Glossar

2FA

Abkürzung für Zwei-Faktor-Authentisierung.

2FA

Abkürzung für Zwei-Faktor-Authentisierung.

AGB-Upgrade

Mit "AGB-Upgrade" bezeichnen wir das Verfahren, dass Sie als Kund*in geänderte AGB für Ihren Container-Vertrag akzeptieren. Es ist auch möglich, dass Sie eine Version der AGB akzeptieren, die schon nicht mehr den aktuellen entspricht, aber neuer ist, als die bislang akzeptierte.

Wenn Sie die AGB nicht aktualisieren, läuft der Vertrag unter den bisherigen AGB weiter. Allerdings müssen Sie damit rechnen, dass zu diesen Bedingungen eine Verlängerung des Vertrages (z. B. durch Guthabeneinzahlung) nicht mehr möglich ist.

Damit Sie (und wir) den Überblick behalten, werden die AGB mit einer dreiteiligen Versionsnummer (z. B. "1.2.3") versehen. Der erste Teil (im Beispiel "1"), die Hauptversionsnummer, wird nur geändert, wenn gravierende Änderungen erfolgt sind. Wird sie nicht geändert, so greifen die AGB-Änderungen nach unserem Verständnis nicht in Ihre bestehenden Rechte ein, sondern erweitern diese höchstens. Der zweite Teil (im Beispiel "2") wird geändert, wenn überhaupt inhaltliche Änderungen erfolgt sind. Nur der dritte Teil wird geändert, wenn die Änderungen den juristischen Inhalt überhaupt nicht berühren, sondern nur die sprachliche Darstellung verbessern.

AGB-Upgrade

Mit "AGB-Upgrade" bezeichnen wir das Verfahren, dass Sie als Kund*in geänderte AGB für Ihren Container-Vertrag akzeptieren. Es ist auch möglich, dass Sie eine Version der AGB akzeptieren, die schon nicht mehr den aktuellen entspricht, aber neuer ist, als die bislang akzeptierte.

Wenn Sie die AGB nicht aktualisieren, läuft der Vertrag unter den bisherigen AGB weiter. Allerdings müssen Sie damit rechnen, dass zu diesen Bedingungen eine Verlängerung des Vertrages (z. B. durch Guthabeneinzahlung) nicht mehr möglich ist.

Damit Sie (und wir) den Überblick behalten, werden die AGB mit einer dreiteiligen Versionsnummer (z. B. "1.2.3") versehen. Der erste Teil (im Beispiel "1"), die Hauptversionsnummer, wird nur geändert, wenn gravierende Änderungen erfolgt sind. Wird sie nicht geändert, so greifen die AGB-Änderungen nach unserem Verständnis nicht in Ihre bestehenden Rechte ein, sondern erweitern diese höchstens. Der zweite Teil (im Beispiel "2") wird geändert, wenn überhaupt inhaltliche Änderungen erfolgt sind. Nur der dritte Teil wird geändert, wenn die Änderungen den juristischen Inhalt überhaupt nicht berühren, sondern nur die sprachliche Darstellung verbessern.

AnmeldeschlüsselFalls Sie die Zwei-Faktor-Authentisierung eingeschaltet haben, können Sie mit diesem Schlüssel sich mit einem neuen Gerät an Ihre Box anmelden. Einen Anmeldeschlüssel erstellen Sie über das Menü "Einstellungen" (Untermenü "Anmeldung") in Ihrer Box. Falls Sie sich völlig ausgesperrt haben sollten, erstellen Sie bitte ein entsprechendes Ticket.
Anmeldeschlüssel
Falls Sie die Zwei-Faktor-Authentisierung eingeschaltet haben, können Sie mit diesem Schlüssel sich mit einem neuen Gerät an Ihre Box anmelden. Einen Anmeldeschlüssel erstellen Sie über das Menü "Einstellungen" (Untermenü "Anmeldung") in Ihrer Box. Falls Sie sich völlig ausgesperrt haben sollten, erstellen Sie bitte ein entsprechendes Ticket.
Anzeige-AnsichtIn dieser Ansicht werden die Daten eines Objekts der Benutzer*in präsentiert, ohne dass diese geändert werden können. Das geschieht im "Objekt-Bereich" der "Ordner-Ansicht". Sind die Daten umfangreich, werden Sie in mehreren Tabs dargestellt und vor dem ersten Tab wird ein Lupen-Symbol (für "Anzeige") eingeblendet.
Anzeige-Ansicht
In dieser Ansicht werden die Daten eines Objekts der Benutzer*in präsentiert, ohne dass diese geändert werden können. Das geschieht im "Objekt-Bereich" der "Ordner-Ansicht". Sind die Daten umfangreich, werden Sie in mehreren Tabs dargestellt und vor dem ersten Tab wird ein Lupen-Symbol (für "Anzeige") eingeblendet.
App-KeyInterner Schlüssel der Server-Anwendung. Er wird von key.matiq beim Start zufällig erstellt und nie unverschlüsselt auf die Platte geschrieben. Damit können Schlüssel in Sitzungsdaten oder Hintergrund-Jobs verschlüsselt ge­spei­chert werden, so dass nur die laufenden key.matiq-Prozesse auf diese Schlüssel zugreifen können.
App-Key
Interner Schlüssel der Server-Anwendung. Er wird von key.matiq beim Start zufällig erstellt und nie unverschlüsselt auf die Platte geschrieben. Damit können Schlüssel in Sitzungsdaten oder Hintergrund-Jobs verschlüsselt ge­spei­chert werden, so dass nur die laufenden key.matiq-Prozesse auf diese Schlüssel zugreifen können.
Baum-BereichDer linke Bereich der Ordner-Ansicht. Unter dem "Hauptordner" sind alle anderen Objekte hierarchisch angeordnet. Handelt es sich um Ordner (oder Mitgliedschaften) können diese erweitert (mit enthaltenen Objekten) oder reduziert (ohne diese) dargestellt werden. Das entspricht der gewohnten Ansicht, wie man sie von Dateiverwaltungsprogrammen oder E-Mail-Clients her kennt. Allerdings werden bei key.matiq nicht nur die Unterordner (Zweige) im Baum dargestellt, sondern auch alle anderen direkt enthaltenen Objekte (Blätter).
Klickt man auf ein Objekt, wird dieses im Objekt-Bereich dargestellt. Per Maus-Rechtsklick (oder alternative Klick-Kombinationen) kann man Objekte auch löschen oder bearbeiten. Da auch die Bearbeitung immer im Objekt-Bereich erfolgt, erspart man sich zusätzliche Fenster oder Browser-Tabs und kann somit alle Objekte in einem einzigen Browser-Tab bearbeiten.
Mitgliedschafts-Objekte dienen dabei zur Einbindung der Ordnerstruktur der entsprechenden Gruppen-Container. Ist die Mitgliedschaft aktiv, kann das Objekt wie ein Ordner "erweitert" werden und zeigt dann den Hauptordner der Gruppe an. (Dies ist analog zum "Mount", wie man es von Unix-Dateisystemen her kennt.)
Baum-Bereich
Der linke Bereich der Ordner-Ansicht. Unter dem "Hauptordner" sind alle anderen Objekte hierarchisch angeordnet. Handelt es sich um Ordner (oder Mitgliedschaften) können diese erweitert (mit enthaltenen Objekten) oder reduziert (ohne diese) dargestellt werden. Das entspricht der gewohnten Ansicht, wie man sie von Dateiverwaltungsprogrammen oder E-Mail-Clients her kennt. Allerdings werden bei key.matiq nicht nur die Unterordner (Zweige) im Baum dargestellt, sondern auch alle anderen direkt enthaltenen Objekte (Blätter).
Klickt man auf ein Objekt, wird dieses im Objekt-Bereich dargestellt. Per Maus-Rechtsklick (oder alternative Klick-Kombinationen) kann man Objekte auch löschen oder bearbeiten. Da auch die Bearbeitung immer im Objekt-Bereich erfolgt, erspart man sich zusätzliche Fenster oder Browser-Tabs und kann somit alle Objekte in einem einzigen Browser-Tab bearbeiten.
Mitgliedschafts-Objekte dienen dabei zur Einbindung der Ordnerstruktur der entsprechenden Gruppen-Container. Ist die Mitgliedschaft aktiv, kann das Objekt wie ein Ordner "erweitert" werden und zeigt dann den Hauptordner der Gruppe an. (Dies ist analog zum "Mount", wie man es von Unix-Dateisystemen her kennt.)
Bearbeitungs-AnsichtIn dieser Ansicht werden die veränderlichen Daten eines Objekts der Benutzer*in zur Bearbeitung dargestellt. Das geschieht im "Objekt-Bereich" der "Ordner-Ansicht". Sind die Daten umfangreich, werden Sie in mehreren Tabs dargestellt.
Bearbeitungs-Ansicht
In dieser Ansicht werden die veränderlichen Daten eines Objekts der Benutzer*in zur Bearbeitung dargestellt. Das geschieht im "Objekt-Bereich" der "Ordner-Ansicht". Sind die Daten umfangreich, werden Sie in mehreren Tabs dargestellt.
BegleitdatenDiejenigen Teile eines Geheimnisses oder einer Komponente, die nicht zu den Kerngeheimnissen zählen, z. B. Benutzer*innenname, E-Mail-Adresse, URL, Telefonnummer, Notizen, nennen wir "Begleitdaten". Sie werden Ihnen in der Anzeige-Ansicht des Geheimnisses unverdeckt angezeigt.
Als "allgemeine Begleitdaten" bezeichnen wir weitere Daten einer Box oder eines Gruppencontainers, soweit es sich nicht um streng geheime Daten wie das Hauptkennwort, die Hauptschlüssel oder um Anmeldeschlüssel handelt. Das sind dann z. B. die E-Mail-Adresse, Namen von Objekten, Notizen oder Strukturen (nicht Inhalte) von Geheimnissen.
Begleitdaten werden zwar gegen Außenstehende gut geschützt, aber key.matiq kann Ihnen den Zugriff darauf wiederherstellen, falls Sie Ihr Hauptkennwort vergessen haben sollten. Die key.matiq-Supportgruppe kann mit Ihrer Zustimmung auch Begleitdaten einsehen, wenn es z. B. darum geht, Ihnen wieder Zugriff auf Ihre Box zu verschaffen und wir einen letzten Beweis benötigen, dass Sie die rechtmäßige Eigentümer*in sind.
Begleitdaten
Diejenigen Teile eines Geheimnisses oder einer Komponente, die nicht zu den Kerngeheimnissen zählen, z. B. Benutzer*innenname, E-Mail-Adresse, URL, Telefonnummer, Notizen, nennen wir "Begleitdaten". Sie werden Ihnen in der Anzeige-Ansicht des Geheimnisses unverdeckt angezeigt.
Als "allgemeine Begleitdaten" bezeichnen wir weitere Daten einer Box oder eines Gruppencontainers, soweit es sich nicht um streng geheime Daten wie das Hauptkennwort, die Hauptschlüssel oder um Anmeldeschlüssel handelt. Das sind dann z. B. die E-Mail-Adresse, Namen von Objekten, Notizen oder Strukturen (nicht Inhalte) von Geheimnissen.
Begleitdaten werden zwar gegen Außenstehende gut geschützt, aber key.matiq kann Ihnen den Zugriff darauf wiederherstellen, falls Sie Ihr Hauptkennwort vergessen haben sollten. Die key.matiq-Supportgruppe kann mit Ihrer Zustimmung auch Begleitdaten einsehen, wenn es z. B. darum geht, Ihnen wieder Zugriff auf Ihre Box zu verschaffen und wir einen letzten Beweis benötigen, dass Sie die rechtmäßige Eigentümer*in sind.
Besitz, Besitzer*inBesitzer*in einer Box ist diejenige, die über das Hauptkennwort verfügt. Besitzer*in eines Gruppen-Containers sind die Administrator*innen der Gruppe. Ist die Besitzer*in auch die Eigentümer*in oder handelt in deren Auftrag, ist sie die "rechtmäßige Besitzer*in", anderenfalls wird sie als "Usurpator*in" bezeichnet (siehe Usurpation).
Besitz, Besitzer*in
Besitzer*in einer Box ist diejenige, die über das Hauptkennwort verfügt. Besitzer*in eines Gruppen-Containers sind die Administrator*innen der Gruppe. Ist die Besitzer*in auch die Eigentümer*in oder handelt in deren Auftrag, ist sie die "rechtmäßige Besitzer*in", anderenfalls wird sie als "Usurpator*in" bezeichnet (siehe Usurpation).
BotnetSiehe Wikipedia*. Bot = Kurzform für engl. Robot (Roboter).
Botnet
Siehe Wikipedia*. Bot = Kurzform für engl. Robot (Roboter).
BoxSo nennen wir einen key.matiq-Zugang mit all seinen Verbindungen und Geheimnissen. Es handelt sich um ein elektronisches Schließfach für digitale Informationen.
Box
So nennen wir einen key.matiq-Zugang mit all seinen Verbindungen und Geheimnissen. Es handelt sich um ein elektronisches Schließfach für digitale Informationen.
Brute ForceEngisch für "Rohe Gewalt". Hier ist die Methode, durch Ausprobieren in den Besitz eines Kennworts zu gelangen, gemeint, siehe Wikipedia "Brute-Force-Methode".
Brute Force
Engisch für "Rohe Gewalt". Hier ist die Methode, durch Ausprobieren in den Besitz eines Kennworts zu gelangen, gemeint, siehe Wikipedia "Brute-Force-Methode".
Cautiously Knowing Service

Mit dem Begriff "Cautiously Knowing Service" entwickeln wir den mit dem "Zero-Knowledge-Server" verbundenen Ansatz weiter:

Wir sprechen von "Cautiously Knowing" (behutsam wissend) anstelle von "Zero-Knowledge" (Nullwissen), da Ausnahmen auch unter Sicherheitsaspekten sinnvoll sind: Ein Malwarescan von untergeschobenen Dateien wäre für einen Zero-Knowledge-Server nicht möglich. Wenn ein Kennwort kompromittiert ist, ist es wichtig herauszufinden, wo es in Verwendung ist. Dazu muss aber die Suchfunktion auch in angemessener Zeit Ergebnisse liefern. Auch dies kann bei Zero-Knowledge-Servern nicht immer garantiert werden.

Wir sprechen von "Service" und nicht nur vom Server, um zu betonen, dass nicht nur der Server betroffen ist, sondern auch der Client (JavaScript-Programmierung des Browsers) ins Visier genommen wird und auch für die Führung und Aufklärung der Benutzer*in Verantwortung übernommen wird.

Die Forderung, sowenig Wissen über Klartexte und Schlüssel wie möglich zu halten, aber so viel wie nötig zu ermöglichen, gilt beim "Cautiously Knowing Service" auf allen drei Ebenen: Benutzer*in, Client und Server. Bei der Benutzer*in geht es dabei um die Entlastung, beim Client darum, dass keine ungewollten Spuren von geheimen Daten nach Beendigung (oder Unterbrechung) einer Sitzung im Browser verbleiben und beim Server darum, dass er Benutzer*in und Client unterstützt, dabei möglichst auf Wissen um streng geheime Benutzer*innendaten verzichtet, aber weniger geheime Benutzer*innendaten zumindest wirksam vor dem Zugriff Dritter schützt.

Beim "Cautiously Knowing Service" entscheidet immer die wohlinformierte Benutzer*in, ob der Server für bestimmte Zwecke (z. B. Malwarescan oder Suchfunktion) auf Klartexte oder Schlüssel kurzzeitig Zugriff erhält oder Einschränkungen in Kauf genommen werden.

Während wir für eine fachliche Diskussion den Begriff "Cautiously Knowing Service" als optimal ansehen, gebrauchen wir für den Einstieg auch den Begriff "Zero-Knowledge+", um deutlich zu machen, dass unser Vorgehen im Ergebnis zu einem Mehr an Sicherheit führt.

Siehe auch den Blog-Artikel Zero-Knowlege+: Der Cautiously Knowing Service.

Siehe auch clientseitige Verschlüsselung und serverseitige Verschlüsselung.

Cautiously Knowing Service

Mit dem Begriff "Cautiously Knowing Service" entwickeln wir den mit dem "Zero-Knowledge-Server" verbundenen Ansatz weiter:

Wir sprechen von "Cautiously Knowing" (behutsam wissend) anstelle von "Zero-Knowledge" (Nullwissen), da Ausnahmen auch unter Sicherheitsaspekten sinnvoll sind: Ein Malwarescan von untergeschobenen Dateien wäre für einen Zero-Knowledge-Server nicht möglich. Wenn ein Kennwort kompromittiert ist, ist es wichtig herauszufinden, wo es in Verwendung ist. Dazu muss aber die Suchfunktion auch in angemessener Zeit Ergebnisse liefern. Auch dies kann bei Zero-Knowledge-Servern nicht immer garantiert werden.

Wir sprechen von "Service" und nicht nur vom Server, um zu betonen, dass nicht nur der Server betroffen ist, sondern auch der Client (JavaScript-Programmierung des Browsers) ins Visier genommen wird und auch für die Führung und Aufklärung der Benutzer*in Verantwortung übernommen wird.

Die Forderung, sowenig Wissen über Klartexte und Schlüssel wie möglich zu halten, aber so viel wie nötig zu ermöglichen, gilt beim "Cautiously Knowing Service" auf allen drei Ebenen: Benutzer*in, Client und Server. Bei der Benutzer*in geht es dabei um die Entlastung, beim Client darum, dass keine ungewollten Spuren von geheimen Daten nach Beendigung (oder Unterbrechung) einer Sitzung im Browser verbleiben und beim Server darum, dass er Benutzer*in und Client unterstützt, dabei möglichst auf Wissen um streng geheime Benutzer*innendaten verzichtet, aber weniger geheime Benutzer*innendaten zumindest wirksam vor dem Zugriff Dritter schützt.

Beim "Cautiously Knowing Service" entscheidet immer die wohlinformierte Benutzer*in, ob der Server für bestimmte Zwecke (z. B. Malwarescan oder Suchfunktion) auf Klartexte oder Schlüssel kurzzeitig Zugriff erhält oder Einschränkungen in Kauf genommen werden.

Während wir für eine fachliche Diskussion den Begriff "Cautiously Knowing Service" als optimal ansehen, gebrauchen wir für den Einstieg auch den Begriff "Zero-Knowledge+", um deutlich zu machen, dass unser Vorgehen im Ergebnis zu einem Mehr an Sicherheit führt.

Siehe auch den Blog-Artikel Zero-Knowlege+: Der Cautiously Knowing Service.

Siehe auch clientseitige Verschlüsselung und serverseitige Verschlüsselung.

CKSAbkürzung für Cautiously Knowing Service
CKS
Clientseitige VerschlüsselungBei dieser Methode werden Geheimnisse auf dem Client (d. h. im Browser) ver- und entschlüsselt. Da der Browser über die Eingabe des Hauptkennworts und die Anzeige von Daten alle relevanten Geheimnisse ohnehin verarbeitet stellt dieses Verfahren kein wesentliches zusätzliches Sicherheitsrisiko dar und ist daher prinzipiell sicherer als die serverseitige Verschlüsselung. Allerdings sind auch hier, wie beim Server, eine Reihe von Vorsichtsmaßnahmen nötig. Und es müssen auch Seiteneffekte beachtet werden, wie z. B. die wesentlich langsamere Schlüsselstreckung
Clientseitige Verschlüsselung
Bei dieser Methode werden Geheimnisse auf dem Client (d. h. im Browser) ver- und entschlüsselt. Da der Browser über die Eingabe des Hauptkennworts und die Anzeige von Daten alle relevanten Geheimnisse ohnehin verarbeitet stellt dieses Verfahren kein wesentliches zusätzliches Sicherheitsrisiko dar und ist daher prinzipiell sicherer als die serverseitige Verschlüsselung. Allerdings sind auch hier, wie beim Server, eine Reihe von Vorsichtsmaßnahmen nötig. Und es müssen auch Seiteneffekte beachtet werden, wie z. B. die wesentlich langsamere Schlüsselstreckung
ContainerFür key.matiq der Oberbegriff von Box und Gruppen-Container: Beinhaltet Objekte wie Geheimnisse, Verteiler, Verbindungen, Nachrichten etc.
Container
Für key.matiq der Oberbegriff von Box und Gruppen-Container: Beinhaltet Objekte wie Geheimnisse, Verteiler, Verbindungen, Nachrichten etc.
Cybersicherheit

Die Cybersicherheit weitet die IT-Sicherheit auf den gesamten Cyberraum aus, siehe Greenbone "Informationssicherheit & Datensicherheit".

Cybersicherheit

Die Cybersicherheit weitet die IT-Sicherheit auf den gesamten Cyberraum aus, siehe Greenbone "Informationssicherheit & Datensicherheit".

Datenschutz

Datenschutz hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten sicherzustellen, siehe siehe Greenbone "Informationssicherheit & Datensicherheit".

Datenschutz

Datenschutz hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von personenbezogenen Daten sicherzustellen, siehe siehe Greenbone "Informationssicherheit & Datensicherheit".

Datensicherheit

Datensicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten (auch nicht-personenbezogene Daten) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit".

Datensicherheit

Datensicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Daten (auch nicht-personenbezogene Daten) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit".

Digitale Sicherheit

Synonym für Cybersicherheit.

Digitale Sicherheit

Synonym für Cybersicherheit.

Eigentum, Eigentümer*inDie Eigentümerschaft an einer Box oder eines Gruppen-Containers berechtigt dazu, die Wiederherstellung des Zugriffs auf die Daten zu verlangen. (Vorausgesetzt natürlich, die Eigentümer*in ist auch bereit, den dafür erforderlichen Aufwand zu bezahlen.) Wesentliche Indizien bzw. Beweise für das Eigentum können sein:
  • Der Besitz: Eine Box-Eigentümer*in besitzt ihre Box, indem sie und nur sie das Hauptkennwort weiß. Eine Administrator*in einer Gruppe besitzt den Gruppen-Container (weil nur sie ihn verändern kann).
  • Das Wissen: Eine Box-Eigentümer*in kann unverschlüsselte Informationen benennen, die in der Box gespeichert sind.
  • Das Bezahlen: Die Eigentümer*in einer Box- oder eines Gruppen-Containers hat dafür bezahlt.
  • Verträge: Die Eigentümer*in eines Gruppen-Containers kann nachweisen, dass sie die Administrator*in der Gruppe beauftragt hatte, diese für die Eigentümer*in zu erstellen.
Eigentum, Eigentümer*in
Die Eigentümerschaft an einer Box oder eines Gruppen-Containers berechtigt dazu, die Wiederherstellung des Zugriffs auf die Daten zu verlangen. (Vorausgesetzt natürlich, die Eigentümer*in ist auch bereit, den dafür erforderlichen Aufwand zu bezahlen.) Wesentliche Indizien bzw. Beweise für das Eigentum können sein:
  • Der Besitz: Eine Box-Eigentümer*in besitzt ihre Box, indem sie und nur sie das Hauptkennwort weiß. Eine Administrator*in einer Gruppe besitzt den Gruppen-Container (weil nur sie ihn verändern kann).
  • Das Wissen: Eine Box-Eigentümer*in kann unverschlüsselte Informationen benennen, die in der Box gespeichert sind.
  • Das Bezahlen: Die Eigentümer*in einer Box- oder eines Gruppen-Containers hat dafür bezahlt.
  • Verträge: Die Eigentümer*in eines Gruppen-Containers kann nachweisen, dass sie die Administrator*in der Gruppe beauftragt hatte, diese für die Eigentümer*in zu erstellen.
Eigentümer*in einer Box

Die Eigentümer*in einer Box ist in der Regel diejenige, die sie angelegt hat, oder diejenige, der die Box von der Voreigentümer*in freiwillig oder per Erbschaft übertragen wurde.

In der Regel ist die Eigentümer*in einer Box eine natürliche Person, selbst wenn sie Geheimnisse verwaltet, die juristischen Personen oder einer Gemeinschaft von natürlichen Personen gehören.

Es sind zwar andere juristische Eigentumsverhältnisse (z. B. nach Vererbung an eine Erbengemeinschaft, nach Erstellung einer Box im Auftrag eines Dritten oder vertraglicher Übertragung) denkbar, aber wir raten davon ab, bzw. raten wir, solche Eigentumsverhältnisse baldmöglichst aufzulösen.

Denn: Praktische Bedeutung hat die Eigentümerschaft nur, um die Kontrolle über eine Box wiederzuerlangen (siehe Ticket). Die Prüfung der Eigentümerschaft ist bei natürlichen Personen weitaus einfacher, und entsprechend sind die Erfolgsaussichten höher.

Einen Wert hätte die Eigentümerschaft für juristische Personen oder Gemeinschaften ohnehin nur bezogen auf die gespeicherten Geheimnisse. Diese lassen sich aber besser über Verteiler und Gruppen auf mehrere Personen verteilen als den Besitz über die Reklamation des juristischen Eigentums sicherzustellen.

Eigentümer*in einer Box

Die Eigentümer*in einer Box ist in der Regel diejenige, die sie angelegt hat, oder diejenige, der die Box von der Voreigentümer*in freiwillig oder per Erbschaft übertragen wurde.

In der Regel ist die Eigentümer*in einer Box eine natürliche Person, selbst wenn sie Geheimnisse verwaltet, die juristischen Personen oder einer Gemeinschaft von natürlichen Personen gehören.

Es sind zwar andere juristische Eigentumsverhältnisse (z. B. nach Vererbung an eine Erbengemeinschaft, nach Erstellung einer Box im Auftrag eines Dritten oder vertraglicher Übertragung) denkbar, aber wir raten davon ab, bzw. raten wir, solche Eigentumsverhältnisse baldmöglichst aufzulösen.

Denn: Praktische Bedeutung hat die Eigentümerschaft nur, um die Kontrolle über eine Box wiederzuerlangen (siehe Ticket). Die Prüfung der Eigentümerschaft ist bei natürlichen Personen weitaus einfacher, und entsprechend sind die Erfolgsaussichten höher.

Einen Wert hätte die Eigentümerschaft für juristische Personen oder Gemeinschaften ohnehin nur bezogen auf die gespeicherten Geheimnisse. Diese lassen sich aber besser über Verteiler und Gruppen auf mehrere Personen verteilen als den Besitz über die Reklamation des juristischen Eigentums sicherzustellen.

Eigentümer*innen eines Gruppen-Containers

Anders als bei einer Box stellt sich das Eigentum an Gruppen-Containern dar. Diese werden von einer oder mehreren Administrator*innen verwaltet. Hier macht die Eigentümerschaft einer juristischen Person (z. B. einer Firma oder eines Vereins) durchaus Sinn.

Missbraucht eine Administrator*in ihr Recht und entzieht anderen Mitgliedern der Gruppe unberechtigt den Zugriff, könnte die Eigentümer*in die Einsetzung einer anderen Administrator*in, einfordern.

Die Eigentümer*in kann darum den key.matiq-Support bitten, indem sie ein Gruppen-Ticket anlegt (Menü "Support", Punkt "Gruppe verloren"). Das wird allerdings nur bewilligt, wenn die juristische Lage eindeutig ist.

Handelt es sich bei der Eigentümer*in um eine einfache Gruppe natürlicher Personen, die sämtlich über Boxen Zugriff auf den Gruppen-Container haben (bzw. vor dem behaupteten Missbrauch der Administrator*in hatten), so dürfte eine Willensbekundung der absoluten Mehrheit dieser Gruppe entscheidend für die Beurteilung der Lage sein.

Auch Verträge können die Eigentümerschaft beweisen, Einzahlungen und der Name der Gruppe können Indizien sein.

Wichtig ist auch, von welcher Box aus die Gruppe erstellt wurde. Die Eigentümer*in dieser Box gilt zunächst als Eigentümer*in des Gruppen-Containers. Andere Eigentumsansprüche unterliegen der Beweispflicht.

Schließlich gibt es noch eine pragmatische Alternative: Alle anderen Mitglieder verlassen die Gruppe und bilden eine neue, während die Usurpator*in alleine in ihr verbleibt.

Eigentümer*innen eines Gruppen-Containers

Anders als bei einer Box stellt sich das Eigentum an Gruppen-Containern dar. Diese werden von einer oder mehreren Administrator*innen verwaltet. Hier macht die Eigentümerschaft einer juristischen Person (z. B. einer Firma oder eines Vereins) durchaus Sinn.

Missbraucht eine Administrator*in ihr Recht und entzieht anderen Mitgliedern der Gruppe unberechtigt den Zugriff, könnte die Eigentümer*in die Einsetzung einer anderen Administrator*in, einfordern.

Die Eigentümer*in kann darum den key.matiq-Support bitten, indem sie ein Gruppen-Ticket anlegt (Menü "Support", Punkt "Gruppe verloren"). Das wird allerdings nur bewilligt, wenn die juristische Lage eindeutig ist.

Handelt es sich bei der Eigentümer*in um eine einfache Gruppe natürlicher Personen, die sämtlich über Boxen Zugriff auf den Gruppen-Container haben (bzw. vor dem behaupteten Missbrauch der Administrator*in hatten), so dürfte eine Willensbekundung der absoluten Mehrheit dieser Gruppe entscheidend für die Beurteilung der Lage sein.

Auch Verträge können die Eigentümerschaft beweisen, Einzahlungen und der Name der Gruppe können Indizien sein.

Wichtig ist auch, von welcher Box aus die Gruppe erstellt wurde. Die Eigentümer*in dieser Box gilt zunächst als Eigentümer*in des Gruppen-Containers. Andere Eigentumsansprüche unterliegen der Beweispflicht.

Schließlich gibt es noch eine pragmatische Alternative: Alle anderen Mitglieder verlassen die Gruppe und bilden eine neue, während die Usurpator*in alleine in ihr verbleibt.

Explorer-Ansicht

Bei größeren und mittleren Bildschirmen, wird die Ordner-Ansicht in der "Explorer-Ansicht" dargestellt. Wir meinen damit, dass links der Baum-Bereich dargestellt wird und rechts daneben Details des ausgewählten Objekts angezeigt oder bearbeitet werden.

Explorer-Ansicht

Bei größeren und mittleren Bildschirmen, wird die Ordner-Ansicht in der "Explorer-Ansicht" dargestellt. Wir meinen damit, dass links der Baum-Bereich dargestellt wird und rechts daneben Details des ausgewählten Objekts angezeigt oder bearbeitet werden.

Fingerabdruck

Ein "Fingerabdruck" ist bei key.matiq eine lange Zeichenkette, der einem Klartext zuordnet wird und bei Änderung des Klartexts ebenfalls geändert wird. Damit kann bei Übertragung eines verschlüsselten Werts überprüft werden, ob sende- und empfangsseitig der gleiche Klartext-Wert zugrunde liegt.

Der Fingerabdruck ist im Gegensatz zu "Hashes" nicht vom Klartext abgeleitet, sondern wird zum Großteil zufällig gebildet. Er enthält ansonsten nur noch einen Zeitstempel, die ID des erzeugenden Serverprozesses und die Nummer der Formatversion. Daher kann der Fingerabdruck nahezu bedenkenlos offengelegt werden.

Fingerabdruck

Ein "Fingerabdruck" ist bei key.matiq eine lange Zeichenkette, der einem Klartext zuordnet wird und bei Änderung des Klartexts ebenfalls geändert wird. Damit kann bei Übertragung eines verschlüsselten Werts überprüft werden, ob sende- und empfangsseitig der gleiche Klartext-Wert zugrunde liegt.

Der Fingerabdruck ist im Gegensatz zu "Hashes" nicht vom Klartext abgeleitet, sondern wird zum Großteil zufällig gebildet. Er enthält ansonsten nur noch einen Zeitstempel, die ID des erzeugenden Serverprozesses und die Nummer der Formatversion. Daher kann der Fingerabdruck nahezu bedenkenlos offengelegt werden.

GeheimnisWir benutzen dies als Oberbegriff für z. B. Kennwörter, PINs, private kryptografische Schlüssel, aber auch Dokumente (PDF, JPEG). In der Regel handelt es sich dabei um kleine aber wichtige Informationsmengen, die Zugang zu größeren geheimen Datenmengen erlauben.
Geheimnis
Wir benutzen dies als Oberbegriff für z. B. Kennwörter, PINs, private kryptografische Schlüssel, aber auch Dokumente (PDF, JPEG). In der Regel handelt es sich dabei um kleine aber wichtige Informationsmengen, die Zugang zu größeren geheimen Datenmengen erlauben.
GerätDarunter verstehen wir die Kombination aus dem eigentlichen Gerät (PC, Laptop, Tablet, Smartphone oder auch eine virtuelle Maschine), dem darauf laufenden Browser und (falls das Betriebssystem mehr als ein Anmeldekonto zulässt) der auf dem Gerät angemeldeten Benutzer*in. key.matiq erkennt das Gerät daran, dass es ein Cookie, das es dort abgelegt hat, dort auch wiederfindet.
Gerät
Darunter verstehen wir die Kombination aus dem eigentlichen Gerät (PC, Laptop, Tablet, Smartphone oder auch eine virtuelle Maschine), dem darauf laufenden Browser und (falls das Betriebssystem mehr als ein Anmeldekonto zulässt) der auf dem Gerät angemeldeten Benutzer*in. key.matiq erkennt das Gerät daran, dass es ein Cookie, das es dort abgelegt hat, dort auch wiederfindet.
Gruppe, Gruppen-ContainerEin Gruppen-Container beinhaltet Daten einer Gruppe, wie Verbindungen (Mitglieder, Gruppen-Kontakte), Vorlagen, Hinterlegungen, Nachrichten. Verkürzt (und wenn kein Missverständis möglich ist), bezeichnen wir den Gruppen-Container einfach als "Gruppe". Besitzer*innen des Gruppen-Containers sind die Admnistrator*innen. Lesenden Zugriff haben sämtliche Mitglieder.
(Genau genommen werden als Mitglieder einer Gruppe immer nur Boxen geführt, über die deren Besitzer*innen auf den Gruppen-Container zugreifen können. Entsprechend gelten einzelne Boxen als "administrativ", so dass deren Besitzer*innen als Administrator*innen fungieren können.)
Gruppe, Gruppen-Container
Ein Gruppen-Container beinhaltet Daten einer Gruppe, wie Verbindungen (Mitglieder, Gruppen-Kontakte), Vorlagen, Hinterlegungen, Nachrichten. Verkürzt (und wenn kein Missverständis möglich ist), bezeichnen wir den Gruppen-Container einfach als "Gruppe". Besitzer*innen des Gruppen-Containers sind die Admnistrator*innen. Lesenden Zugriff haben sämtliche Mitglieder.
(Genau genommen werden als Mitglieder einer Gruppe immer nur Boxen geführt, über die deren Besitzer*innen auf den Gruppen-Container zugreifen können. Entsprechend gelten einzelne Boxen als "administrativ", so dass deren Besitzer*innen als Administrator*innen fungieren können.)
Hauptkennwort

Dieses Kennwort dient sowohl dazu, den Zugang zur Box zu erlangen, als auch die in der Box enthaltenen Geheimnisse zu ver- und entschlüsseln.

Hauptkennwort

Dieses Kennwort dient sowohl dazu, den Zugang zur Box zu erlangen, als auch die in der Box enthaltenen Geheimnisse zu ver- und entschlüsseln.

HinterlegungDamit meinen wir die verschlüsselte Übergabe eines Geheimnisses an eine Vertrauensperson, um dieses bei Bedarf rückfordern zu können. Die Vertrauensperson bekommt das Geheimnis selbst nicht zu Gesicht, aber nur sie kann darauf zugreifen, um die Rückgabe einzuleiten. Zweck: Backup für das Hauptkennwort der Box, für den Fall, dass es vergessen wird.
Hinterlegung
Damit meinen wir die verschlüsselte Übergabe eines Geheimnisses an eine Vertrauensperson, um dieses bei Bedarf rückfordern zu können. Die Vertrauensperson bekommt das Geheimnis selbst nicht zu Gesicht, aber nur sie kann darauf zugreifen, um die Rückgabe einzuleiten. Zweck: Backup für das Hauptkennwort der Box, für den Fall, dass es vergessen wird.
Import-OrdnerSpezieller Ordner zum Importieren von Backups oder exportierten Teilbäumen. Die Objekte in diesen Ordnern sind nicht "aktiv", d. h. sie können zwar angeschaut werden, aber weder bearbeitet noch anderweitig benutzt werden. Sie können aber, durch Verschieben in einen normalen Ordner, aktiviert werden.
Import-Ordner
Spezieller Ordner zum Importieren von Backups oder exportierten Teilbäumen. Die Objekte in diesen Ordnern sind nicht "aktiv", d. h. sie können zwar angeschaut werden, aber weder bearbeitet noch anderweitig benutzt werden. Sie können aber, durch Verschieben in einen normalen Ordner, aktiviert werden.
Informationssicherheit

Informationssicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen (auch in nicht-technischen Systemen, z. B. auf Papier) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit".

Informationssicherheit

Informationssicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Informationen (auch in nicht-technischen Systemen, z. B. auf Papier) sicherzustellen, siehe Greenbone "Informationssicherheit & Datensicherheit".

Inhaber*inInhaber*in einer Box bzw. eines Gruppen-Containers ist die Besitzer*in, solange deren Eigentum daran nicht bestritten wird.
(Dieser Begriff zielt also nicht so sehr auf die Unterscheidung von Besitz und Eigentum ab, sondern davon aus, dass unrechtmäßiger Besitz alsbald wieder auf die rechtmäßige Eigentümer*in übertragen wird. Wir verwenden diesen Begriff insbesondere in den Datentschutzhinweisen, in denen die persönlichen Rechte der Eigentümer*innen in der Regel über den Besitz wahrgenommen oder angemeldet werden. Erst im Konfliktfall muss festgestellt werden, ob eine Usurpation vorliegt und diese ggf. beendet werden, damit die Eigentümer*in ihre Rechte wahrnehmen kann.)
Inhaber*in
Inhaber*in einer Box bzw. eines Gruppen-Containers ist die Besitzer*in, solange deren Eigentum daran nicht bestritten wird.
(Dieser Begriff zielt also nicht so sehr auf die Unterscheidung von Besitz und Eigentum ab, sondern davon aus, dass unrechtmäßiger Besitz alsbald wieder auf die rechtmäßige Eigentümer*in übertragen wird. Wir verwenden diesen Begriff insbesondere in den Datentschutzhinweisen, in denen die persönlichen Rechte der Eigentümer*innen in der Regel über den Besitz wahrgenommen oder angemeldet werden. Erst im Konfliktfall muss festgestellt werden, ob eine Usurpation vorliegt und diese ggf. beendet werden, damit die Eigentümer*in ihre Rechte wahrnehmen kann.)
Inspektions-OrdnerSpezieller Ordner zur Ansicht von (unverschlüsselten Teilen von) Objekten eines Containers. Die Inspektion wird nach strengen Regularien durch eine Support-Mitarbeiter*in und auch nur dann durchgeführt, wenn der behauptete Container-Eigentümer*in ein Ticket (z. B. für das Setzen eines neuen Hauptkennworts erstellt hat, die Identität dieser Ticket-Ersteller*in festgestellt wurde, sie ihr Eigentum glaubhaft gemacht hat und sie die Inspektion erlaubt hat, um dafür den letzten Beweis zu erbringen. Die Inspektion wird in jedem Fall auf das Minimum des für diesen Zweck Erforderlichen beschränkt und kann Kerngeheimnisse keinem Fall umfassen.
Inspektions-Ordner
Spezieller Ordner zur Ansicht von (unverschlüsselten Teilen von) Objekten eines Containers. Die Inspektion wird nach strengen Regularien durch eine Support-Mitarbeiter*in und auch nur dann durchgeführt, wenn der behauptete Container-Eigentümer*in ein Ticket (z. B. für das Setzen eines neuen Hauptkennworts erstellt hat, die Identität dieser Ticket-Ersteller*in festgestellt wurde, sie ihr Eigentum glaubhaft gemacht hat und sie die Inspektion erlaubt hat, um dafür den letzten Beweis zu erbringen. Die Inspektion wird in jedem Fall auf das Minimum des für diesen Zweck Erforderlichen beschränkt und kann Kerngeheimnisse keinem Fall umfassen.
Internetsicherheit

Schutz von IT-Systemen vor Bedrohungen aus dem Internet siehe Greenbone "Informationssicherheit & Datensicherheit".

Internetsicherheit

Schutz von IT-Systemen vor Bedrohungen aus dem Internet siehe Greenbone "Informationssicherheit & Datensicherheit".

IT-Sicherheit

Schutz von IT-Systemen vor Schäden und Bedrohungen. Dies erstreckt sich von der einelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren, siehe Greenbone "Informationssicherheit & Datensicherheit".

IT-Sicherheit

Schutz von IT-Systemen vor Schäden und Bedrohungen. Dies erstreckt sich von der einelnen Datei über Computer, Netzwerke, Cloud-Dienste bis hin zu ganzen Rechenzentren, siehe Greenbone "Informationssicherheit & Datensicherheit".

Kennwort

Kennwörter werden benutzt, um einen Zugang zu Daten, Diensten, Geräten und Räumen berechtigten Personen (oder auch berechtigten IT-Systemen) zu ermöglichen und unberechtigten zu verwehren.

Kennwörter bestehen aus einer beliebigen Folge von Zeichen (eines festgelegten Zeichensatzes). Damit gilt eine Passphrase ebenfalls als Kennwort.

Kennwörter ziehen, wenn sie auf IT-Systemen genutzt werden, in der Regel kryptographische Verfahren nach sich:

Kennwörter, mit denen der Zugriff zu Daten kontrolliert wird, dienen manchmal dazu, von ihnen einen Schlüssel abzuleiten, mit dem die Daten ver- und entschlüsselt werden können. Dieser Schlüssel wird dann nicht gespeichert.

In anderen Fällen (insbesondere dann, wenn von dem System oder Dienst auf die Daten auch unabhängig von der Kennworteingabe zugegriffen werden muss) wird vom Kennwort in der Regel ebenfalls ein "Schlüssel" (er wird dann "Hashwert" genannt) abgeleitet, allerdings nur, um die korrekte Eingabe zu überprüfen. (Siehe Unidirektionale Verschlüsselung ). Dieser Schlüssel wird bei der Registrierung bzw. Kennwortänderung gespeichert.

Beide Fälle können auch kombiniert auftreten: Sowohl der Schlüssel für die Datenver- und -entschlüsselung als auch der Hashwert für die Anmeldekontrolle werden vom Kennwort abgeleitet.

Die Stärke der Kennwörter limitiert in allen Fällen die Stärke der abgeleiteten Schlüssel.

Kennwort

Kennwörter werden benutzt, um einen Zugang zu Daten, Diensten, Geräten und Räumen berechtigten Personen (oder auch berechtigten IT-Systemen) zu ermöglichen und unberechtigten zu verwehren.

Kennwörter bestehen aus einer beliebigen Folge von Zeichen (eines festgelegten Zeichensatzes). Damit gilt eine Passphrase ebenfalls als Kennwort.

Kennwörter ziehen, wenn sie auf IT-Systemen genutzt werden, in der Regel kryptographische Verfahren nach sich:

Kennwörter, mit denen der Zugriff zu Daten kontrolliert wird, dienen manchmal dazu, von ihnen einen Schlüssel abzuleiten, mit dem die Daten ver- und entschlüsselt werden können. Dieser Schlüssel wird dann nicht gespeichert.

In anderen Fällen (insbesondere dann, wenn von dem System oder Dienst auf die Daten auch unabhängig von der Kennworteingabe zugegriffen werden muss) wird vom Kennwort in der Regel ebenfalls ein "Schlüssel" (er wird dann "Hashwert" genannt) abgeleitet, allerdings nur, um die korrekte Eingabe zu überprüfen. (Siehe Unidirektionale Verschlüsselung ). Dieser Schlüssel wird bei der Registrierung bzw. Kennwortänderung gespeichert.

Beide Fälle können auch kombiniert auftreten: Sowohl der Schlüssel für die Datenver- und -entschlüsselung als auch der Hashwert für die Anmeldekontrolle werden vom Kennwort abgeleitet.

Die Stärke der Kennwörter limitiert in allen Fällen die Stärke der abgeleiteten Schlüssel.

KerngeheimnisDiejenigen Teile eines Geheimnisses, die besonders zu schützen sind (Kennwörter, PINs, PUKs, private Schlüssel, geheime Bilder und Dateien) und in der Anzeige-Ansicht auch verdeckt angezeigt werden, nennen wir "Kerngeheimnisse". Die übrigen Teile nennen wir dagegen Begleitdaten. Die Kerngeheimnisse werden mit dem Hauptkennwort verschlüsselt, so dass sie ohne dieses nicht mehr zugänglich sind, auch nicht für das key.matiq-Team. Die einzige Möglichkeit bei Verlust des Hauptkennworts noch auf die Kerngeheimnisse zugreifen zu können, besteht darin, dass Sie das Hauptkennwort zuvor hinterlegt haben. (In diesem Fall können Sie es über ein Ticket wiedererlangen.)
Kerngeheimnis
Diejenigen Teile eines Geheimnisses, die besonders zu schützen sind (Kennwörter, PINs, PUKs, private Schlüssel, geheime Bilder und Dateien) und in der Anzeige-Ansicht auch verdeckt angezeigt werden, nennen wir "Kerngeheimnisse". Die übrigen Teile nennen wir dagegen Begleitdaten. Die Kerngeheimnisse werden mit dem Hauptkennwort verschlüsselt, so dass sie ohne dieses nicht mehr zugänglich sind, auch nicht für das key.matiq-Team. Die einzige Möglichkeit bei Verlust des Hauptkennworts noch auf die Kerngeheimnisse zugreifen zu können, besteht darin, dass Sie das Hauptkennwort zuvor hinterlegt haben. (In diesem Fall können Sie es über ein Ticket wiedererlangen.)
KeysetSchlüsselbund eines Containers. Der aktuelle ("default") Keyset beinhaltet die Schlüssel mit denen Geheimnisse neu verschlüsselt werden. Ältere ("valid", "lost", "required") Keysets bleiben solange bestehen, solange sich darauf Geheimnisse beziehen. "Valid" Keysets könnnen noch für die Entschlüsselung (bzw. Umschlüsselung auf das "default" Keyset) genutzt werden. Bei "lost" und "required" Keysets gelten gilt der Hauptschlüssel des Keysets als verloren, kann aber evtl. noch wiedererlangt werden.
Keyset
Schlüsselbund eines Containers. Der aktuelle ("default") Keyset beinhaltet die Schlüssel mit denen Geheimnisse neu verschlüsselt werden. Ältere ("valid", "lost", "required") Keysets bleiben solange bestehen, solange sich darauf Geheimnisse beziehen. "Valid" Keysets könnnen noch für die Entschlüsselung (bzw. Umschlüsselung auf das "default" Keyset) genutzt werden. Bei "lost" und "required" Keysets gelten gilt der Hauptschlüssel des Keysets als verloren, kann aber evtl. noch wiedererlangt werden.
KomplementWir nennen so Teilgeheimnisse, die nur im Browser hinzugefügt werden. In der Box können jedoch Hinweise dazu abgelegt werden. Auf sie können Geheimnisse (aber auch Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente) können die zu verwendenden Komplemente eingegeben werden ohne sie in der Box zu speichern. Es wird dann das zusammengesetzte Geheimnis angezeigt.
Komplement
Wir nennen so Teilgeheimnisse, die nur im Browser hinzugefügt werden. In der Box können jedoch Hinweise dazu abgelegt werden. Auf sie können Geheimnisse (aber auch Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente) können die zu verwendenden Komplemente eingegeben werden ohne sie in der Box zu speichern. Es wird dann das zusammengesetzte Geheimnis angezeigt.
KomplettierungSo nennen wir das Verfahren zur Vervollständigung von Geheimnissen (und auch Komponenten) durch Teilgeheimnisse.
Komplettierung
So nennen wir das Verfahren zur Vervollständigung von Geheimnissen (und auch Komponenten) durch Teilgeheimnisse.
KomponenteWir nennen so Teilgeheimnisse, die in der Box gespeichert werden. Auf sie können Geheimnisse (aber auch andere Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente) werden diese Bezüge durch die Werte der Komponenten ersetzt.
Komponente
Wir nennen so Teilgeheimnisse, die in der Box gespeichert werden. Auf sie können Geheimnisse (aber auch andere Komponenten) Bezug nehmen. Bei der Anzeige eines Geheimnisses (oder einer Komponente) werden diese Bezüge durch die Werte der Komponenten ersetzt.
Konto-ObjektWir haben uns dafür entschieden, alle Abrechnungsfunktionen in einem "Objekt" zu bündeln, das immer ganz oben im "Hauptordner" aufgeführt wird.
Über das Konto-Objekt können Sie sowohl neues Guthaben einzahlen, als auch den Verbrauch des Guthabens nachvollziehen. Sie sehen im Status, wie lange das Guthaben, bzw. Rabatte die Nutzung des Containers garantiert. Sie können Bestelldaten und Rechnungen abrufen. Sie können auch Guthaben an andere Container übertragen.
Konto-Objekt
Wir haben uns dafür entschieden, alle Abrechnungsfunktionen in einem "Objekt" zu bündeln, das immer ganz oben im "Hauptordner" aufgeführt wird.
Über das Konto-Objekt können Sie sowohl neues Guthaben einzahlen, als auch den Verbrauch des Guthabens nachvollziehen. Sie sehen im Status, wie lange das Guthaben, bzw. Rabatte die Nutzung des Containers garantiert. Sie können Bestelldaten und Rechnungen abrufen. Sie können auch Guthaben an andere Container übertragen.
KryptografieDie Wissenschaft der Verschlüsselung von Informationen (auch der Konzeption, Definition und Konstruktionen von Informationssystemen), so dass die Informationen widerstandsfähig gegen Manipulation und unbefugtes Lesen sind.
Ein kryptografischer Schlüssel dient dabei der Ver- und Entschlüsselung von Informationen.
Eine kryptografische Hashfunktion dient der Bildung eines Prüfwerts, um eine Information (z. B. ein Kennwort) sicher identifizieren zu können, ohne sie im Klartext abspeichern zu müssen (z. B. ein Kennwort).
Um jetzt und auch in einiger Zukunft widerstandsfähig gegen die Brute-Force-Methode zu sein, müssen kryptografische Schlüssel und Hashes eine Sicherheitsstärke von 128 Bit haben.
Kryptografie
Die Wissenschaft der Verschlüsselung von Informationen (auch der Konzeption, Definition und Konstruktionen von Informationssystemen), so dass die Informationen widerstandsfähig gegen Manipulation und unbefugtes Lesen sind.
Ein kryptografischer Schlüssel dient dabei der Ver- und Entschlüsselung von Informationen.
Eine kryptografische Hashfunktion dient der Bildung eines Prüfwerts, um eine Information (z. B. ein Kennwort) sicher identifizieren zu können, ohne sie im Klartext abspeichern zu müssen (z. B. ein Kennwort).
Um jetzt und auch in einiger Zukunft widerstandsfähig gegen die Brute-Force-Methode zu sein, müssen kryptografische Schlüssel und Hashes eine Sicherheitsstärke von 128 Bit haben.
NullwissenDeutsche Übersetzung für "zero knowledge". Mit Nullwissen ist gemeint, dass höchstens verschlüsselte Daten bekannt sind, aber es nicht möglich ist, deren Bedeutung zu erfahren, da der Schlüssel für die Entschlüsselung nicht bekannt ist. In der Regel bezieht sich das "Nullwissen" lediglich auf (von der jeweiligen Autor*in) für kritisch gehaltene Daten, da Internetdienste selten ganz ohne Wissen von personenbezogenen Daten (zu denen in der Regel auch E-Mail- und IP-Adressen zählen) auskommen. Siehe "Zero-Knowlege-Server".
Nullwissen
Deutsche Übersetzung für "zero knowledge". Mit Nullwissen ist gemeint, dass höchstens verschlüsselte Daten bekannt sind, aber es nicht möglich ist, deren Bedeutung zu erfahren, da der Schlüssel für die Entschlüsselung nicht bekannt ist. In der Regel bezieht sich das "Nullwissen" lediglich auf (von der jeweiligen Autor*in) für kritisch gehaltene Daten, da Internetdienste selten ganz ohne Wissen von personenbezogenen Daten (zu denen in der Regel auch E-Mail- und IP-Adressen zählen) auskommen. Siehe "Zero-Knowlege-Server".
ObjektDer Begriff Objekt wird bei uns in spezieller Weise verwendet: Er bezieht sich auf Daten, die (ähnlich wie Dateien auf einem PC) mit Namen versehen in Ordnern gehalten werden. Die Ordner selbst gelten ebenfalls als Objekte. Beispiele für Objekte sind: Geheimnisse, Vorlagen, Kontakte, der Papierkorb und das Konto. Objekte lassen sich erstellen, anzeigen, bearbeiten, löschen, duplizieren, verschieben, umbenennen, etc.
Objekt
Der Begriff Objekt wird bei uns in spezieller Weise verwendet: Er bezieht sich auf Daten, die (ähnlich wie Dateien auf einem PC) mit Namen versehen in Ordnern gehalten werden. Die Ordner selbst gelten ebenfalls als Objekte. Beispiele für Objekte sind: Geheimnisse, Vorlagen, Kontakte, der Papierkorb und das Konto. Objekte lassen sich erstellen, anzeigen, bearbeiten, löschen, duplizieren, verschieben, umbenennen, etc.
Objekt-BereichDer rechte Bereich der Ordner-Ansicht. In diesem Bereich können Objekte angezeigt und bearbeitet werden.
Objekt-Bereich
Der rechte Bereich der Ordner-Ansicht. In diesem Bereich können Objekte angezeigt und bearbeitet werden.
Ordner-AnsichtLinks ("Baum-Bereich") werden die Objekte des Containers in einer Baum-Struktur dargestellt. Rechts das aktuell gewählte Objekt in der Anzeige-Ansicht (Vorbelegung) oder Bearbeitungs-Ansicht (wenn ausgewählt). Über beiden Bereichen wird der Pfad des aktuellen Objekts eingeblendet, sowie Knöpfe zum Vor- und Zurückgehen in der Historie der Objekt-Auswahl und ein Knopf zum Aktualisieren der Ordner-Ansicht (in der Regel effizienter als das Neuladen der gesamten Seite über den ensprechenden Browser-Knopf).
Ordner-Ansicht
Links ("Baum-Bereich") werden die Objekte des Containers in einer Baum-Struktur dargestellt. Rechts das aktuell gewählte Objekt in der Anzeige-Ansicht (Vorbelegung) oder Bearbeitungs-Ansicht (wenn ausgewählt). Über beiden Bereichen wird der Pfad des aktuellen Objekts eingeblendet, sowie Knöpfe zum Vor- und Zurückgehen in der Historie der Objekt-Auswahl und ein Knopf zum Aktualisieren der Ordner-Ansicht (in der Regel effizienter als das Neuladen der gesamten Seite über den ensprechenden Browser-Knopf).
PapierkorbSpezieller Ordner zur Vorbereitung des Löschens von Objekten. Diese werden nach einer festgelegten Zeit gelöscht, es sei denn, sie wurden zuvor wieder aus dem Papierkorb herausgeholt.
Papierkorb
Spezieller Ordner zur Vorbereitung des Löschens von Objekten. Diese werden nach einer festgelegten Zeit gelöscht, es sei denn, sie wurden zuvor wieder aus dem Papierkorb herausgeholt.
Passphrase

Passphrasen sind Kennwörter, die aus mehreren Wörtern zusammengesetzt sind.

Passphrase

Passphrasen sind Kennwörter, die aus mehreren Wörtern zusammengesetzt sind.

Passwortsicherheit

Die Passwortsicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Kennwörtern sicherzustellen und ist damit ein Teil der Datensicherheit.

Passwortsicherheit

Die Passwortsicherheit hat das Ziel, die Vertraulichkeit, Integrität und Verfügbarkeit von Kennwörtern sicherzustellen und ist damit ein Teil der Datensicherheit.

PasswortstärkeEntspricht dem englischen Begriff "password strength", siehe Wikipedia "Password Strength" (englisch). Siehe auch den Blog-Artikel "Die Mathematik der PasswortStärke".
Passwortstärke
Entspricht dem englischen Begriff "password strength", siehe Wikipedia "Password Strength" (englisch). Siehe auch den Blog-Artikel "Die Mathematik der PasswortStärke".
PL-0Schutzniveau, das unterhalb von PL-1 liegt.
PL-0
Schutzniveau, das unterhalb von PL-1 liegt.
PL-1Minimales Schutzniveau, das eine Web-App für ihre Daten erreichen sollte. Allerdings fehlt hier noch der Schutz durch verschlüsselte Platten. key.matiq gibt sich mit diesem Niveau nicht zufrieden, da bereits ein Plattenabzug einen Zugriff auf die Daten erlauben würde.
PL-1
Minimales Schutzniveau, das eine Web-App für ihre Daten erreichen sollte. Allerdings fehlt hier noch der Schutz durch verschlüsselte Platten. key.matiq gibt sich mit diesem Niveau nicht zufrieden, da bereits ein Plattenabzug einen Zugriff auf die Daten erlauben würde.
PL-2Schutzniveau für Daten, die auf verschlüsselten Platten gehalten werden. Eine bloße Kopie der Platten erlaubt keinen Zugriff auf die Daten. Der Schlüssel für die Platten darf immer nur im flüchtigen Hauptspeicher des Servers verfügbar sein und unter keinen Umständen auf die Platte gelangen.
Dieses Schutzniveau ist angezeigt bei Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, letzterer aber in diesem Rahmen noch möglichst hoch sein soll.
PL-2
Schutzniveau für Daten, die auf verschlüsselten Platten gehalten werden. Eine bloße Kopie der Platten erlaubt keinen Zugriff auf die Daten. Der Schlüssel für die Platten darf immer nur im flüchtigen Hauptspeicher des Servers verfügbar sein und unter keinen Umständen auf die Platte gelangen.
Dieses Schutzniveau ist angezeigt bei Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, letzterer aber in diesem Rahmen noch möglichst hoch sein soll.
PL-3Schutzniveau für Daten, die mit dem Kennwort der Eigentümer*in der Daten verschlüsselt sind. Die Ver- und Entschlüsselung findet serverseitig statt. Klartexte von Daten, Schlüsseln und Kennwort sind immer nur im flüchtigen Hauptspeicher des Servers verfügbar und gelangen unter keinen Umständen auf die Platte.
PL-3
Schutzniveau für Daten, die mit dem Kennwort der Eigentümer*in der Daten verschlüsselt sind. Die Ver- und Entschlüsselung findet serverseitig statt. Klartexte von Daten, Schlüsseln und Kennwort sind immer nur im flüchtigen Hauptspeicher des Servers verfügbar und gelangen unter keinen Umständen auf die Platte.
PL-4Wie PL-3, aber die Ver- und Entschlüsselung findet clientseitig statt, so dass die Klartexte der Daten nicht auf den Server gelangen.
Dieses Schutzniveau ist vermutlich das übliche bei den mit dem Attribute "Zero-Knowledge Server" bezeichneten Diensten. Für key.matiq erscheint es bezüglich Kerngeheimnissen zu niedrig, bezüglich Begleitdaten zu hoch (da hier der hohe Schutz vor Offenlegung den in diesem Fall wichtigeren Schutz vor Verlust behindert).
PL-4
Wie PL-3, aber die Ver- und Entschlüsselung findet clientseitig statt, so dass die Klartexte der Daten nicht auf den Server gelangen.
Dieses Schutzniveau ist vermutlich das übliche bei den mit dem Attribute "Zero-Knowledge Server" bezeichneten Diensten. Für key.matiq erscheint es bezüglich Kerngeheimnissen zu niedrig, bezüglich Begleitdaten zu hoch (da hier der hohe Schutz vor Offenlegung den in diesem Fall wichtigeren Schutz vor Verlust behindert).
PL-5Wie PL-4, aber durch ein Zusammenspiel von Client und Server wird erreicht, dass bei Abbruch oder Unterbrechung einer Sitzung (egal ob clientseitig oder serverseitig veranlasst) auch auf dem Client kein Zugriff auf die Klartexte mehr möglich ist.
PL-5
Wie PL-4, aber durch ein Zusammenspiel von Client und Server wird erreicht, dass bei Abbruch oder Unterbrechung einer Sitzung (egal ob clientseitig oder serverseitig veranlasst) auch auf dem Client kein Zugriff auf die Klartexte mehr möglich ist.
PL-highHohes Schutzniveau für key.matiq, entpricht PL-5. Verwendet für geheime Daten, bei denen für eine von der Kund*in gewünschte Aktion ein (kurzfristiges) Serverwissen unausweichlich ist, z. B. für eine Malwareprüfung von hochgeladenen Dateien.
PL-high
Hohes Schutzniveau für key.matiq, entpricht PL-5. Verwendet für geheime Daten, bei denen für eine von der Kund*in gewünschte Aktion ein (kurzfristiges) Serverwissen unausweichlich ist, z. B. für eine Malwareprüfung von hochgeladenen Dateien.
PL-lowNiedrigstes Schutzniveau für key.matiq, entpricht PL-2. Verwendet für Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, z. B. für Begleitdaten von Geheimnissen.
PL-low
Niedrigstes Schutzniveau für key.matiq, entpricht PL-2. Verwendet für Daten, bei denen der Schutz vor Verlust wichtiger ist als der vor Offenlegung, z. B. für Begleitdaten von Geheimnissen.
PL-mediumMittleres Schutzniveau für key.matiq, entpricht PL-3. Verwendet für geheime Daten, bei denen für eine von der Kund*in gewünschte Aktion ein Serverwissen unausweichlich ist, z. B. für eine Malwareprüfung von hochgeladenen Dateien.
PL-medium
Mittleres Schutzniveau für key.matiq, entpricht PL-3. Verwendet für geheime Daten, bei denen für eine von der Kund*in gewünschte Aktion ein Serverwissen unausweichlich ist, z. B. für eine Malwareprüfung von hochgeladenen Dateien.
RegistrierenWenn Sie sich bei key.matiq "registrieren", erstellen Sie damit einfach eine "Box". Die Box ist für die Probenutzungszeit (drei Monate) rabattiert, so dass das geringste Speicherkontingent in dieser Zeit kostenlos ist.
Die Registrierung erfordert auch nur minimale Angaben. Insbesondere brauchen Sie sich key.matiq gegenüber nicht zu identifizieren und auch die Angabe einer E-Mail-Adresse ist optional.
Wenn Sie die Box nach der Probenutzungszeit weiternutzen wollen, oder ein höheres Kontingent benötigen, müssen Sie Guthaben einzahlen. Ansonsten wird die Box einfach gesperrt und nach einiger Zeit gelöscht, ohne dass irgendwelche Forderungen auf Sie zukommen.
Registrieren
Wenn Sie sich bei key.matiq "registrieren", erstellen Sie damit einfach eine "Box". Die Box ist für die Probenutzungszeit (drei Monate) rabattiert, so dass das geringste Speicherkontingent in dieser Zeit kostenlos ist.
Die Registrierung erfordert auch nur minimale Angaben. Insbesondere brauchen Sie sich key.matiq gegenüber nicht zu identifizieren und auch die Angabe einer E-Mail-Adresse ist optional.
Wenn Sie die Box nach der Probenutzungszeit weiternutzen wollen, oder ein höheres Kontingent benötigen, müssen Sie Guthaben einzahlen. Ansonsten wird die Box einfach gesperrt und nach einiger Zeit gelöscht, ohne dass irgendwelche Forderungen auf Sie zukommen.
SicherheitsstärkeEntspricht in der Praxis den englischen Begriffen "security level" und "security strength", siehe Wikipedia "Security level". Der Begriff bezieht sich auf Verschlüsselung und kryptografische Hash-Bildung
Die Sicherheitsstärke (gemessen in Bits) ist der binäre Logarithmus der Anzahl möglicher unterschiedlicher aber gleichermaßen widerstandsfähiger Schlüssel bzw. Hashwerte (für die vorgegebene Verschlüsselungmethode bzw. Hashfunktion).
(Wir bevorzugen den Begriff "Sicherheitsstärke" gegenüber "Sicherheitsniveau", auch wenn im Englischen eher von "security level" als von "security strength" die Rede ist, weil anderenfalls im Kontext von key.matiq der Begriff mit "Schutzniveau" leicht zu verwechseln ist.)
Sicherheitsstärke
Entspricht in der Praxis den englischen Begriffen "security level" und "security strength", siehe Wikipedia "Security level". Der Begriff bezieht sich auf Verschlüsselung und kryptografische Hash-Bildung
Die Sicherheitsstärke (gemessen in Bits) ist der binäre Logarithmus der Anzahl möglicher unterschiedlicher aber gleichermaßen widerstandsfähiger Schlüssel bzw. Hashwerte (für die vorgegebene Verschlüsselungmethode bzw. Hashfunktion).
(Wir bevorzugen den Begriff "Sicherheitsstärke" gegenüber "Sicherheitsniveau", auch wenn im Englischen eher von "security level" als von "security strength" die Rede ist, weil anderenfalls im Kontext von key.matiq der Begriff mit "Schutzniveau" leicht zu verwechseln ist.)
SchlüsselstreckungVerfahren zur Ableitung des für die Verschlüsselung Ihrer Geheimnisse benötigten Hauptschlüssels aus dem Hauptkennwort. Siehe Wikipedia.
Die Schlüsselstreckung erhöht dabei die Stärke der Verschlüsselung. Sie wird bei key.matiq auch automatisch auf die ständige Erhöhung der allgemeinen Rechengeschwindigkeit angepasst, um diesbezüglich gleichbleibende Sicherheit zu bieten.
Bei clientseitiger Verschlüsselung kann jedoch die Schlüsselstreckung je nach Gerät ganz unterschiedliches Zeitverhalten aufweisen und dauert in der Regel sehr viel länger als bei serverseitiger Verschlüsselung. Abhilfe schafft die Anpassung (Verringerung) des Streckungsparameters.
Schlüsselstreckung
Verfahren zur Ableitung des für die Verschlüsselung Ihrer Geheimnisse benötigten Hauptschlüssels aus dem Hauptkennwort. Siehe Wikipedia.
Die Schlüsselstreckung erhöht dabei die Stärke der Verschlüsselung. Sie wird bei key.matiq auch automatisch auf die ständige Erhöhung der allgemeinen Rechengeschwindigkeit angepasst, um diesbezüglich gleichbleibende Sicherheit zu bieten.
Bei clientseitiger Verschlüsselung kann jedoch die Schlüsselstreckung je nach Gerät ganz unterschiedliches Zeitverhalten aufweisen und dauert in der Regel sehr viel länger als bei serverseitiger Verschlüsselung. Abhilfe schafft die Anpassung (Verringerung) des Streckungsparameters.
SchutzniveauSpezifikation des Schutzes für Daten vor Offenlegung im Rahmen des "Cautiously Knowing Service"-Konzepts. Standardmäßig gibt es in diesem Konzept die Schutzniveaus PL-0, PL-1, PL-2, PL-3, PL-4 und PL-5. Von diesen werden für key.matiq nur die Niveaus PL-2, PL-3 und PL-5 benutzt und als key-matiq-spezifisch als PL-low, PL-medium und PL-high bezeichnet.
Ein angehängtes "+" an einen Schutzniveau-Namen bedeutet, dass zusätzliche Maßnahmen einen höheren Schutz bewirken, allerdings noch nicht das nächsthöhere Schutzniveau erreicht ist. Z. B. steht PL-3+ zwischen PL-3 und PL-4. Solche spezialisierten Schutzniveaus sind im Detail zu beschreiben, bei key.matiq im Handbuch im Artikel "Cautiously Knowing Service".
Schutzniveau
Spezifikation des Schutzes für Daten vor Offenlegung im Rahmen des "Cautiously Knowing Service"-Konzepts. Standardmäßig gibt es in diesem Konzept die Schutzniveaus PL-0, PL-1, PL-2, PL-3, PL-4 und PL-5. Von diesen werden für key.matiq nur die Niveaus PL-2, PL-3 und PL-5 benutzt und als key-matiq-spezifisch als PL-low, PL-medium und PL-high bezeichnet.
Ein angehängtes "+" an einen Schutzniveau-Namen bedeutet, dass zusätzliche Maßnahmen einen höheren Schutz bewirken, allerdings noch nicht das nächsthöhere Schutzniveau erreicht ist. Z. B. steht PL-3+ zwischen PL-3 und PL-4. Solche spezialisierten Schutzniveaus sind im Detail zu beschreiben, bei key.matiq im Handbuch im Artikel "Cautiously Knowing Service".
Serverseitige VerschlüsselungBei dieser Methode werden Geheimnisse auf dem Server ver- und entschlüsselt. Dazu muss er zumindest kurzzeitig das Haupkennwort oder den daraus abgeleiteten Hauptschlüssel kennen, d. h. diese während einer key.matiq-Sitzung im flüchtigen Hauptspeicher des Servers stehen. Auch wenn der Hauptspeicher gut geschützt ist bleiben Restrisiken, weshalb wir, soweit möglich auf die clientseitige Verschlüsselung übergehen, und ansonsten key.matiq immer erst fragt, bevor es serverseitig verschlüsselt.
Serverseitige Verschlüsselung
Bei dieser Methode werden Geheimnisse auf dem Server ver- und entschlüsselt. Dazu muss er zumindest kurzzeitig das Haupkennwort oder den daraus abgeleiteten Hauptschlüssel kennen, d. h. diese während einer key.matiq-Sitzung im flüchtigen Hauptspeicher des Servers stehen. Auch wenn der Hauptspeicher gut geschützt ist bleiben Restrisiken, weshalb wir, soweit möglich auf die clientseitige Verschlüsselung übergehen, und ansonsten key.matiq immer erst fragt, bevor es serverseitig verschlüsselt.
SiegelEin versiegeltes Geheimnis ist an eine Empfänger*in übergeben worden, aber sie kann es nicht ansehen, solange sie das Siegel nicht bricht. Der Siegelbruch wird der Absender*in mitgeteilt und sie kann innerhalb einer Karenzzeit noch diesen abbrechen. Ferner kann sie versiegelte Geheimnisse jederzeit zurückziehen. Zweck: Vererbung von Geheimnissen bei Unfall oder Tod.
Siegel
Ein versiegeltes Geheimnis ist an eine Empfänger*in übergeben worden, aber sie kann es nicht ansehen, solange sie das Siegel nicht bricht. Der Siegelbruch wird der Absender*in mitgeteilt und sie kann innerhalb einer Karenzzeit noch diesen abbrechen. Ferner kann sie versiegelte Geheimnisse jederzeit zurückziehen. Zweck: Vererbung von Geheimnissen bei Unfall oder Tod.
Starkes KennwortAls starkes Kennwort bezeichnen wir ausschließlich Kennwörter, die (aus der Angriffssicht) eine Stärke aufweisen, wie sie auch starke kryptografische Schlüssel haben. Das sind (im Jahr 2024) 128 Bit. Siehe auch den Begriff Passwortstärke.
Starkes Kennwort
Als starkes Kennwort bezeichnen wir ausschließlich Kennwörter, die (aus der Angriffssicht) eine Stärke aufweisen, wie sie auch starke kryptografische Schlüssel haben. Das sind (im Jahr 2024) 128 Bit. Siehe auch den Begriff Passwortstärke.
StreckungsparameterDamit bezeichnen wir die Stellschraube für den Kompromiss zwischen Sicherheit und Bedienbarkeit nach der Eingabe des Hauptkennworts. (Diese Stellschraube wird bei der Schlüsselstreckung eingesetzt.)
Der Wert wird in Bits gemessen, liegt zwischen -5 und +5 und sollte in der Regel etwa bei 0 liegen.
Ein Wert von +5 bedeutet: Sicherheit wie bei einer rein serverseitigen Verschlüsselung, aber lange Wartezeiten bei der Anmeldung, bei mobilen Geräten sogar Abbrüche (ohne dass noch eine Meldung möglich ist).
Ein Wert von -5 bedeutet: Zeitverhalten wie bei einer rein serverseitigen Verschlüsselung, aber um 10 Bits schwächere Verschlüsselung Ihrer Geheimnisse.
Der empfohlene Wert von 0 bedeutet gegenüber der früheren serverseitigen Verschlüsselung eine Abschwächung der Verschlüsselung um 5 Bit. Diese kann jedoch durch eine Verstärkung des Hauptkennworts (ein zusätzliches willkürlich gewähltes Zeichen genügt) ausgeglichen werden.
Streckungsparameter
Damit bezeichnen wir die Stellschraube für den Kompromiss zwischen Sicherheit und Bedienbarkeit nach der Eingabe des Hauptkennworts. (Diese Stellschraube wird bei der Schlüsselstreckung eingesetzt.)
Der Wert wird in Bits gemessen, liegt zwischen -5 und +5 und sollte in der Regel etwa bei 0 liegen.
Ein Wert von +5 bedeutet: Sicherheit wie bei einer rein serverseitigen Verschlüsselung, aber lange Wartezeiten bei der Anmeldung, bei mobilen Geräten sogar Abbrüche (ohne dass noch eine Meldung möglich ist).
Ein Wert von -5 bedeutet: Zeitverhalten wie bei einer rein serverseitigen Verschlüsselung, aber um 10 Bits schwächere Verschlüsselung Ihrer Geheimnisse.
Der empfohlene Wert von 0 bedeutet gegenüber der früheren serverseitigen Verschlüsselung eine Abschwächung der Verschlüsselung um 5 Bit. Diese kann jedoch durch eine Verstärkung des Hauptkennworts (ein zusätzliches willkürlich gewähltes Zeichen genügt) ausgeglichen werden.
TabAls Tab bezeichnen wir die Teildarstellung der Anzeige-Ansicht bzw. Bearbeitungs-Ansicht eines Objekts, wenn nicht alle Daten gleichzeitig in dem Objekt-Bereich präsentiert werden können. Tabs werden über Reiter oben im Objekt-Bereich angewählt.
Die ersten beiden Reiter enthalten Symbole für "Anzeige" (Lupe) und "Bearbeiten", so dass man zwischen diesen Ansichten rasch wechseln kann, und dabei – soweit möglich – beim gleichen Teilaspekt des Objekts bleibt.
Tab
Als Tab bezeichnen wir die Teildarstellung der Anzeige-Ansicht bzw. Bearbeitungs-Ansicht eines Objekts, wenn nicht alle Daten gleichzeitig in dem Objekt-Bereich präsentiert werden können. Tabs werden über Reiter oben im Objekt-Bereich angewählt.
Die ersten beiden Reiter enthalten Symbole für "Anzeige" (Lupe) und "Bearbeiten", so dass man zwischen diesen Ansichten rasch wechseln kann, und dabei – soweit möglich – beim gleichen Teilaspekt des Objekts bleibt.
TeilgeheimnisOberbegriff für Komplemente und Komponenten. Auf sie können Geheimnisse (aber auch Komponenten) Bezug nehmen und bei der Anzeige können dann die Bezüge durch die Werte der Teilgeheimnisse ersetzt werden. Siehe: Komplettierung
Teilgeheimnis
Oberbegriff für Komplemente und Komponenten. Auf sie können Geheimnisse (aber auch Komponenten) Bezug nehmen und bei der Anzeige können dann die Bezüge durch die Werte der Teilgeheimnisse ersetzt werden. Siehe: Komplettierung
Ticket

Das ist für key.matiq eine Kund*innennanfrage zum Wiedererlangen einer verloren gegangenen Kontrolle über eine Box oder einer Gruppe. Ein Ticket durchläuft ein komplexes Verfahren, bei dem die Anfragende identifiziert wird und ihr Eigentum an der Box bzw. am Gruppen-Container geprüft wird. Die dabei erhobenen Daten werden über einen längeren Zeitraum für die mit dem Ticket befassten Stellen dokumentiert. Dabei werden persönliche Daten der anfragenden Person verschlüsselt gespeichert (Schlüssel nur den befassten Stellen zugänglich), damit für Außenstehende selbst bei einem Zugriff auf die Datenbank (neben den unverschlüsselten Anteilen der Box, über deren Umfang ja die Box-Inhaber*in die alleinige Kontrolle hat) keine zusätzlichen Anhaltspunkte für den Bezug einer Box zu einer Person entdeckt werden können.

Bei einem Box-Ticket geht es meist um die Wiedererlangung eines hinterlegten Hauptkennworts oder um das Setzen eines neuen Hauptkennworts.

Bei einem Gruppen-Ticket geht es meist um das Einsetzen von einer neuen Admnistrator*in.

Ticket

Das ist für key.matiq eine Kund*innennanfrage zum Wiedererlangen einer verloren gegangenen Kontrolle über eine Box oder einer Gruppe. Ein Ticket durchläuft ein komplexes Verfahren, bei dem die Anfragende identifiziert wird und ihr Eigentum an der Box bzw. am Gruppen-Container geprüft wird. Die dabei erhobenen Daten werden über einen längeren Zeitraum für die mit dem Ticket befassten Stellen dokumentiert. Dabei werden persönliche Daten der anfragenden Person verschlüsselt gespeichert (Schlüssel nur den befassten Stellen zugänglich), damit für Außenstehende selbst bei einem Zugriff auf die Datenbank (neben den unverschlüsselten Anteilen der Box, über deren Umfang ja die Box-Inhaber*in die alleinige Kontrolle hat) keine zusätzlichen Anhaltspunkte für den Bezug einer Box zu einer Person entdeckt werden können.

Bei einem Box-Ticket geht es meist um die Wiedererlangung eines hinterlegten Hauptkennworts oder um das Setzen eines neuen Hauptkennworts.

Bei einem Gruppen-Ticket geht es meist um das Einsetzen von einer neuen Admnistrator*in.

Ticket-Container

Ein Ticket funktioniert in mancher Hinsicht ähnlich wie eine kleine Box. Die Ersteller*in legt dafür ein Kennwort fest und das Ticket erhält, wenn es um die Wiedererlangung des Hauptkennworts einer Box geht, die Hauptkennwortteile von den Hinterlegungsstellen (nach Prüfung der Anfrage) "eingeworfen", so dass schließlich die Antragsteller*in das Hauptkennwort dort abholen kann.

Dieser Aspekt ist beim Begriff "Ticket-Container" gemeint, auch wenn der allgemeinere Begriff "Container" bei key.matiq nur Boxen und Gruppen-Container einschließt und nicht Ticket-Container.

Ticket-Container

Ein Ticket funktioniert in mancher Hinsicht ähnlich wie eine kleine Box. Die Ersteller*in legt dafür ein Kennwort fest und das Ticket erhält, wenn es um die Wiedererlangung des Hauptkennworts einer Box geht, die Hauptkennwortteile von den Hinterlegungsstellen (nach Prüfung der Anfrage) "eingeworfen", so dass schließlich die Antragsteller*in das Hauptkennwort dort abholen kann.

Dieser Aspekt ist beim Begriff "Ticket-Container" gemeint, auch wenn der allgemeinere Begriff "Container" bei key.matiq nur Boxen und Gruppen-Container einschließt und nicht Ticket-Container.

ÜbertragungswertDer Betrag, der bei einer virtuellen Aus- und Einzahlung übertragen wird. Er entspricht bei europäischen Verbraucher*innen und deutschen Unternehmer*innen dem Bruttobetrag, bei Nicht-EU-Verbraucher*innen und nicht-deutschen Unternehmer*innen nur dem Nettobetrag, da diese die Mehrwertsteuer selbst mit der Finanzverwaltung ihres Landes abrechnen müssen.
Übertragungswert
Der Betrag, der bei einer virtuellen Aus- und Einzahlung übertragen wird. Er entspricht bei europäischen Verbraucher*innen und deutschen Unternehmer*innen dem Bruttobetrag, bei Nicht-EU-Verbraucher*innen und nicht-deutschen Unternehmer*innen nur dem Nettobetrag, da diese die Mehrwertsteuer selbst mit der Finanzverwaltung ihres Landes abrechnen müssen.
Unidirektionale Verschlüsselung

Wir benutzen diesen Begriff, um das Verfahren zu beschreiben, aus einem Klartext (mittels einer kryptografischen Hashfunktion) verschlüsselte Daten (einen Hashwert) zu gewinnen, ohne dass es eine direkte Entschlüsselungsmöglichkeit (des Hashwerts zurück in den Klartext) gibt.

Durch erneute Anwendung auf denselben Klartext wird derselbe Hashwert erneut gebildet. Das Verfahren wird angewandt, um Kennwörter verschlüsselt zu speichern und später bei erneuter Eingabe überprüfen zu können.

Obwohl das Verfahren ohne exakte Kenntnis des Klartexts nicht umkehrbar ist, könnte man dennoch bei Kenntnis des Hashwerts über die Brute-Force-Methode an den Klartext gelangen, wenn letzterer kurz genug ist. Ist der Klartext aber ein starkes Kennwort, ist es dagegen (bei starken Hashfunktionen) praktisch unmöglich, über den Hashwert an den Klartext zu gelangen.

Unidirektionale Verschlüsselung

Wir benutzen diesen Begriff, um das Verfahren zu beschreiben, aus einem Klartext (mittels einer kryptografischen Hashfunktion) verschlüsselte Daten (einen Hashwert) zu gewinnen, ohne dass es eine direkte Entschlüsselungsmöglichkeit (des Hashwerts zurück in den Klartext) gibt.

Durch erneute Anwendung auf denselben Klartext wird derselbe Hashwert erneut gebildet. Das Verfahren wird angewandt, um Kennwörter verschlüsselt zu speichern und später bei erneuter Eingabe überprüfen zu können.

Obwohl das Verfahren ohne exakte Kenntnis des Klartexts nicht umkehrbar ist, könnte man dennoch bei Kenntnis des Hashwerts über die Brute-Force-Methode an den Klartext gelangen, wenn letzterer kurz genug ist. Ist der Klartext aber ein starkes Kennwort, ist es dagegen (bei starken Hashfunktionen) praktisch unmöglich, über den Hashwert an den Klartext zu gelangen.

UsurpationEin Unberechtigte*r reißt eine Box an sich, z. B. durch Erraten des Hauptkennworts (Brute-Force-Methode). Denkbar wäre auch, dass er sich als Eigentümer*in ausgibt und es schafft, Hinterlegungsstellen oder den key.matiq-Support zu täuschen. Gegenmaßnahmen: Starkes Hauptkennwort, Aufteilung des Hauptkennworts auf mehrere Hinterlegungsstellen, gut gewählte Kontrollfrage und -antwort, Angabe einer E-Mail-Adresse in der Box, Angaben zu Ihrer Identität in der Box, gute Auswahl der Hinterlegungsstellen (z. B. persönliche Bekanntschaft) und Zahlungen für die Box, möglichst bei Sicherung der Zahlungsbelege gegen unbefugte Einsichtnahme.
Usurpation
Ein Unberechtigte*r reißt eine Box an sich, z. B. durch Erraten des Hauptkennworts (Brute-Force-Methode). Denkbar wäre auch, dass er sich als Eigentümer*in ausgibt und es schafft, Hinterlegungsstellen oder den key.matiq-Support zu täuschen. Gegenmaßnahmen: Starkes Hauptkennwort, Aufteilung des Hauptkennworts auf mehrere Hinterlegungsstellen, gut gewählte Kontrollfrage und -antwort, Angabe einer E-Mail-Adresse in der Box, Angaben zu Ihrer Identität in der Box, gute Auswahl der Hinterlegungsstellen (z. B. persönliche Bekanntschaft) und Zahlungen für die Box, möglichst bei Sicherung der Zahlungsbelege gegen unbefugte Einsichtnahme.
VerbindungEin Verbindungs-Objekt beinhaltet vor allem die Kontaktdaten und den Verbindungsstatus zu einem anderen Container. Es gibt vier Verbindungstypen: Kontakte (einer Box zu anderen Boxen), Mitgliedschaften (einer Box in Gruppen), Mitglieder (Boxen einer Gruppe), Gruppen-Kontakte (einer Gruppe zu anderen Gruppen).
Verbindung
Ein Verbindungs-Objekt beinhaltet vor allem die Kontaktdaten und den Verbindungsstatus zu einem anderen Container. Es gibt vier Verbindungstypen: Kontakte (einer Box zu anderen Boxen), Mitgliedschaften (einer Box in Gruppen), Mitglieder (Boxen einer Gruppe), Gruppen-Kontakte (einer Gruppe zu anderen Gruppen).
VerteilerEin Verteiler bestimmt, an welche Boxen ein Geheimnis oder eine Nachricht oder versendet werden soll. Auch für Hinterlegungen werden Verteiler verwendet. Verteiler können sowohl "innere Verteiler" (auch Verteiler-Listen genannt) der Geheimnisse, Nachrichten oder Hinterleger sein, als auch eigenständige Objekte. Verteiler können sowohl Verbindungs-Objekte als auch Verteiler-Objekte auflisten.
Verteiler
Ein Verteiler bestimmt, an welche Boxen ein Geheimnis oder eine Nachricht oder versendet werden soll. Auch für Hinterlegungen werden Verteiler verwendet. Verteiler können sowohl "innere Verteiler" (auch Verteiler-Listen genannt) der Geheimnisse, Nachrichten oder Hinterleger sein, als auch eigenständige Objekte. Verteiler können sowohl Verbindungs-Objekte als auch Verteiler-Objekte auflisten.
Vertrag

Verträge können für die Nutzung eines Containers oder die Prüfung und Ausführung eines Tickets abgeschlossen werden.

Bei der Erstellung eines Containers (Box oder Gruppe) wird zunächst ein nicht-kostenpflichtiger Vertrag abgeschlossen, der ggf. durch einen kostenpflichtigen Vertrag abgelöst werden kann.

Bei einem Container-Vertrag (für Box oder Gruppe) handelt es sich immer um einen befristeten Vertrag, der jedoch durch Einzahlung von Guthaben, Abgabe oder Annahme von Guthaben sowie Upgrade und Downgrade des Speicherkontingents in seiner Laufzeit immer wieder verändert werden kann. Für die Verlängerung der Laufzeit ist jedoch in der Regel die Akzeptanz der jeweils aktuellen AGB erforderlich.

Tickets werden wenn möglich als Kulanzleistung kostenlos erbracht. Sollte die Prüfung aber aufwändig werden, so kann ein kostenpflichtiger Vertrag nötig werden, um die Abarbeitung zu ermöglichen.

Vertrag

Verträge können für die Nutzung eines Containers oder die Prüfung und Ausführung eines Tickets abgeschlossen werden.

Bei der Erstellung eines Containers (Box oder Gruppe) wird zunächst ein nicht-kostenpflichtiger Vertrag abgeschlossen, der ggf. durch einen kostenpflichtigen Vertrag abgelöst werden kann.

Bei einem Container-Vertrag (für Box oder Gruppe) handelt es sich immer um einen befristeten Vertrag, der jedoch durch Einzahlung von Guthaben, Abgabe oder Annahme von Guthaben sowie Upgrade und Downgrade des Speicherkontingents in seiner Laufzeit immer wieder verändert werden kann. Für die Verlängerung der Laufzeit ist jedoch in der Regel die Akzeptanz der jeweils aktuellen AGB erforderlich.

Tickets werden wenn möglich als Kulanzleistung kostenlos erbracht. Sollte die Prüfung aber aufwändig werden, so kann ein kostenpflichtiger Vertrag nötig werden, um die Abarbeitung zu ermöglichen.

Virtuelle Aus- und Einzahlung

Ein Verfahren, um die Übertragung von Guthaben zwischen verschiedenen Containern zu ermöglichen. Es erlaubt auch die Umwandlung des Kund*innentyps für einen Container und den Umzug der Kund*in in anderes Land. Auch die Änderung der Mehrwertsteuer wird über dieses Verfahren behandelt.

Im Normalfall wird die Nutzung von Containern über Nettoguthaben abgerechnet. Lediglich bei Einzahlung, Rückzahlung und in den oben Ausnahmefällen wird zwischen Nettoguthaben und einem Ein- oder Auszahlungsbetrag umgerechnet. Siehe auch Übertragungswert.

Virtuelle Aus- und Einzahlung

Ein Verfahren, um die Übertragung von Guthaben zwischen verschiedenen Containern zu ermöglichen. Es erlaubt auch die Umwandlung des Kund*innentyps für einen Container und den Umzug der Kund*in in anderes Land. Auch die Änderung der Mehrwertsteuer wird über dieses Verfahren behandelt.

Im Normalfall wird die Nutzung von Containern über Nettoguthaben abgerechnet. Lediglich bei Einzahlung, Rückzahlung und in den oben Ausnahmefällen wird zwischen Nettoguthaben und einem Ein- oder Auszahlungsbetrag umgerechnet. Siehe auch Übertragungswert.

Zero-Knowledge+

Mit "Zero-Knowledge+" bezeichnen wir unsere Weiterentwicklung der von anderen Onlne-Passwortmanagern als "Zero-Knowlege-Server" bezeichneten Vorgehensweise. Wir wollen damit deutlich machen, dass im Ergebnis ein Mehr an Sicherheit herauskommt, auch wenn wir vom strikten Nullwissen des Servers (das es in Wahrheit auch bei sogenannten "Zero-Knowledge-Servern" in aller Regel nicht gibt) abrücken und stattdessen einen "Cautiously Knowing Service" präsentieren.

Zero-Knowledge+

Mit "Zero-Knowledge+" bezeichnen wir unsere Weiterentwicklung der von anderen Onlne-Passwortmanagern als "Zero-Knowlege-Server" bezeichneten Vorgehensweise. Wir wollen damit deutlich machen, dass im Ergebnis ein Mehr an Sicherheit herauskommt, auch wenn wir vom strikten Nullwissen des Servers (das es in Wahrheit auch bei sogenannten "Zero-Knowledge-Servern" in aller Regel nicht gibt) abrücken und stattdessen einen "Cautiously Knowing Service" präsentieren.

Zero-Knowledge-Server

Der Marketing-Begriff "Zero-Knowledge-Server" wird von vielen Online-Passwortmanagern verwendet und bedeutet, dass der Server freiwillig den Hauptschlüssel, Einzelschlüssel und die Klartexte der Geheimnisse nicht kennt. Insbesondere kennt der Server das Hauptkennwort nicht.

Der Begriff kann irreführend sein: Auch ein "Zero-Knowledge-Server" weiß in der Regel nicht "nichts". Meist ist die Angabe einer E-Mail-Adresse obligatorisch (wenn auch nicht bei key.matiq). Einzahlungen enthalten evtl. Daten über die Bankverbindung. Zumindest kurzzeitig weiß jeder Server die IP-Adresse des Clients (solange letzerer nicht das Tor-Netzwerk benutzt). Er sollte auch nicht mit dem wissenschaftlichen Begriff "Zero-Knowledge-Proof" verwechselt werden.

Bei einigen wichtigen Funktionen (Malwarescan von geteilten Dateien aber auch bei der Suchfunktion) ist die Restriktion auf Nullwissen kontraproduktiv, weshalb hier Ausnahmen, über die allerdings die Benutzer*in entscheiden müsste, sinnvoll sind. Deshalb haben wir das Konzept unter dem neuen Begriff "Cautiously Knowing Service" weiterentwickelt. Als griffige Bezeichnung verwenden wir dafür "Zero-Knowledge+"

Zero-Knowledge-Server

Der Marketing-Begriff "Zero-Knowledge-Server" wird von vielen Online-Passwortmanagern verwendet und bedeutet, dass der Server freiwillig den Hauptschlüssel, Einzelschlüssel und die Klartexte der Geheimnisse nicht kennt. Insbesondere kennt der Server das Hauptkennwort nicht.

Der Begriff kann irreführend sein: Auch ein "Zero-Knowledge-Server" weiß in der Regel nicht "nichts". Meist ist die Angabe einer E-Mail-Adresse obligatorisch (wenn auch nicht bei key.matiq). Einzahlungen enthalten evtl. Daten über die Bankverbindung. Zumindest kurzzeitig weiß jeder Server die IP-Adresse des Clients (solange letzerer nicht das Tor-Netzwerk benutzt). Er sollte auch nicht mit dem wissenschaftlichen Begriff "Zero-Knowledge-Proof" verwechselt werden.

Bei einigen wichtigen Funktionen (Malwarescan von geteilten Dateien aber auch bei der Suchfunktion) ist die Restriktion auf Nullwissen kontraproduktiv, weshalb hier Ausnahmen, über die allerdings die Benutzer*in entscheiden müsste, sinnvoll sind. Deshalb haben wir das Konzept unter dem neuen Begriff "Cautiously Knowing Service" weiterentwickelt. Als griffige Bezeichnung verwenden wir dafür "Zero-Knowledge+"

Zwei-Faktor-Authentisierung

Bei key.matiq ist der erste Faktor das auswendig gelernte und/oder im Browser (über ein Hauptpasswort sicher) gespeicherte Hauptkennwort. Der zweite Faktor ist im Regelfall der unaufdringliche Nachweis über ein Cookie, dass das anmeldende Gerät der Box-Eigentümer*in gehört. Im Ausnahmefall dient ein Anmeldeschlüssel als zweiter Faktor.

Da die Überprüfung des Cookies automatisch erfolgen kann, ist diese Art der Zwei-Faktor-Authensierung vergleichsweise unaufdringlich und erfordert nur bei Einrichtung, neuen Geräten, Sperrung oder Aussperrung einen jeweils so gering wie möglich gehaltenen Aufwand.

Wir unterscheiden zwischen der "starken Zwei-Faktor-Authentisierung" und der "schwachen" Variante. Die "starke" Variante gibt Anmeldeschlüssel nur über sichere Kanäle heraus, die "schwache" versendet dagegen unter bestimmten Bedingungen auch Anmelschlüssel per E-Mail.

Zwei-Faktor-Authentisierung

Bei key.matiq ist der erste Faktor das auswendig gelernte und/oder im Browser (über ein Hauptpasswort sicher) gespeicherte Hauptkennwort. Der zweite Faktor ist im Regelfall der unaufdringliche Nachweis über ein Cookie, dass das anmeldende Gerät der Box-Eigentümer*in gehört. Im Ausnahmefall dient ein Anmeldeschlüssel als zweiter Faktor.

Da die Überprüfung des Cookies automatisch erfolgen kann, ist diese Art der Zwei-Faktor-Authensierung vergleichsweise unaufdringlich und erfordert nur bei Einrichtung, neuen Geräten, Sperrung oder Aussperrung einen jeweils so gering wie möglich gehaltenen Aufwand.

Wir unterscheiden zwischen der "starken Zwei-Faktor-Authentisierung" und der "schwachen" Variante. Die "starke" Variante gibt Anmeldeschlüssel nur über sichere Kanäle heraus, die "schwache" versendet dagegen unter bestimmten Bedingungen auch Anmelschlüssel per E-Mail.

*) Hinweise zu Marken Drit­ter:

"Wikipedia" ist eine eingetragene Marke der Wikimedia Foundation Inc.