Force-Methode".
|
| Cautiously Knowing Service | Mit dem Begriff "Cautiously Knowing Service" entwickeln wir den mit dem "Zero-Knowledge-Server" verbundenen Ansatz weiter: Wir sprechen von "Cautiously Knowing" (behutsam wissend) anstelle von "Zero-Knowledge" (Nullwissen), da Ausnahmen auch unter Sicherheitsaspekten sinnvoll sind: Ein Malwarescan von untergeschobenen Dateien wäre für einen Zero-Knowledge-Server nicht möglich. Wenn ein Kennwort kompromittiert ist, ist es wichtig herauszufinden, wo es in Verwendung ist. Dazu muss aber die Suchfunktion auch in angemessener Zeit Ergebnisse liefern. Auch dies kann bei Zero-Knowledge-Servern nicht immer garantiert werden. Wir sprechen von "Service" und nicht nur vom Server, um zu betonen, dass nicht nur der Server betroffen ist, sondern auch der Client (JavaScript-Programmierung des Browsers) ins Visier genommen wird und auch für die Führung und Aufklärung der Benutzer*in Verantwortung übernommen wird. Die Forderung, sowenig Wissen über Klartexte und Schlüssel wie möglich zu halten, aber so viel wie nötig zu ermöglichen, gilt beim "Cautiously Knowing Service" auf allen drei Ebenen: Benutzer*in, Client und Server. Bei der Benutzer*in geht es dabei um die Entlastung, beim Client darum, dass keine ungewollten Spuren von geheimen Daten nach Beendigung (oder Unterbrechung) einer Sitzung im Browser verbleiben und beim Server darum, dass er Benutzer*in und Client unterstützt, dabei möglichst auf Wissen um streng geheime Benutzer*innendaten verzichtet, aber weniger geheime Benutzer*innendaten zumindest wirksam vor dem Zugriff Dritter schützt. Beim "Cautiously Knowing Service" entscheidet immer die wohlinformierte Benutzer*in, ob der Server für bestimmte Zwecke (z. B. Malwarescan oder Suchfunktion) auf Klartexte oder Schlüssel kurzzeitig Zugriff erhält oder Einschränkungen in Kauf genommen werden. Während wir für eine fachliche Diskussion den Begriff "Cautiously Knowing Service" als optimal ansehen, gebrauchen wir für den Einstieg auch den Begriff "Zero-Knowledge+", um deutlich zu machen, dass unser Vorgehen im Ergebnis zu einem Mehr an Sicherheit führt. Siehe auch den Blog-Artikel Zero-Knowlege+: Der Cautiously Knowing Service. Siehe auch clientseitige Verschlüsselung und serverseitige Verschlüsselung. | Cautiously Knowing Service Mit dem Begriff "Cautiously Knowing Service" entwickeln wir den mit dem "Zero-Knowledge-Server" verbundenen Ansatz weiter: Wir sprechen von "Cautiously Knowing" (behutsam wissend) anstelle von "Zero-Knowledge" (Nullwissen), da Ausnahmen auch unter Sicherheitsaspekten sinnvoll sind: Ein Malwarescan von untergeschobenen Dateien wäre für einen Zero-Knowledge-Server nicht möglich. Wenn ein Kennwort kompromittiert ist, ist es wichtig herauszufinden, wo es in Verwendung ist. Dazu muss aber die Suchfunktion auch in angemessener Zeit Ergebnisse liefern. Auch dies kann bei Zero-Knowledge-Servern nicht immer garantiert werden. Wir sprechen von "Service" und nicht nur vom Server, um zu betonen, dass nicht nur der Server betroffen ist, sondern auch der Client (JavaScript-Programmierung des Browsers) ins Visier genommen wird und auch für die Führung und Aufklärung der Benutzer*in Verantwortung übernommen wird. Die Forderung, sowenig Wissen über Klartexte und Schlüssel wie möglich zu halten, aber so viel wie nötig zu ermöglichen, gilt beim "Cautiously Knowing Service" auf allen drei Ebenen: Benutzer*in, Client und Server. Bei der Benutzer*in geht es dabei um die Entlastung, beim Client darum, dass keine ungewollten Spuren von geheimen Daten nach Beendigung (oder Unterbrechung) einer Sitzung im Browser verbleiben und beim Server darum, dass er Benutzer*in und Client unterstützt, dabei möglichst auf Wissen um streng geheime Benutzer*innendaten verzichtet, aber weniger geheime Benutzer*innendaten zumindest wirksam vor dem Zugriff Dritter schützt. Beim "Cautiously Knowing Service" entscheidet immer die wohlinformierte Benutzer*in, ob der Server für bestimmte Zwecke (z. B. Malwarescan oder Suchfunktion) auf Klartexte oder Schlüssel kurzzeitig Zugriff erhält oder Einschränkungen in Kauf genommen werden. Während wir für eine fachliche Diskussion den Begriff "Cautiously Knowing Service" als optimal ansehen, gebrauchen wir für den Einstieg auch den Begriff "Zero-Knowledge+", um deutlich zu machen, dass unser Vorgehen im Ergebnis zu einem Mehr an Sicherheit führt. Siehe auch den Blog-Artikel Zero-Knowlege+: Der Cautiously Knowing Service. Siehe auch clientseitige Verschlüsselung und serverseitige Verschlüsselung. |
| CKS | Abkürzung für Cautiously Knowing Service | CKS Abkürzung für
Cautiously Knowing Service
|
| Clientseitige Verschlüsselung | Bei dieser Methode werden Geheimnisse auf dem Client (d. h. im Browser) ver- und entschlüsselt. Da der Browser über die Eingabe des Hauptkennworts und die Anzeige von Daten alle relevanten Geheimnisse ohnehin verarbeitet stellt dieses Verfahren kein wesentliches zusätzliches Sicherheitsrisiko dar und ist daher prinzipiell sicherer als die serverseitige Verschlüsselung. Allerdings sind auch hier, wie beim Server, eine Reihe von Vorsichtsmaßnahmen nötig. Und es müssen auch Seiteneffekte beachtet werden, wie z. B. die wesentlich langsamere Schlüsselstreckung | Clientseitige Verschlüsselung Bei dieser Methode werden Geheimnisse auf dem Client (d. h. im Browser)
ver- und entschlüsselt. Da der Browser über die Eingabe des Hauptkennworts
und die Anzeige von Daten alle relevanten Geheimnisse ohnehin verarbeitet
stellt dieses Verfahren kein wesentliches zusätzliches Sicherheitsrisiko
dar und ist daher prinzipiell sicherer als die
serverseitige Verschlüsselung.
Allerdings sind auch hier, wie beim Server, eine Reihe von
Vorsichtsmaßnahmen nötig. Und es müssen auch Seiteneffekte beachtet
werden, wie z. B. die wesentlich langsamere
Schlüsselstreckung
|
| Container | Für key.matiq der Oberbegriff von Box und Gruppen-Container: Beinhaltet Objekte wie Geheimnisse, Verteiler, Verbindungen, Nachrichten etc. | Container Für key.matiq der Oberbegriff von Box und
Gruppen-Container:
Beinhaltet Objekte wie Geheimnisse,
Verteiler, Verbindungen, Nachrichten etc.
|
| Cybersicherheit | Die Cybersicherheit weitet die IT-Sicherheit auf den gesamten Cyberraum aus, siehe Greenbone "Informationssicherheit & Datensicherheit". | Cybersicherheit Die Cybersicherheit weitet die IT-Sicherheit auf den gesamten Cyberraum aus, siehe Greenbone "Informationssicherheit & Datensicherheit". |
| Datenschutz | Datenschutz hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten sicherzustellen, siehe siehe Greenbone "Informationssicherheit & Datensicherheit". | Datenschutz Datenschutz hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten sicherzustellen, siehe siehe Greenbone "Informationssicherheit & Datensicherheit". |
| Datensicherheit | Datensicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten (auch nicht-personenbezogene Daten) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit". | Datensicherheit Datensicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten (auch nicht-personenbezogene Daten) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit". |
| Digitale Sicherheit | Synonym für Cybersicherheit. | Digitale Sicherheit Synonym für Cybersicherheit. |
| Eigentum, Eigentümer*in | Die Eigentümerschaft an einer Box oder eines
Gruppen-Containers berechtigt dazu, die
Wiederherstellung des Zugriffs auf die Daten zu verlangen. (Vorausgesetzt
natürlich, die Eigentümer*in ist auch bereit, den dafür erforderlichen
Aufwand zu bezahlen.) Wesentliche Indizien bzw. Beweise für das
Eigentum können sein:
| Eigentum, Eigentümer*in Die Eigentümerschaft an einer Box oder eines
Gruppen-Containers berechtigt dazu, die
Wiederherstellung des Zugriffs auf die Daten zu verlangen. (Vorausgesetzt
natürlich, die Eigentümer*in ist auch bereit, den dafür erforderlichen
Aufwand zu bezahlen.) Wesentliche Indizien bzw. Beweise für das
Eigentum können sein:
|
| Eigentümer*in einer Box | Die Eigentümer*in einer Box ist in der Regel diejenige, die sie angelegt hat, oder diejenige, der die Box von der Voreigentümer*in freiwillig oder per Erbschaft übertragen wurde. In der Regel ist die Eigentümer*in einer Box eine natürliche Person, selbst wenn sie Geheimnisse verwaltet, die juristischen Personen oder einer Gemeinschaft von natürlichen Personen gehören. Es sind zwar andere juristische Eigentumsverhältnisse (z. B. nach Vererbung an eine Erbengemeinschaft, nach Erstellung einer Box im Auftrag eines Dritten oder vertraglicher Übertragung) denkbar, aber wir raten davon ab, bzw. raten wir, solche Eigentumsverhältnisse baldmöglichst aufzulösen. Denn: Praktische Bedeutung hat die Eigentümerschaft nur, um die Kontrolle über eine Box wiederzuerlangen (siehe Ticket). Die Prüfung der Eigentümerschaft ist bei natürlichen Personen weitaus einfacher, und entsprechend sind die Erfolgsaussichten höher. Einen Wert hätte die Eigentümerschaft für juristische Personen oder Gemeinschaften ohnehin nur bezogen auf die gespeicherten Geheimnisse. Diese lassen sich aber besser über Verteiler und Gruppen auf mehrere Personen verteilen als den Besitz über die Reklamation des juristischen Eigentums sicherzustellen. | Eigentümer*in einer Box Die Eigentümer*in einer Box ist in der Regel diejenige, die sie angelegt hat, oder diejenige, der die Box von der Voreigentümer*in freiwillig oder per Erbschaft übertragen wurde. In der Regel ist die Eigentümer*in einer Box eine natürliche Person, selbst wenn sie Geheimnisse verwaltet, die juristischen Personen oder einer Gemeinschaft von natürlichen Personen gehören. Es sind zwar andere juristische Eigentumsverhältnisse (z. B. nach Vererbung an eine Erbengemeinschaft, nach Erstellung einer Box im Auftrag eines Dritten oder vertraglicher Übertragung) denkbar, aber wir raten davon ab, bzw. raten wir, solche Eigentumsverhältnisse baldmöglichst aufzulösen. Denn: Praktische Bedeutung hat die Eigentümerschaft nur, um die Kontrolle über eine Box wiederzuerlangen (siehe Ticket). Die Prüfung der Eigentümerschaft ist bei natürlichen Personen weitaus einfacher, und entsprechend sind die Erfolgsaussichten höher. Einen Wert hätte die Eigentümerschaft für juristische Personen oder Gemeinschaften ohnehin nur bezogen auf die gespeicherten Geheimnisse. Diese lassen sich aber besser über Verteiler und Gruppen auf mehrere Personen verteilen als den Besitz über die Reklamation des juristischen Eigentums sicherzustellen. |
| Eigentümer*innen eines Gruppen-Containers | Anders als bei einer Box stellt sich das Eigentum an Gruppen-Containern dar. Diese werden von einer oder mehreren Administrator*innen verwaltet. Hier macht die Eigentümerschaft einer juristischen Person (z. B. einer Firma oder eines Vereins) durchaus Sinn. Missbraucht eine Administrator*in ihr Recht und entzieht anderen Mitgliedern der Gruppe unberechtigt den Zugriff, könnte die Eigentümer*in die Einsetzung einer anderen Administrator*in, einfordern. Die Eigentümer*in kann darum den key.matiq-Support bitten, indem sie ein Gruppen-Ticket anlegt (Menü "Support", Punkt "Gruppe verloren"). Das wird allerdings nur bewilligt, wenn die juristische Lage eindeutig ist. Handelt es sich bei der Eigentümer*in um eine einfache Gruppe natürlicher Personen, die sämtlich über Boxen Zugriff auf den Gruppen-Container haben (bzw. vor dem behaupteten Missbrauch der Administrator*in hatten), so dürfte eine Willensbekundung der absoluten Mehrheit dieser Gruppe entscheidend für die Beurteilung der Lage sein. Auch Verträge können die Eigentümerschaft beweisen, Einzahlungen und der Name der Gruppe können Indizien sein. Wichtig ist auch, von welcher Box aus die Gruppe erstellt wurde. Die Eigentümer*in dieser Box gilt zunächst als Eigentümer*in des Gruppen-Containers. Andere Eigentumsansprüche unterliegen der Beweispflicht. Schließlich gibt es noch eine pragmatische Alternative: Alle anderen Mitglieder verlassen die Gruppe und bilden eine neue, während die Usurpator*in alleine in ihr verbleibt. | Eigentümer*innen eines Gruppen-Containers Anders als bei einer Box stellt sich das Eigentum an Gruppen-Containern dar. Diese werden von einer oder mehreren Administrator*innen verwaltet. Hier macht die Eigentümerschaft einer juristischen Person (z. B. einer Firma oder eines Vereins) durchaus Sinn. Missbraucht eine Administrator*in ihr Recht und entzieht anderen Mitgliedern der Gruppe unberechtigt den Zugriff, könnte die Eigentümer*in die Einsetzung einer anderen Administrator*in, einfordern. Die Eigentümer*in kann darum den key.matiq-Support bitten, indem sie ein Gruppen-Ticket anlegt (Menü "Support", Punkt "Gruppe verloren"). Das wird allerdings nur bewilligt, wenn die juristische Lage eindeutig ist. Handelt es sich bei der Eigentümer*in um eine einfache Gruppe natürlicher Personen, die sämtlich über Boxen Zugriff auf den Gruppen-Container haben (bzw. vor dem behaupteten Missbrauch der Administrator*in hatten), so dürfte eine Willensbekundung der absoluten Mehrheit dieser Gruppe entscheidend für die Beurteilung der Lage sein. Auch Verträge können die Eigentümerschaft beweisen, Einzahlungen und der Name der Gruppe können Indizien sein. Wichtig ist auch, von welcher Box aus die Gruppe erstellt wurde. Die Eigentümer*in dieser Box gilt zunächst als Eigentümer*in des Gruppen-Containers. Andere Eigentumsansprüche unterliegen der Beweispflicht. Schließlich gibt es noch eine pragmatische Alternative: Alle anderen Mitglieder verlassen die Gruppe und bilden eine neue, während die Usurpator*in alleine in ihr verbleibt. |
| Explorer-Ansicht | Bei größeren und mittleren Bildschirmen, wird die Ordner-Ansicht in der "Explorer-Ansicht" dargestellt. Wir meinen damit, dass links der Baum-Bereich dargestellt wird und rechts daneben Details des ausgewählten Objekts angezeigt oder bearbeitet werden. | Explorer-Ansicht Bei größeren und mittleren Bildschirmen, wird die Ordner-Ansicht in der "Explorer-Ansicht" dargestellt. Wir meinen damit, dass links der Baum-Bereich dargestellt wird und rechts daneben Details des ausgewählten Objekts angezeigt oder bearbeitet werden. |
| Fingerabdruck | Ein "Fingerabdruck" ist bei key.matiq eine lange Zeichenkette, der einem Klartext zuordnet wird und bei Änderung des Klartexts ebenfalls geändert wird. Damit kann bei Übertragung eines verschlüsselten Werts überprüft werden, ob sende- und empfangsseitig der gleiche Klartext-Wert zugrunde liegt. Der Fingerabdruck ist im Gegensatz zu "Hashes" nicht vom Klartext abgeleitet, sondern wird zum Großteil zufällig gebildet. Er enthält ansonsten nur noch einen Zeitstempel, die ID des erzeugenden Serverprozesses und die Nummer der Formatversion. Daher kann der Fingerabdruck nahezu bedenkenlos offengelegt werden. | Fingerabdruck Ein "Fingerabdruck" ist bei key.matiq eine lange Zeichenkette, der einem Klartext zuordnet wird und bei Änderung des Klartexts ebenfalls geändert wird. Damit kann bei Übertragung eines verschlüsselten Werts überprüft werden, ob sende- und empfangsseitig der gleiche Klartext-Wert zugrunde liegt. Der Fingerabdruck ist im Gegensatz zu "Hashes" nicht vom Klartext abgeleitet, sondern wird zum Großteil zufällig gebildet. Er enthält ansonsten nur noch einen Zeitstempel, die ID des erzeugenden Serverprozesses und die Nummer der Formatversion. Daher kann der Fingerabdruck nahezu bedenkenlos offengelegt werden. |
| Geheimnis | Wir benutzen dies als Oberbegriff für z. B. Kennwörter, PINs, private kryptografische Schlüssel, aber auch Dokumente (PDF, JPEG). In der Regel handelt es sich dabei um kleine aber wichtige Informationsmengen, die Zugang zu größeren geheimen Datenmengen erlauben. | Geheimnis Wir benutzen dies als Oberbegriff für z. B. Kennwörter, PINs, private
kryptografische Schlüssel, aber auch Dokumente (PDF, JPEG). In der
Regel handelt es sich dabei um
kleine
aber wichtige Informationsmengen, die Zugang zu größeren geheimen
Datenmengen erlauben.
|
| Gerät | Darunter verstehen wir die Kombination aus dem eigentlichen Gerät (PC, Laptop, Tablet, Smartphone oder auch eine virtuelle Maschine), dem darauf laufenden Browser und (falls das Betriebssystem mehr als ein Anmeldekonto zulässt) der auf dem Gerät angemeldeten Benutzer*in. key.matiq erkennt das Gerät daran, dass es ein Cookie, das es dort abgelegt hat, dort auch wiederfindet. | Gerät Darunter verstehen wir die Kombination aus dem eigentlichen Gerät (PC,
Laptop, Tablet, Smartphone oder auch eine virtuelle Maschine),
dem darauf laufenden Browser und (falls das Betriebssystem mehr als ein
Anmeldekonto zulässt) der auf dem Gerät angemeldeten Benutzer*in.
key.matiq erkennt das Gerät daran, dass es ein Cookie, das es dort
abgelegt hat, dort auch wiederfindet.
|
| Gruppe, Gruppen-Container | Ein Gruppen-Container beinhaltet Daten einer Gruppe, wie
Verbindungen (Mitglieder, Gruppen-Kontakte),
Vorlagen, Hinterlegungen, Nachrichten. Verkürzt
(und wenn kein Missverständis möglich ist), bezeichnen wir den
Gruppen-Container einfach als "Gruppe".
Besitzer*innen des Gruppen-Containers sind die
Admnistrator*innen. Lesenden Zugriff haben sämtliche Mitglieder.
(Genau genommen werden als Mitglieder einer Gruppe immer nur Boxen geführt, über die deren Besitzer*innen auf den Gruppen-Container zugreifen können. Entsprechend gelten einzelne Boxen als "administrativ", so dass deren Besitzer*innen als Administrator*innen fungieren können.) | Gruppe, Gruppen-Container Ein Gruppen-Container beinhaltet Daten einer Gruppe, wie
Verbindungen (Mitglieder, Gruppen-Kontakte),
Vorlagen, Hinterlegungen, Nachrichten. Verkürzt
(und wenn kein Missverständis möglich ist), bezeichnen wir den
Gruppen-Container einfach als "Gruppe".
Besitzer*innen des Gruppen-Containers sind die
Admnistrator*innen. Lesenden Zugriff haben sämtliche Mitglieder.
(Genau genommen werden als Mitglieder einer Gruppe immer nur Boxen geführt, über die deren Besitzer*innen auf den Gruppen-Container zugreifen können. Entsprechend gelten einzelne Boxen als "administrativ", so dass deren Besitzer*innen als Administrator*innen fungieren können.) |
| Hauptkennwort | Dieses Kennwort dient sowohl dazu, den Zugang zur Box zu erlangen, als auch die in der Box enthaltenen Geheimnisse zu ver- und entschlüsseln. | Hauptkennwort Dieses Kennwort dient sowohl dazu, den Zugang zur Box zu erlangen, als auch die in der Box enthaltenen Geheimnisse zu ver- und entschlüsseln. |
| Hinterlegung | Damit meinen wir die verschlüsselte Übergabe eines Geheimnisses an eine Vertrauensperson, um dieses bei Bedarf rückfordern zu können. Die Vertrauensperson bekommt das Geheimnis selbst nicht zu Gesicht, aber nur sie kann darauf zugreifen, um die Rückgabe einzuleiten. Zweck: Backup für das Hauptkennwort der Box, für den Fall, dass es vergessen wird. | Hinterlegung Damit meinen wir die verschlüsselte Übergabe eines
Geheimnisses an eine Vertrauensperson, um dieses bei
Bedarf rückfordern zu können. Die Vertrauensperson bekommt das Geheimnis
selbst nicht zu Gesicht, aber nur sie kann darauf zugreifen, um die
Rückgabe einzuleiten. Zweck: Backup für das
Hauptkennwort der Box,
für den Fall, dass es vergessen wird.
|
| Import-Ordner | Spezieller Ordner zum Importieren von Backups oder exportierten Teilbäumen. Die Objekte in diesen Ordnern sind nicht "aktiv", d. h. sie können zwar angeschaut werden, aber weder bearbeitet noch anderweitig benutzt werden. Sie können aber, durch Verschieben in einen normalen Ordner, aktiviert werden. | Import-Ordner Spezieller Ordner zum Importieren von Backups oder exportierten
Teilbäumen. Die Objekte in diesen Ordnern sind nicht "aktiv", d. h.
sie können zwar angeschaut werden, aber weder bearbeitet noch anderweitig
benutzt werden. Sie können aber, durch Verschieben in einen normalen
Ordner, aktiviert werden.
|
| Informationssicherheit | Informationssicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen (auch in nicht-technischen Systemen, z. B. auf Papier) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit". | Informationssicherheit Informationssicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen (auch in nicht-technischen Systemen, z. B. auf Papier) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit". |
| Inhaber*in | Inhaber*in einer Box bzw. eines
Gruppen-Containers ist die
Besitzer*in, solange deren
Eigentum daran nicht bestritten wird.
(Dieser Begriff zielt also nicht so sehr auf die Unterscheidung von Besitz und Eigentum ab, sondern davon aus, dass unrechtmäßiger Besitz alsbald wieder auf die rechtmäßige Eigentümer*in übertragen wird. Wir verwenden diesen Begriff insbesondere in den Datentschutzhinweisen, in denen die persönlichen Rechte der Eigentümer*innen in der Regel über den Besitz wahrgenommen oder angemeldet werden. Erst im Konfliktfall muss festgestellt werden, ob eine Usurpation vorliegt und diese ggf. beendet werden, damit die Eigentümer*in ihre Rechte wahrnehmen kann.) | Inhaber*in Inhaber*in einer Box bzw. eines
Gruppen-Containers ist die
Besitzer*in, solange deren
Eigentum daran nicht bestritten wird.
(Dieser Begriff zielt also nicht so sehr auf die Unterscheidung von Besitz und Eigentum ab, sondern davon aus, dass unrechtmäßiger Besitz alsbald wieder auf die rechtmäßige Eigentümer*in übertragen wird. Wir verwenden diesen Begriff insbesondere in den Datentschutzhinweisen, in denen die persönlichen Rechte der Eigentümer*innen in der Regel über den Besitz wahrgenommen oder angemeldet werden. Erst im Konfliktfall muss festgestellt werden, ob eine Usurpation vorliegt und diese ggf. beendet werden, damit die Eigentümer*in ihre Rechte wahrnehmen kann.) |
| Inspektions-Ordner | Spezieller Ordner zur Ansicht von (unverschlüsselten Teilen von) Objekten eines Containers. Die Inspektion wird nach strengen Regularien durch eine Support-Mitarbeiter*in und auch nur dann durchgeführt, wenn der behauptete Container-Eigentümer*in ein Ticket (z. B. für das Setzen eines neuen Hauptkennworts erstellt hat, die Identität dieser Ticket-Ersteller*in festgestellt wurde, sie ihr Eigentum glaubhaft gemacht hat und sie die Inspektion erlaubt hat, um dafür den letzten Beweis zu erbringen. Die Inspektion wird in jedem Fall auf das Minimum des für diesen Zweck Erforderlichen beschränkt und kann Kerngeheimnisse keinem Fall umfassen. | Inspektions-Ordner Spezieller Ordner zur Ansicht von (unverschlüsselten Teilen von) Objekten
eines Containers. Die Inspektion wird nach
strengen Regularien durch eine Support-Mitarbeiter*in und auch nur dann
durchgeführt, wenn der behauptete
Container-Eigentümer*in ein
Ticket (z. B. für das Setzen eines neuen
Hauptkennworts erstellt hat, die Identität
dieser Ticket-Ersteller*in festgestellt wurde, sie ihr Eigentum
glaubhaft gemacht hat und sie die Inspektion erlaubt hat, um dafür den
letzten Beweis zu erbringen. Die Inspektion wird in jedem Fall auf das
Minimum des für diesen Zweck Erforderlichen beschränkt und kann
Kerngeheimnisse keinem Fall umfassen.
|
| Internetsicherheit | Schutz von IT-Systemen vor Bedrohungen aus dem Internet siehe Greenbone "Informationssicherheit & Datensicherheit". | Internetsicherheit Schutz von IT-Systemen vor Bedrohungen aus dem Internet siehe Greenbone "Informationssicherheit & Datensicherheit". |
| IT-Sicherheit | Schutz von IT-Systemen vor Schäden und Bedrohungen. Dies erstreckt sich von der einelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren, siehe Greenbone "Informationssicherheit & Datensicherheit". | IT-Sicherheit Schutz von IT-Systemen vor Schäden und Bedrohungen. Dies erstreckt sich von der einelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren, siehe Greenbone "Informationssicherheit & Datensicherheit". |
| Kennwort | Kennwörter werden benutzt, um einen Zugang zu Daten, Diensten, Geräten und Räumen berechtigten Personen (oder auch berechtigten IT-Systemen) zu ermöglichen und unberechtigten zu verwehren. Kennwörter bestehen aus einer beliebigen Folge von Zeichen (eines festgelegten Zeichensatzes). Damit gilt eine Passphrase ebenfalls als Kennwort. Kennwörter ziehen, wenn sie auf IT-Systemen genutzt werden, in der Regel kryptografische Verfahren nach sich: Kennwörter, mit denen der Zugriff zu Daten kontrolliert wird, dienen manchmal dazu, von ihnen einen Schlüssel abzuleiten, mit dem die Daten ver- und entschlüsselt werden können. Dieser Schlüssel wird dann nicht gespeichert. In anderen Fällen (insbesondere dann, wenn von dem System oder Dienst auf die Daten auch unabhängig von der Kennworteingabe zugegriffen werden muss) wird vom Kennwort in der Regel ebenfalls ein "Schlüssel" (er wird dann "Hashwert" genannt) abgeleitet, allerdings nur, um die korrekte Eingabe zu überprüfen. (Siehe Unidirektionale Verschlüsselung ). Dieser Schlüssel wird bei der Registrierung bzw. Kennwortänderung gespeichert. Beide Fälle können auch kombiniert auftreten: Sowohl der Schlüssel für die Datenver- und -entschlüsselung als auch der Hashwert für die Anmeldekontrolle werden vom Kennwort abgeleitet. Die Stärke der Kennwörter limitiert in allen Fällen die Stärke der abgeleiteten Schlüssel. | Kennwort Kennwörter werden benutzt, um einen Zugang zu Daten, Diensten, Geräten und Räumen berechtigten Personen (oder auch berechtigten IT-Systemen) zu ermöglichen und unberechtigten zu verwehren. Kennwörter bestehen aus einer beliebigen Folge von Zeichen (eines festgelegten Zeichensatzes). Damit gilt eine Passphrase ebenfalls als Kennwort. Kennwörter ziehen, wenn sie auf IT-Systemen genutzt werden, in der Regel kryptografische Verfahren nach sich: Kennwörter, mit denen der Zugriff zu Daten kontrolliert wird, dienen manchmal dazu, von ihnen einen Schlüssel abzuleiten, mit dem die Daten ver- und entschlüsselt werden können. Dieser Schlüssel wird dann nicht gespeichert. In anderen Fällen (insbesondere dann, wenn von dem System oder Dienst auf die Daten auch unabhängig von der Kennworteingabe zugegriffen werden muss) wird vom Kennwort in der Regel ebenfalls ein "Schlüssel" (er wird dann "Hashwert" genannt) abgeleitet, allerdings nur, um die korrekte Eingabe zu überprüfen. (Siehe Unidirektionale Verschlüsselung ). Dieser Schlüssel wird bei der Registrierung bzw. Kennwortänderung gespeichert. Beide Fälle können auch kombiniert auftreten: Sowohl der Schlüssel für die Datenver- und -entschlüsselung als auch der Hashwert für die Anmeldekontrolle werden vom Kennwort abgeleitet. Die Stärke der Kennwörter limitiert in allen Fällen die Stärke der abgeleiteten Schlüssel. |
| Kerngeheimnis | Diejenigen Teile eines Geheimnisses, die besonders zu schützen sind (Kennwörter, PINs, PUKs, private Schlüssel, geheime Bilder und Dateien) und in der Anzeige-Ansicht auch verdeckt angezeigt werden, nennen wir "Kerngeheimnisse". Die übrigen Teile nennen wir dagegen Begleitdaten. Die Kerngeheimnisse werden mit dem Hauptkennwort verschlüsselt, so dass sie ohne dieses nicht mehr zugänglich sind, auch nicht für das key.matiq-Team. Die einzige Möglichkeit bei Verlust des Hauptkennworts noch auf die Kerngeheimnisse zugreifen zu können, besteht darin, dass Sie das Hauptkennwort zuvor hinterlegt haben. (In diesem Fall können Sie es über ein Ticket wiedererlangen.) | Kerngeheimnis Diejenigen Teile eines Geheimnisses, die besonders zu schützen sind
(Kennwörter, PINs, PUKs, private Schlüssel, geheime Bilder und Dateien)
und in der Anzeige-Ansicht auch verdeckt angezeigt werden, nennen wir
"Kerngeheimnisse". Die übrigen Teile nennen wir dagegen
Begleitdaten. Die Kerngeheimnisse werden mit dem
Hauptkennwort verschlüsselt, so dass sie ohne dieses nicht mehr zugänglich
sind, auch nicht für das key.matiq-Team. Die einzige Möglichkeit
bei Verlust des Hauptkennworts noch auf die Kerngeheimnisse zugreifen
zu können, besteht darin, dass Sie das Hauptkennwort zuvor
hinterlegt haben. (In diesem Fall können Sie es
über ein Ticket wiedererlangen.)
|
| Keyset | Schlüsselbund eines Containers. Der aktuelle ("default") Keyset beinhaltet die Schlüssel mit denen Geheimnisse neu verschlüsselt werden. Ältere ("valid", "lost", "required") Keysets bleiben solange bestehen, solange sich darauf Geheimnisse beziehen. "Valid" Keysets könnnen noch für die Entschlüsselung (bzw. Umschlüsselung auf das "default" Keyset) genutzt werden. Bei "lost" und "required" Keysets gelten gilt der Hauptschlüssel des Keysets als verloren, kann aber evtl. noch wiedererlangt werden. | Keyset Schlüsselbund eines Containers. Der aktuelle ("default") Keyset
beinhaltet die Schlüssel mit denen Geheimnisse neu
verschlüsselt werden. Ältere ("valid", "lost", "required") Keysets bleiben
solange bestehen, solange sich darauf Geheimnisse beziehen. "Valid"
Keysets könnnen noch für die Entschlüsselung (bzw. Umschlüsselung auf das
"default" Keyset) genutzt werden. Bei "lost" und "required" Keysets
gelten gilt der Hauptschlüssel des Keysets als verloren, kann aber evtl.
noch wiedererlangt werden.
|
| Komplement | Wir nennen so Teilgeheimnisse, die nur im Browser hinzugefügt werden. In der Box können jedoch Hinweise dazu abgelegt werden. Auf sie können Geheimnisse (aber auch Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente) können die zu verwendenden Komplemente eingegeben werden ohne sie in der Box zu speichern. Es wird dann das zusammengesetzte Geheimnis angezeigt. | Komplement Wir nennen so Teilgeheimnisse, die nur im
Browser hinzugefügt werden. In der Box können jedoch
Hinweise dazu abgelegt werden.
Auf sie können Geheimnisse (aber auch Komponenten)
Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente)
können die zu verwendenden Komplemente eingegeben werden ohne sie
in der Box zu speichern. Es wird dann das zusammengesetzte Geheimnis
angezeigt.
|
| Komplettierung | So nennen wir das Verfahren zur Vervollständigung von Geheimnissen (und auch Komponenten) durch Teilgeheimnisse. | Komplettierung So nennen wir das Verfahren zur Vervollständigung von
Geheimnissen (und auch
Komponenten) durch
Teilgeheimnisse.
|
| Komponente | Wir nennen so Teilgeheimnisse, die in der Box gespeichert werden. Auf sie können Geheimnisse (aber auch andere Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente) werden diese Bezüge durch die Werte der Komponenten ersetzt. | Komponente Wir nennen so Teilgeheimnisse, die in der Box
gespeichert werden. Auf sie können Geheimnisse (aber auch andere
Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses
(oder einer Komponente) werden diese Bezüge durch die Werte der
Komponenten ersetzt.
|
| Konto-Objekt | Wir haben uns dafür entschieden, alle Abrechnungsfunktionen in einem
"Objekt" zu bündeln, das immer ganz oben im "Hauptordner" aufgeführt wird.
Über das Konto-Objekt können Sie sowohl neues Guthaben einzahlen, als auch den Verbrauch des Guthabens nachvollziehen. Sie sehen im Status, wie lange das Guthaben, bzw. Rabatte die Nutzung des Containers garantiert. Sie können Bestelldaten und Rechnungen abrufen. Sie können auch Guthaben an andere Container übertragen. | Konto-Objekt Wir haben uns dafür entschieden, alle Abrechnungsfunktionen in einem
"Objekt" zu bündeln, das immer ganz oben im "Hauptordner" aufgeführt wird.
Über das Konto-Objekt können Sie sowohl neues Guthaben einzahlen, als auch den Verbrauch des Guthabens nachvollziehen. Sie sehen im Status, wie lange das Guthaben, bzw. Rabatte die Nutzung des Containers garantiert. Sie können Bestelldaten und Rechnungen abrufen. Sie können auch Guthaben an andere Container übertragen. |
| Kryptografie | Die Wissenschaft der Verschlüsselung von Informationen (auch der
Konzeption, Definition und Konstruktionen von Informationssystemen),
so dass die Informationen widerstandsfähig gegen Manipulation und
unbefugtes Lesen sind.
Ein kryptografischer Schlüssel dient dabei der Ver- und Entschlüsselung von Informationen. Eine kryptografische Hashfunktion dient der Bildung eines Prüfwerts, um eine Information (z. B. ein Kennwort) sicher identifizieren zu können, ohne sie im Klartext abspeichern zu müssen (z. B. ein Kennwort). Um jetzt und auch in einiger Zukunft widerstandsfähig gegen die Brute-Force-Methode zu sein, müssen kryptografische Schlüssel und Hashes eine Sicherheitsstärke von 128 Bit haben. | Kryptografie Die Wissenschaft der Verschlüsselung von Informationen (auch der
Konzeption, Definition und Konstruktionen von Informationssystemen),
so dass die Informationen widerstandsfähig gegen Manipulation und
unbefugtes Lesen sind.
Ein kryptografischer Schlüssel dient dabei der Ver- und Entschlüsselung von Informationen. Eine kryptografische Hashfunktion dient der Bildung eines Prüfwerts, um eine Information (z. B. ein Kennwort) sicher identifizieren zu können, ohne sie im Klartext abspeichern zu müssen (z. B. ein Kennwort). Um jetzt und auch in einiger Zukunft widerstandsfähig gegen die Brute-Force-Methode zu sein, müssen kryptografische Schlüssel und Hashes eine Sicherheitsstärke von 128 Bit haben. |
| Nullwissen | Deutsche Übersetzung für "zero knowledge". Mit Nullwissen ist gemeint, dass höchstens verschlüsselte Daten bekannt sind, aber es nicht möglich ist, deren Bedeutung zu erfahren, da der Schlüssel für die Entschlüsselung nicht bekannt ist. In der Regel bezieht sich das "Nullwissen" lediglich auf (von der jeweiligen Autor*in) für kritisch gehaltene Daten, da Internetdienste selten ganz ohne Wissen von personenbezogenen Daten (zu denen in der Regel auch E-Mail- und IP-Adressen zählen) auskommen. Siehe "Zero-Knowlege-Server". | Nullwissen Deutsche Übersetzung für "zero knowledge". Mit Nullwissen ist gemeint,
dass höchstens verschlüsselte Daten bekannt sind, aber es nicht möglich
ist, deren Bedeutung zu erfahren, da der Schlüssel für die Entschlüsselung
nicht bekannt ist. In der Regel bezieht sich das "Nullwissen" lediglich
auf (von der jeweiligen Autor*in) für kritisch gehaltene Daten, da
Internetdienste selten ganz ohne Wissen von personenbezogenen Daten (zu
denen in der Regel auch E-Mail- und IP-Adressen zählen) auskommen.
Siehe
"Zero-Knowlege-Server".
|
| Objekt | Der Begriff Objekt wird bei uns in spezieller Weise verwendet: Er bezieht sich auf Daten, die (ähnlich wie Dateien auf einem PC) mit Namen versehen in Ordnern gehalten werden. Die Ordner selbst gelten ebenfalls als Objekte. Beispiele für Objekte sind: Geheimnisse, Vorlagen, Kontakte, der Papierkorb und das Konto. Objekte lassen sich erstellen, anzeigen, bearbeiten, löschen, duplizieren, verschieben, umbenennen, etc. | Objekt Der Begriff Objekt wird bei uns in spezieller Weise verwendet: Er bezieht
sich auf Daten, die (ähnlich wie Dateien auf einem PC) mit Namen versehen
in Ordnern gehalten werden. Die Ordner selbst gelten ebenfalls als
Objekte. Beispiele für Objekte sind: Geheimnisse,
Vorlagen, Kontakte, der Papierkorb und das
Konto.
Objekte lassen sich erstellen, anzeigen, bearbeiten, löschen, duplizieren,
verschieben, umbenennen, etc.
|
| Objekt-Bereich | Der rechte Bereich der Ordner-Ansicht. In diesem Bereich können Objekte angezeigt und bearbeitet werden. | Objekt-Bereich Der rechte Bereich der Ordner-Ansicht. In diesem
Bereich können Objekte
angezeigt und bearbeitet
werden.
|
| Ordner-Ansicht | Links ("Baum-Bereich") werden die Objekte des Containers in einer Baum-Struktur dargestellt. Rechts das aktuell gewählte Objekt in der Anzeige-Ansicht (Vorbelegung) oder Bearbeitungs-Ansicht (wenn ausgewählt). Über beiden Bereichen wird der Pfad des aktuellen Objekts eingeblendet, sowie Knöpfe zum Vor- und Zurückgehen in der Historie der Objekt-Auswahl und ein Knopf zum Aktualisieren der Ordner-Ansicht (in der Regel effizienter als das Neuladen der gesamten Seite über den ensprechenden Browser-Knopf). | Ordner-Ansicht Links ("Baum-Bereich") werden die
Objekte des Containers in
einer Baum-Struktur dargestellt. Rechts das aktuell gewählte Objekt in der
Anzeige-Ansicht (Vorbelegung) oder
Bearbeitungs-Ansicht (wenn ausgewählt). Über
beiden Bereichen wird der Pfad des aktuellen Objekts eingeblendet, sowie
Knöpfe zum Vor- und Zurückgehen in der Historie der Objekt-Auswahl und ein
Knopf zum Aktualisieren der Ordner-Ansicht (in der Regel effizienter als
das Neuladen der gesamten Seite über den ensprechenden Browser-Knopf).
|
| Papierkorb | Spezieller Ordner zur Vorbereitung des Löschens von Objekten. Diese werden nach einer festgelegten Zeit gelöscht, es sei denn, sie wurden zuvor wieder aus dem Papierkorb herausgeholt. | Papierkorb Spezieller Ordner zur Vorbereitung des Löschens von Objekten.
Diese werden nach einer festgelegten Zeit gelöscht, es sei denn,
sie wurden zuvor wieder aus dem Papierkorb herausgeholt.
|
| Passphrase | Passphrasen sind Kennwörter, die aus mehreren Wörtern zusammengesetzt sind. | Passphrase Passphrasen sind Kennwörter, die aus mehreren Wörtern zusammengesetzt sind. |
| Passwortsicherheit | Die Passwortsicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Kennwörtern sicherzustellen und ist damit ein Teil der Datensicherheit. | Passwortsicherheit Die Passwortsicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Kennwörtern sicherzustellen und ist damit ein Teil der Datensicherheit. |
| Passwortstärke | Entspricht dem englischen Begriff "password strength", siehe Wikipedia "Password Strength" (englisch). Siehe auch den Blog-Artikel "Die Mathematik der PasswortStärke". | Passwortstärke Entspricht dem englischen Begriff "password strength", siehe
Wikipedia "Password Strength" (englisch).
Siehe auch den Blog-Artikel "Die Mathematik der PasswortStärke".
|
| PL-0 | Schutzniveau, das unterhalb von PL-1 liegt. | PL-0 Schutzniveau, das unterhalb von PL-1 liegt.
|
| PL-1 | Minimales Schutzniveau, das eine Web-App für ihre Daten erreichen sollte. Allerdings fehlt hier noch der Schutz durch verschlüsselte Platten. key.matiq gibt sich mit diesem Niveau nicht zufrieden, da bereits ein Plattenabzug einen Zugriff auf die Daten erlauben würde. | PL-1 Minimales Schutzniveau, das eine Web-App für ihre Daten erreichen sollte.
Allerdings fehlt hier noch der Schutz durch verschlüsselte Platten.
key.matiq gibt sich mit diesem Niveau nicht zufrieden, da
bereits ein Plattenabzug einen Zugriff auf die Daten erlauben würde.
|
| PL-2 | Schutzniveau für Daten, die auf verschlüsselten Platten gehalten werden.
Eine bloße Kopie der Platten erlaubt keinen Zugriff auf die Daten.
Der Schlüssel für die Platten darf immer nur im flüchtigen Hauptspeicher
des Servers verfügbar sein und unter keinen Umständen auf die Platte
gelangen.
Dieses Schutzniveau ist angezeigt bei Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, letzterer aber in diesem Rahmen noch möglichst hoch sein soll. | PL-2 Schutzniveau für Daten, die auf verschlüsselten Platten gehalten werden.
Eine bloße Kopie der Platten erlaubt keinen Zugriff auf die Daten.
Der Schlüssel für die Platten darf immer nur im flüchtigen Hauptspeicher
des Servers verfügbar sein und unter keinen Umständen auf die Platte
gelangen.
Dieses Schutzniveau ist angezeigt bei Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, letzterer aber in diesem Rahmen noch möglichst hoch sein soll. |
| PL-3 | Schutzniveau für Daten, die mit dem Kennwort der Eigentümer*in der Daten verschlüsselt sind. Die Ver- und Entschlüsselung findet serverseitig statt. Klartexte von Daten, Schlüsseln und Kennwort sind immer nur im flüchtigen Hauptspeicher des Servers verfügbar und gelangen unter keinen Umständen auf die Platte. | PL-3 Schutzniveau für Daten, die mit dem Kennwort der
Eigentümer*in der Daten verschlüsselt sind. Die
Ver- und Entschlüsselung findet serverseitig statt. Klartexte von Daten,
Schlüsseln und Kennwort sind immer nur im flüchtigen Hauptspeicher des
Servers verfügbar und gelangen unter keinen Umständen auf die Platte.
|
| PL-4 | Wie PL-3, aber die Ver- und Entschlüsselung findet
clientseitig statt, so dass die Klartexte der Daten nicht auf den Server
gelangen.
Dieses Schutzniveau ist vermutlich das übliche bei den mit dem Attribute "Zero-Knowledge Server" bezeichneten Diensten. Für key.matiq erscheint es bezüglich Kerngeheimnissen zu niedrig, bezüglich Begleitdaten zu hoch (da hier der hohe Schutz vor Offenlegung den in diesem Fall wichtigeren Schutz vor Verlust behindert). | PL-4 Wie PL-3, aber die Ver- und Entschlüsselung findet
clientseitig statt, so dass die Klartexte der Daten nicht auf den Server
gelangen.
Dieses Schutzniveau ist vermutlich das übliche bei den mit dem Attribute "Zero-Knowledge Server" bezeichneten Diensten. Für key.matiq erscheint es bezüglich Kerngeheimnissen zu niedrig, bezüglich Begleitdaten zu hoch (da hier der hohe Schutz vor Offenlegung den in diesem Fall wichtigeren Schutz vor Verlust behindert). |
| PL-5 | Wie PL-4, aber durch ein Zusammenspiel von Client und Server wird erreicht, dass bei Abbruch oder Unterbrechung einer Sitzung (egal ob clientseitig oder serverseitig veranlasst) auch auf dem Client kein Zugriff auf die Klartexte mehr möglich ist. | PL-5 Wie PL-4, aber durch ein Zusammenspiel von Client
und Server wird erreicht, dass bei Abbruch oder Unterbrechung
einer Sitzung (egal ob clientseitig oder serverseitig veranlasst) auch
auf dem Client kein Zugriff auf die Klartexte mehr möglich ist.
|
| PL-high | Hohes Schutzniveau für key.matiq, entpricht PL-5. Verwendet für geheime Daten, bei denen für eine von der Kund*in gewünschte Aktion ein (kurzfristiges) Serverwissen unausweichlich ist, z. B. für eine Malwareprüfung von hochgeladenen Dateien. | PL-high Hohes Schutzniveau für key.matiq, entpricht PL-5.
Verwendet für geheime Daten, bei denen für eine von der Kund*in
gewünschte Aktion ein (kurzfristiges) Serverwissen unausweichlich ist,
z. B. für eine Malwareprüfung von hochgeladenen Dateien.
|
| PL-low | Niedrigstes Schutzniveau für key.matiq, entpricht PL-2. Verwendet für Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, z. B. für Begleitdaten von Geheimnissen. | PL-low Niedrigstes Schutzniveau für key.matiq, entpricht PL-2.
Verwendet für Daten, bei denen der Schutz vor Verlust wichtiger ist als
der vor Offenlegung, z. B. für Begleitdaten von Geheimnissen.
|
| PL-medium | Mittleres Schutzniveau für key.matiq, entpricht PL-3. Verwendet für geheime Daten, bei denen für eine von der Kund*in gewünschte Aktion ein Serverwissen unausweichlich ist, z. B. für eine Malwareprüfung von hochgeladenen Dateien. | PL-medium Mittleres Schutzniveau für key.matiq, entpricht PL-3.
Verwendet für geheime Daten, bei denen für eine von der Kund*in
gewünschte Aktion ein Serverwissen unausweichlich ist, z. B. für
eine Malwareprüfung von hochgeladenen Dateien.
|
| Registrieren | Wenn Sie sich bei key.matiq "registrieren", erstellen Sie damit
einfach eine "Box". Die Box ist für die
Probenutzungszeit (drei Monate) rabattiert, so dass das geringste
Speicherkontingent in dieser Zeit kostenlos ist.
Die Registrierung erfordert auch nur minimale Angaben. Insbesondere brauchen Sie sich key.matiq gegenüber nicht zu identifizieren und auch die Angabe einer E-Mail-Adresse ist optional. Wenn Sie die Box nach der Probenutzungszeit weiternutzen wollen, oder ein höheres Kontingent benötigen, müssen Sie Guthaben einzahlen. Ansonsten wird die Box einfach gesperrt und nach einiger Zeit gelöscht, ohne dass irgendwelche Forderungen auf Sie zukommen. | Registrieren Wenn Sie sich bei key.matiq "registrieren", erstellen Sie damit
einfach eine "Box". Die Box ist für die
Probenutzungszeit (drei Monate) rabattiert, so dass das geringste
Speicherkontingent in dieser Zeit kostenlos ist.
Die Registrierung erfordert auch nur minimale Angaben. Insbesondere brauchen Sie sich key.matiq gegenüber nicht zu identifizieren und auch die Angabe einer E-Mail-Adresse ist optional. Wenn Sie die Box nach der Probenutzungszeit weiternutzen wollen, oder ein höheres Kontingent benötigen, müssen Sie Guthaben einzahlen. Ansonsten wird die Box einfach gesperrt und nach einiger Zeit gelöscht, ohne dass irgendwelche Forderungen auf Sie zukommen. |
| Sicherheitsstärke | Entspricht in der Praxis den englischen Begriffen "security level" und
"security strength", siehe Wikipedia "Security level". Der
Begriff bezieht sich auf Verschlüsselung und kryptografische Hash-Bildung
Die Sicherheitsstärke (gemessen in Bits) ist der binäre Logarithmus der Anzahl möglicher unterschiedlicher aber gleichermaßen widerstandsfähiger Schlüssel bzw. Hashwerte (für die vorgegebene Verschlüsselungmethode bzw. Hashfunktion). (Wir bevorzugen den Begriff "Sicherheitsstärke" gegenüber "Sicherheitsniveau", auch wenn im Englischen eher von "security level" als von "security strength" die Rede ist, weil anderenfalls im Kontext von key.matiq der Begriff mit "Schutzniveau" leicht zu verwechseln ist.) | Sicherheitsstärke Entspricht in der Praxis den englischen Begriffen "security level" und
"security strength", siehe Wikipedia "Security level". Der
Begriff bezieht sich auf Verschlüsselung und kryptografische Hash-Bildung
Die Sicherheitsstärke (gemessen in Bits) ist der binäre Logarithmus der Anzahl möglicher unterschiedlicher aber gleichermaßen widerstandsfähiger Schlüssel bzw. Hashwerte (für die vorgegebene Verschlüsselungmethode bzw. Hashfunktion). (Wir bevorzugen den Begriff "Sicherheitsstärke" gegenüber "Sicherheitsniveau", auch wenn im Englischen eher von "security level" als von "security strength" die Rede ist, weil anderenfalls im Kontext von key.matiq der Begriff mit "Schutzniveau" leicht zu verwechseln ist.) |
| Schlüsselstreckung | Verfahren zur Ableitung des für die Verschlüsselung Ihrer Geheimnisse
benötigten Hauptschlüssels aus dem
Hauptkennwort.
Siehe Wikipedia.
Die Schlüsselstreckung erhöht dabei die Stärke der Verschlüsselung. Sie wird bei key.matiq auch automatisch auf die ständige Erhöhung der allgemeinen Rechengeschwindigkeit angepasst, um diesbezüglich gleichbleibende Sicherheit zu bieten. Bei clientseitiger Verschlüsselung kann jedoch die Schlüsselstreckung je nach Gerät ganz unterschiedliches Zeitverhalten aufweisen und dauert in der Regel sehr viel länger als bei serverseitiger Verschlüsselung. Abhilfe schafft die Anpassung (Verringerung) des Streckungsparameters. | Schlüsselstreckung Verfahren zur Ableitung des für die Verschlüsselung Ihrer Geheimnisse
benötigten Hauptschlüssels aus dem
Hauptkennwort.
Siehe Wikipedia.
Die Schlüsselstreckung erhöht dabei die Stärke der Verschlüsselung. Sie wird bei key.matiq auch automatisch auf die ständige Erhöhung der allgemeinen Rechengeschwindigkeit angepasst, um diesbezüglich gleichbleibende Sicherheit zu bieten. Bei clientseitiger Verschlüsselung kann jedoch die Schlüsselstreckung je nach Gerät ganz unterschiedliches Zeitverhalten aufweisen und dauert in der Regel sehr viel länger als bei serverseitiger Verschlüsselung. Abhilfe schafft die Anpassung (Verringerung) des Streckungsparameters. |
| Schutzniveau | Spezifikation des Schutzes für Daten vor Offenlegung im Rahmen des
"Cautiously Knowing Service"-Konzepts. Standardmäßig gibt es in diesem
Konzept die Schutzniveaus PL-0,
PL-1, PL-2,
PL-3, PL-4 und
PL-5. Von diesen werden für key.matiq nur die Niveaus
PL-2, PL-3 und
PL-5
benutzt und als key-matiq-spezifisch als PL-low,
PL-medium und PL-high
bezeichnet.
Ein angehängtes "+" an einen Schutzniveau-Namen bedeutet, dass zusätzliche Maßnahmen einen höheren Schutz bewirken, allerdings noch nicht das nächsthöhere Schutzniveau erreicht ist. Z. B. steht PL-3+ zwischen PL-3 und PL-4. Solche spezialisierten Schutzniveaus sind im Detail zu beschreiben, bei key.matiq im Handbuch im Artikel "Cautiously Knowing Service". | Schutzniveau Spezifikation des Schutzes für Daten vor Offenlegung im Rahmen des
"Cautiously Knowing Service"-Konzepts. Standardmäßig gibt es in diesem
Konzept die Schutzniveaus PL-0,
PL-1, PL-2,
PL-3, PL-4 und
PL-5. Von diesen werden für key.matiq nur die Niveaus
PL-2, PL-3 und
PL-5
benutzt und als key-matiq-spezifisch als PL-low,
PL-medium und PL-high
bezeichnet.
Ein angehängtes "+" an einen Schutzniveau-Namen bedeutet, dass zusätzliche Maßnahmen einen höheren Schutz bewirken, allerdings noch nicht das nächsthöhere Schutzniveau erreicht ist. Z. B. steht PL-3+ zwischen PL-3 und PL-4. Solche spezialisierten Schutzniveaus sind im Detail zu beschreiben, bei key.matiq im Handbuch im Artikel "Cautiously Knowing Service". |
| Serverseitige Verschlüsselung | Bei dieser Methode werden Geheimnisse auf dem Server ver- und entschlüsselt. Dazu muss er zumindest kurzzeitig das Haupkennwort oder den daraus abgeleiteten Hauptschlüssel kennen, d. h. diese während einer key.matiq-Sitzung im flüchtigen Hauptspeicher des Servers stehen. Auch wenn der Hauptspeicher gut geschützt ist bleiben Restrisiken, weshalb wir, soweit möglich auf die clientseitige Verschlüsselung übergehen, und ansonsten key.matiq immer erst fragt, bevor es serverseitig verschlüsselt. | Serverseitige Verschlüsselung Bei dieser Methode werden Geheimnisse auf dem Server ver- und
entschlüsselt. Dazu muss er zumindest kurzzeitig das Haupkennwort
oder den daraus abgeleiteten Hauptschlüssel kennen, d. h. diese während
einer key.matiq-Sitzung im flüchtigen Hauptspeicher des Servers
stehen. Auch wenn der Hauptspeicher gut geschützt ist bleiben
Restrisiken, weshalb wir, soweit möglich auf die
clientseitige Verschlüsselung übergehen,
und ansonsten key.matiq immer erst fragt, bevor es
serverseitig verschlüsselt.
|
| Siegel | Ein versiegeltes Geheimnis ist an eine Empfänger*in übergeben worden, aber sie kann es nicht ansehen, solange sie das Siegel nicht bricht. Der Siegelbruch wird der Absender*in mitgeteilt und sie kann innerhalb einer Karenzzeit noch diesen abbrechen. Ferner kann sie versiegelte Geheimnisse jederzeit zurückziehen. Zweck: Vererbung von Geheimnissen bei Unfall oder Tod. | Siegel Ein versiegeltes Geheimnis ist an eine Empfänger*in
übergeben worden, aber sie kann es nicht ansehen, solange sie das Siegel
nicht bricht. Der Siegelbruch wird der Absender*in mitgeteilt und sie kann
innerhalb einer Karenzzeit noch diesen abbrechen. Ferner kann sie
versiegelte Geheimnisse jederzeit zurückziehen. Zweck: Vererbung von
Geheimnissen bei Unfall oder Tod.
|
| Starkes Kennwort | Als starkes Kennwort bezeichnen wir ausschließlich Kennwörter, die (aus der Angriffssicht) eine Stärke aufweisen, wie sie auch starke kryptografische Schlüssel haben. Das sind (im Jahr 2024) 128 Bit. Siehe auch den Begriff Passwortstärke. | Starkes Kennwort Als starkes Kennwort bezeichnen wir ausschließlich Kennwörter, die (aus
der Angriffssicht) eine Stärke aufweisen, wie sie auch starke
kryptografische Schlüssel haben. Das sind (im
Jahr 2024) 128 Bit. Siehe auch den Begriff
Passwortstärke.
|
| Streckungsparameter | Damit bezeichnen wir die Stellschraube für den Kompromiss zwischen
Sicherheit und Bedienbarkeit nach der Eingabe des Hauptkennworts.
(Diese Stellschraube wird bei der
Schlüsselstreckung eingesetzt.)
Der Wert wird in Bits gemessen, liegt zwischen -5 und +5 und sollte in der Regel etwa bei 0 liegen. Ein Wert von +5 bedeutet: Sicherheit wie bei einer rein serverseitigen Verschlüsselung, aber lange Wartezeiten bei der Anmeldung, bei mobilen Geräten sogar Abbrüche (ohne dass noch eine Meldung möglich ist). Ein Wert von -5 bedeutet: Zeitverhalten wie bei einer rein serverseitigen Verschlüsselung, aber um 10 Bits schwächere Verschlüsselung Ihrer Geheimnisse. Der empfohlene Wert von 0 bedeutet gegenüber der früheren serverseitigen Verschlüsselung eine Abschwächung der Verschlüsselung um 5 Bit. Diese kann jedoch durch eine Verstärkung des Hauptkennworts (ein zusätzliches willkürlich gewähltes Zeichen genügt) ausgeglichen werden. | Streckungsparameter Damit bezeichnen wir die Stellschraube für den Kompromiss zwischen
Sicherheit und Bedienbarkeit nach der Eingabe des Hauptkennworts.
(Diese Stellschraube wird bei der
Schlüsselstreckung eingesetzt.)
Der Wert wird in Bits gemessen, liegt zwischen -5 und +5 und sollte in der Regel etwa bei 0 liegen. Ein Wert von +5 bedeutet: Sicherheit wie bei einer rein serverseitigen Verschlüsselung, aber lange Wartezeiten bei der Anmeldung, bei mobilen Geräten sogar Abbrüche (ohne dass noch eine Meldung möglich ist). Ein Wert von -5 bedeutet: Zeitverhalten wie bei einer rein serverseitigen Verschlüsselung, aber um 10 Bits schwächere Verschlüsselung Ihrer Geheimnisse. Der empfohlene Wert von 0 bedeutet gegenüber der früheren serverseitigen Verschlüsselung eine Abschwächung der Verschlüsselung um 5 Bit. Diese kann jedoch durch eine Verstärkung des Hauptkennworts (ein zusätzliches willkürlich gewähltes Zeichen genügt) ausgeglichen werden. |
| Tab | Als Tab bezeichnen wir die Teildarstellung der
Anzeige-Ansicht bzw.
Bearbeitungs-Ansicht eines Objekts, wenn nicht
alle Daten gleichzeitig in dem Objekt-Bereich
präsentiert werden können. Tabs werden über Reiter oben im Objekt-Bereich
angewählt.
Die ersten beiden Reiter enthalten Symbole für "Anzeige" (Lupe) und "Bearbeiten", so dass man zwischen diesen Ansichten rasch wechseln kann, und dabei – soweit möglich – beim gleichen Teilaspekt des Objekts bleibt. | Tab Als Tab bezeichnen wir die Teildarstellung der
Anzeige-Ansicht bzw.
Bearbeitungs-Ansicht eines Objekts, wenn nicht
alle Daten gleichzeitig in dem Objekt-Bereich
präsentiert werden können. Tabs werden über Reiter oben im Objekt-Bereich
angewählt.
Die ersten beiden Reiter enthalten Symbole für "Anzeige" (Lupe) und "Bearbeiten", so dass man zwischen diesen Ansichten rasch wechseln kann, und dabei – soweit möglich – beim gleichen Teilaspekt des Objekts bleibt. |
| Teilgeheimnis | Oberbegriff für Komplemente und Komponenten. Auf sie können Geheimnisse (aber auch Komponenten) Bezug nehmen und bei der Anzeige können dann die Bezüge durch die Werte der Teilgeheimnisse ersetzt werden. Siehe: Komplettierung | Teilgeheimnis Oberbegriff für Komplemente und Komponenten.
Auf sie können Geheimnisse (aber auch Komponenten)
Bezug nehmen und bei der Anzeige können dann die Bezüge durch die
Werte der Teilgeheimnisse ersetzt werden.
Siehe: Komplettierung
|
| Ticket | Das ist für key.matiq eine Kund*innennanfrage zum Wiedererlangen einer verloren gegangenen Kontrolle über eine Box oder einer Gruppe. Ein Ticket durchläuft ein komplexes Verfahren, bei dem die Anfragende identifiziert wird und ihr Eigentum an der Box bzw. am Gruppen-Container geprüft wird. Die dabei erhobenen Daten werden über einen längeren Zeitraum für die mit dem Ticket befassten Stellen dokumentiert. Dabei werden persönliche Daten der anfragenden Person verschlüsselt gespeichert (Schlüssel nur den befassten Stellen zugänglich), damit für Außenstehende selbst bei einem Zugriff auf die Datenbank (neben den unverschlüsselten Anteilen der Box, über deren Umfang ja die Box-Inhaber*in die alleinige Kontrolle hat) keine zusätzlichen Anhaltspunkte für den Bezug einer Box zu einer Person entdeckt werden können. Bei einem Box-Ticket geht es meist um die Wiedererlangung eines hinterlegten Hauptkennworts oder um das Setzen eines neuen Hauptkennworts. Bei einem Gruppen-Ticket geht es meist um das Einsetzen von einer neuen Admnistrator*in. | Ticket Das ist für key.matiq eine Kund*innennanfrage zum Wiedererlangen einer verloren gegangenen Kontrolle über eine Box oder einer Gruppe. Ein Ticket durchläuft ein komplexes Verfahren, bei dem die Anfragende identifiziert wird und ihr Eigentum an der Box bzw. am Gruppen-Container geprüft wird. Die dabei erhobenen Daten werden über einen längeren Zeitraum für die mit dem Ticket befassten Stellen dokumentiert. Dabei werden persönliche Daten der anfragenden Person verschlüsselt gespeichert (Schlüssel nur den befassten Stellen zugänglich), damit für Außenstehende selbst bei einem Zugriff auf die Datenbank (neben den unverschlüsselten Anteilen der Box, über deren Umfang ja die Box-Inhaber*in die alleinige Kontrolle hat) keine zusätzlichen Anhaltspunkte für den Bezug einer Box zu einer Person entdeckt werden können. Bei einem Box-Ticket geht es meist um die Wiedererlangung eines hinterlegten Hauptkennworts oder um das Setzen eines neuen Hauptkennworts. Bei einem Gruppen-Ticket geht es meist um das Einsetzen von einer neuen Admnistrator*in. |
| Ticket-Container | Ein Ticket funktioniert in mancher Hinsicht ähnlich wie eine kleine Box. Die Ersteller*in legt dafür ein Kennwort fest und das Ticket erhält, wenn es um die Wiedererlangung des Hauptkennworts einer Box geht, die Hauptkennwortteile von den Hinterlegungsstellen (nach Prüfung der Anfrage) "eingeworfen", so dass schließlich die Antragsteller*in das Hauptkennwort dort abholen kann. Dieser Aspekt ist beim Begriff "Ticket-Container" gemeint, auch wenn der allgemeinere Begriff "Container" bei key.matiq nur Boxen und Gruppen-Container einschließt und nicht Ticket-Container. | Ticket-Container Ein Ticket funktioniert in mancher Hinsicht ähnlich wie eine kleine Box. Die Ersteller*in legt dafür ein Kennwort fest und das Ticket erhält, wenn es um die Wiedererlangung des Hauptkennworts einer Box geht, die Hauptkennwortteile von den Hinterlegungsstellen (nach Prüfung der Anfrage) "eingeworfen", so dass schließlich die Antragsteller*in das Hauptkennwort dort abholen kann. Dieser Aspekt ist beim Begriff "Ticket-Container" gemeint, auch wenn der allgemeinere Begriff "Container" bei key.matiq nur Boxen und Gruppen-Container einschließt und nicht Ticket-Container. |
| Übertragungswert | Der Betrag, der bei einer virtuellen Aus- und Einzahlung übertragen wird. Er entspricht bei europäischen Verbraucher*innen und deutschen Unternehmer*innen dem Bruttobetrag, bei Nicht-EU-Verbraucher*innen und nicht-deutschen Unternehmer*innen nur dem Nettobetrag, da diese die Mehrwertsteuer selbst mit der Finanzverwaltung ihres Landes abrechnen müssen. | Übertragungswert Der Betrag, der bei einer
virtuellen Aus- und Einzahlung
übertragen wird. Er entspricht bei europäischen Verbraucher*innen und
deutschen Unternehmer*innen dem Bruttobetrag, bei
Nicht-EU-Verbraucher*innen und nicht-deutschen Unternehmer*innen nur dem
Nettobetrag, da diese die Mehrwertsteuer selbst mit der Finanzverwaltung
ihres Landes abrechnen müssen.
|
| Unidirektionale Verschlüsselung | Wir benutzen diesen Begriff, um das Verfahren zu beschreiben, aus einem Klartext (mittels einer kryptografischen Hashfunktion) verschlüsselte Daten (einen Hashwert) zu gewinnen, ohne dass es eine direkte Entschlüsselungsmöglichkeit (des Hashwerts zurück in den Klartext) gibt. Durch erneute Anwendung auf denselben Klartext wird derselbe Hashwert erneut gebildet. Das Verfahren wird angewandt, um Kennwörter verschlüsselt zu speichern und später bei erneuter Eingabe überprüfen zu können. Obwohl das Verfahren ohne exakte Kenntnis des Klartexts nicht umkehrbar ist, könnte man dennoch bei Kenntnis des Hashwerts über die Brute-Force-Methode an den Klartext gelangen, wenn letzterer kurz genug ist. Ist der Klartext aber ein starkes Kennwort, ist es dagegen (bei starken Hashfunktionen) praktisch unmöglich, über den Hashwert an den Klartext zu gelangen. | Unidirektionale Verschlüsselung Wir benutzen diesen Begriff, um das Verfahren zu beschreiben, aus einem Klartext (mittels einer kryptografischen Hashfunktion) verschlüsselte Daten (einen Hashwert) zu gewinnen, ohne dass es eine direkte Entschlüsselungsmöglichkeit (des Hashwerts zurück in den Klartext) gibt. Durch erneute Anwendung auf denselben Klartext wird derselbe Hashwert erneut gebildet. Das Verfahren wird angewandt, um Kennwörter verschlüsselt zu speichern und später bei erneuter Eingabe überprüfen zu können. Obwohl das Verfahren ohne exakte Kenntnis des Klartexts nicht umkehrbar ist, könnte man dennoch bei Kenntnis des Hashwerts über die Brute-Force-Methode an den Klartext gelangen, wenn letzterer kurz genug ist. Ist der Klartext aber ein starkes Kennwort, ist es dagegen (bei starken Hashfunktionen) praktisch unmöglich, über den Hashwert an den Klartext zu gelangen. |
| Usurpation | Ein Unberechtigte*r reißt eine Box an sich, z. B. durch Erraten des Hauptkennworts (Brute-Force-Methode). Denkbar wäre auch, dass er sich als Eigentümer*in ausgibt und es schafft, Hinterlegungsstellen oder den key.matiq-Support zu täuschen. Gegenmaßnahmen: Starkes Hauptkennwort, Aufteilung des Hauptkennworts auf mehrere Hinterlegungsstellen, gut gewählte Kontrollfrage und -antwort, Angabe einer E-Mail-Adresse in der Box, Angaben zu Ihrer Identität in der Box, gute Auswahl der Hinterlegungsstellen (z. B. persönliche Bekanntschaft) und Zahlungen für die Box, möglichst bei Sicherung der Zahlungsbelege gegen unbefugte Einsichtnahme. | Usurpation Ein Unberechtigte*r reißt eine Box an sich, z. B. durch
Erraten des Hauptkennworts
(Brute-Force-Methode). Denkbar wäre auch, dass
er sich als Eigentümer*in ausgibt und es schafft,
Hinterlegungsstellen oder den key.matiq-Support
zu täuschen. Gegenmaßnahmen: Starkes Hauptkennwort, Aufteilung des
Hauptkennworts auf mehrere Hinterlegungsstellen, gut gewählte
Kontrollfrage und -antwort, Angabe einer E-Mail-Adresse in der Box,
Angaben zu Ihrer Identität in der Box, gute Auswahl der
Hinterlegungsstellen (z. B. persönliche Bekanntschaft) und Zahlungen für
die Box, möglichst bei Sicherung der Zahlungsbelege gegen unbefugte
Einsichtnahme.
|
| Verbindung | Ein Verbindungs-Objekt beinhaltet vor allem die Kontaktdaten und den Verbindungsstatus zu einem anderen Container. Es gibt vier Verbindungstypen: Kontakte (einer Box zu anderen Boxen), Mitgliedschaften (einer Box in Gruppen), Mitglieder (Boxen einer Gruppe), Gruppen-Kontakte (einer Gruppe zu anderen Gruppen). | Verbindung Ein Verbindungs-Objekt beinhaltet vor allem die Kontaktdaten und den
Verbindungsstatus zu einem anderen Container. Es gibt vier
Verbindungstypen: Kontakte (einer Box zu anderen Boxen),
Mitgliedschaften (einer Box in Gruppen), Mitglieder
(Boxen einer Gruppe), Gruppen-Kontakte (einer Gruppe zu anderen Gruppen).
|
| Verteiler | Ein Verteiler bestimmt, an welche Boxen ein Geheimnis oder eine Nachricht oder versendet werden soll. Auch für Hinterlegungen werden Verteiler verwendet. Verteiler können sowohl "innere Verteiler" (auch Verteiler-Listen genannt) der Geheimnisse, Nachrichten oder Hinterleger sein, als auch eigenständige Objekte. Verteiler können sowohl Verbindungs-Objekte als auch Verteiler-Objekte auflisten. | Verteiler Ein Verteiler bestimmt, an welche Boxen ein
Geheimnis oder eine Nachricht oder versendet werden
soll. Auch für Hinterlegungen werden Verteiler
verwendet. Verteiler können sowohl "innere Verteiler" (auch
Verteiler-Listen genannt) der Geheimnisse, Nachrichten oder Hinterleger
sein, als auch eigenständige Objekte. Verteiler können sowohl
Verbindungs-Objekte als auch Verteiler-Objekte auflisten.
|
| Vertrag | Verträge können für die Nutzung eines Containers oder die Prüfung und Ausführung eines Tickets abgeschlossen werden. Bei der Erstellung eines Containers (Box oder Gruppe) wird zunächst ein nicht-kostenpflichtiger Vertrag abgeschlossen, der ggf. durch einen kostenpflichtigen Vertrag abgelöst werden kann. Bei einem Container-Vertrag (für Box oder Gruppe) handelt es sich immer um einen befristeten Vertrag, der jedoch durch Einzahlung von Guthaben, Abgabe oder Annahme von Guthaben sowie Upgrade und Downgrade des Speicherkontingents in seiner Laufzeit immer wieder verändert werden kann. Für die Verlängerung der Laufzeit ist jedoch in der Regel die Akzeptanz der jeweils aktuellen AGB erforderlich. Tickets werden wenn möglich als Kulanzleistung kostenlos erbracht. Sollte die Prüfung aber aufwändig werden, so kann ein kostenpflichtiger Vertrag nötig werden, um die Abarbeitung zu ermöglichen. | Vertrag Verträge können für die Nutzung eines Containers oder die Prüfung und Ausführung eines Tickets abgeschlossen werden. Bei der Erstellung eines Containers (Box oder Gruppe) wird zunächst ein nicht-kostenpflichtiger Vertrag abgeschlossen, der ggf. durch einen kostenpflichtigen Vertrag abgelöst werden kann. Bei einem Container-Vertrag (für Box oder Gruppe) handelt es sich immer um einen befristeten Vertrag, der jedoch durch Einzahlung von Guthaben, Abgabe oder Annahme von Guthaben sowie Upgrade und Downgrade des Speicherkontingents in seiner Laufzeit immer wieder verändert werden kann. Für die Verlängerung der Laufzeit ist jedoch in der Regel die Akzeptanz der jeweils aktuellen AGB erforderlich. Tickets werden wenn möglich als Kulanzleistung kostenlos erbracht. Sollte die Prüfung aber aufwändig werden, so kann ein kostenpflichtiger Vertrag nötig werden, um die Abarbeitung zu ermöglichen. |
| Virtuelle Aus- und Einzahlung | Ein Verfahren, um die Übertragung von Guthaben zwischen verschiedenen Containern zu ermöglichen. Es erlaubt auch die Umwandlung des Kund*innentyps für einen Container und den Umzug der Kund*in in anderes Land. Auch die Änderung der Mehrwertsteuer wird über dieses Verfahren behandelt. Im Normalfall wird die Nutzung von Containern über Nettoguthaben abgerechnet. Lediglich bei Einzahlung, Rückzahlung und in den oben Ausnahmefällen wird zwischen Nettoguthaben und einem Ein- oder Auszahlungsbetrag umgerechnet. Siehe auch Übertragungswert. | Virtuelle Aus- und Einzahlung Ein Verfahren, um die Übertragung von Guthaben zwischen verschiedenen Containern zu ermöglichen. Es erlaubt auch die Umwandlung des Kund*innentyps für einen Container und den Umzug der Kund*in in anderes Land. Auch die Änderung der Mehrwertsteuer wird über dieses Verfahren behandelt. Im Normalfall wird die Nutzung von Containern über Nettoguthaben abgerechnet. Lediglich bei Einzahlung, Rückzahlung und in den oben Ausnahmefällen wird zwischen Nettoguthaben und einem Ein- oder Auszahlungsbetrag umgerechnet. Siehe auch Übertragungswert. |
| Zero-Knowledge+ | Mit "Zero-Knowledge+" bezeichnen wir unsere Weiterentwicklung der von anderen Onlne-Passwortmanagern als "Zero-Knowlege-Server" bezeichneten Vorgehensweise. Wir wollen damit deutlich machen, dass im Ergebnis ein Mehr an Sicherheit herauskommt, auch wenn wir vom strikten Nullwissen des Servers (das es in Wahrheit auch bei sogenannten "Zero-Knowledge-Servern" in aller Regel nicht gibt) abrücken und stattdessen einen "Cautiously Knowing Service" präsentieren. | Zero-Knowledge+ Mit "Zero-Knowledge+" bezeichnen wir unsere Weiterentwicklung der von anderen Onlne-Passwortmanagern als "Zero-Knowlege-Server" bezeichneten Vorgehensweise. Wir wollen damit deutlich machen, dass im Ergebnis ein Mehr an Sicherheit herauskommt, auch wenn wir vom strikten Nullwissen des Servers (das es in Wahrheit auch bei sogenannten "Zero-Knowledge-Servern" in aller Regel nicht gibt) abrücken und stattdessen einen "Cautiously Knowing Service" präsentieren. |
| Zero-Knowledge-Server | Der Marketing-Begriff "Zero-Knowledge-Server" wird von vielen Online-Passwortmanagern verwendet und bedeutet, dass der Server freiwillig den Hauptschlüssel, Einzelschlüssel und die Klartexte der Geheimnisse nicht kennt. Insbesondere kennt der Server das Hauptkennwort nicht. Der Begriff kann irreführend sein: Auch ein "Zero-Knowledge-Server" weiß in der Regel nicht "nichts". Meist ist die Angabe einer E-Mail-Adresse obligatorisch (wenn auch nicht bei key.matiq). Einzahlungen enthalten evtl. Daten über die Bankverbindung. Zumindest kurzzeitig weiß jeder Server die IP-Adresse des Clients (solange letzerer nicht das Tor-Netzwerk benutzt). Er sollte auch nicht mit dem wissenschaftlichen Begriff "Zero-Knowledge-Proof" verwechselt werden. Bei einigen wichtigen Funktionen (Malwarescan von geteilten Dateien aber auch bei der Suchfunktion) ist die Restriktion auf Nullwissen kontraproduktiv, weshalb hier Ausnahmen, über die allerdings die Benutzer*in entscheiden müsste, sinnvoll sind. Deshalb haben wir das Konzept unter dem neuen Begriff "Cautiously Knowing Service" weiterentwickelt. Als griffige Bezeichnung verwenden wir dafür "Zero-Knowledge+" | Zero-Knowledge-Server Der Marketing-Begriff "Zero-Knowledge-Server" wird von vielen Online-Passwortmanagern verwendet und bedeutet, dass der Server freiwillig den Hauptschlüssel, Einzelschlüssel und die Klartexte der Geheimnisse nicht kennt. Insbesondere kennt der Server das Hauptkennwort nicht. Der Begriff kann irreführend sein: Auch ein "Zero-Knowledge-Server" weiß in der Regel nicht "nichts". Meist ist die Angabe einer E-Mail-Adresse obligatorisch (wenn auch nicht bei key.matiq). Einzahlungen enthalten evtl. Daten über die Bankverbindung. Zumindest kurzzeitig weiß jeder Server die IP-Adresse des Clients (solange letzerer nicht das Tor-Netzwerk benutzt). Er sollte auch nicht mit dem wissenschaftlichen Begriff "Zero-Knowledge-Proof" verwechselt werden. Bei einigen wichtigen Funktionen (Malwarescan von geteilten Dateien aber auch bei der Suchfunktion) ist die Restriktion auf Nullwissen kontraproduktiv, weshalb hier Ausnahmen, über die allerdings die Benutzer*in entscheiden müsste, sinnvoll sind. Deshalb haben wir das Konzept unter dem neuen Begriff "Cautiously Knowing Service" weiterentwickelt. Als griffige Bezeichnung verwenden wir dafür "Zero-Knowledge+" |
| Zwei-Faktor-Authentisierung | Bei key.matiq ist der erste Faktor das auswendig gelernte und/oder im Browser (über ein Hauptpasswort sicher) gespeicherte Hauptkennwort. Der zweite Faktor ist im Regelfall der unaufdringliche Nachweis über ein Cookie, dass das anmeldende Gerät der Box-Eigentümer*in gehört. Im Ausnahmefall dient ein Anmeldeschlüssel als zweiter Faktor. Da die Überprüfung des Cookies automatisch erfolgen kann, ist diese Art der Zwei-Faktor-Authensierung vergleichsweise unaufdringlich und erfordert nur bei Einrichtung, neuen Geräten, Sperrung oder Aussperrung einen jeweils so gering wie möglich gehaltenen Aufwand. Wir unterscheiden zwischen der "starken Zwei-Faktor-Authentisierung" und der "schwachen" Variante. Die "starke" Variante gibt Anmeldeschlüssel nur über sichere Kanäle heraus, die "schwache" versendet dagegen unter bestimmten Bedingungen auch Anmelschlüssel per E-Mail. | Zwei-Faktor-Authentisierung Bei key.matiq ist der erste Faktor das auswendig gelernte und/oder im Browser (über ein Hauptpasswort sicher) gespeicherte Hauptkennwort. Der zweite Faktor ist im Regelfall der unaufdringliche Nachweis über ein Cookie, dass das anmeldende Gerät der Box-Eigentümer*in gehört. Im Ausnahmefall dient ein Anmeldeschlüssel als zweiter Faktor. Da die Überprüfung des Cookies automatisch erfolgen kann, ist diese Art der Zwei-Faktor-Authensierung vergleichsweise unaufdringlich und erfordert nur bei Einrichtung, neuen Geräten, Sperrung oder Aussperrung einen jeweils so gering wie möglich gehaltenen Aufwand. Wir unterscheiden zwischen der "starken Zwei-Faktor-Authentisierung" und der "schwachen" Variante. Die "starke" Variante gibt Anmeldeschlüssel nur über sichere Kanäle heraus, die "schwache" versendet dagegen unter bestimmten Bedingungen auch Anmelschlüssel per E-Mail. |
*) Hinweise zu Marken Dritter:
"Wikipedia" ist eine eingetragene Marke der Wikimedia Foundation Inc.