Versiegelung
Wenn man Geheimnisse jemandem nur präventiv mitteilen möchte, die Empfänger*in diese jetzt noch gar nicht wissen muss, dann kann man dies versiegelt tun.
Erst wenn der Notfall eintritt, setzt die Empfänger*in bei dem Geheimnis den Haken bei "Siegel brechen" und setzt damit einen Prozess in Gang: Die Sender*in wird benachrichtigt und kann innerhalb einer von ihr bestimmten Karenzzeit (zwischen einem Tag und 366 Tagen, bei einer Probebox nur bis zu 31 Tagen) den Siegelbruch entweder sofort akzeptieren oder zurückweisen oder weiter abwarten. Weist sie den Bruch weder zurück, noch dass sie ihn akzeptiert, ist nach Ablauf der Karenzzeit die Versiegelung aufgehoben und die Empfänger*in kann den Inhalt sehen.
Solange die Versiegelung besteht, ist empfängsseitig das automatische Update angeschaltet und kann nicht abgeschaltet werden.
Wird senderseitig das Geheimnis gelöscht, kommt es zunächst darauf an, ob die Sender*in angegeben hat, ob es empfangsseitig behalten werden soll (siehe vorhergehender Abschnitt). Soll es behalten werden (Voreinstellung), so wird der Siegelbruch automatisch eingeleitet, die Karenzzeit muss allerdings von der Empfänger*in noch abgewartet werden.
Die Sender*in ist, solange sie noch über das Geheimnis verfügt, jedoch jederzeit in der Lage, die Versiegelung für die Empfänger* aufzuheben, indem sie bei den Einstellungen den Haken dafür entfernt und neu überträgt.
Entfernung einer Empfänger*in aus dem Verteiler
Entfernt die Sender*in eines versiegelten Geheimnisses eine Empfänger*in aus dem Verteiler und überträgt neu, wird das Geheimnis bei der Empfänger*in gelöscht.
Versiegelung mit mehreren Empfänger*innen
Sind mehrere Empfänger*innen angegeben, so wird der Siegelbruch jeweils nur für diejenige ausgeführt, die den Siegelbruch beantragt hat. Natürlich können auch mehrere parallel den Siegelbruch beantragen. Dann betrifft die Entscheidung der Sender*in, diesen zu erlauben bzw. zurückzuweisen alle Empfänger*innen, die ihn beantragt haben.
Versiegelte Geheimnisse in Backups
In Backups sind versiegelte Geheimnisse nicht nur mit dem Hauptkennwort der Box-Eigentümer*in, sondern noch zusätzlich mit einem Siegelschlüssel, der in der Datenbank verbleibt, verschlüsselt, so dass die Empfänger*in keine Chance hat, über Backups vorzeitig an die Inhalte des versiegelten Geheimnisses zu kommen.
Das ist nötig, da ja die Sender*in des Versiegelten Geheimnisses, einen Siegelbruch innerhalb der Karenzzent verhindern können soll.
Wird ein Backup (Momentaufnahme) direkt von key.matiq importiert, ist dies kein Problem, da die Siegelschlüssel mindestens genauso lange gehalten werden, wie Backups. Allerdings verfallen Siegelschlüssel (und werden durch neue ersetzt), wenn ein Geheimnis inhaltlich verändert wurde oder der Verteiler reduziert wurde. In diesem Fall sollte es aber möglich sein, ein neueres Backup zu finden, das dem momentanen Siegelschlüssel entspricht, solange man nicht selbst von dem Verteiler ausgeschlossen wurde.
Wird ein Backup jedoch heruntergeladen und später wieder für den Import wieder hochgeladen, kann es sein, dass der Siegelschlüssel auf dem key.matiq-System nicht mehr vorhanden ist. Siegelschlüssel verfallen, wenn ein Siegel aufgehoben wurde nach drei bzw. zwölf Monaten. (Drei Monate sind die Frist, wenn das Geheimnis zwischen zwei Probe-Boxen ausgetauscht wurde. Sonst sind es zwölf Monate.)
Daher sollten Sie: Versiegelte Geheimnisse nicht über offline gespeicherte Backups sichern, sondern immer online halten. Sollten Sie versehentlich ein solches Geheimnis gelöscht haben, importieren Sie gleich die letzte Momentaufnahme vor dem Löschen und verschieben Sie das Geheimnis aus dem Import-Ordner in einen regulären Ordner.
Überprüfung der Übertragung
Bei versiegelten Geheimnissen sollten Sie bei jeder Änderung überprüfen, ob die Übertragung fehlerfrei gelaufen ist. Schließlich ist es möglich, dass eine Empfangsbox das Speicherkontingent überschritten hat. In diesem Fall kann auch die Ersetzung eines empfangenen Geheimnisses durch ein gleich großes abgelehnt werden. Es wäre fatal, wenn im Ernstfall der Siegelbruch nicht mehr möglich sein sollte. Wenn bei versiegelten Geheimnissen nicht die Übertragung an alle Empfänger*innen gelaufen ist, so wird die Statusanzeige beim gesendeten Geheimnis unter dem Reiter "Allgemein" gelb unterlegt und das Geheimnis im Baum-Bereich durch Fettschreibung hevorgehoben.
Wenn Sie ein versiegeltes Geheimnis ändern, aber sichergehen wollen, dass die Empfänger*innen im Fehlerfall wenigstens die bisherige Version behalten, so sollten Sie das zu sendende Geheimnis
- zunächst duplizieren,
- dann das Duplikat senden und,
- nur wenn dies erfolgreich war,
- beim Original die Option "Übertragene Geheimnisse beim Löschen bestehen lassen" abschalten und das speichern und
- schließlich das Original löschen.
Nicht ganz so klar ist der Weg, wenn Sie das Hauptkennwort über ein versiegeltes Geheimnis übertragen und dabei den Baustein oder die allgemeine Vorlage "Hauptkennwort" nutzen. Hier wird bei jeder Änderung des Hauptkennworts dieses auch bei den Empfänger*innen automatisch aktualisiert. Das Behalten des alten Hauptkennworts bei der Empfänger*in macht dabei keinen Sinn, denn es ist ja nicht mehr gültig.
Aber was, wenn diese Übertragung daneben geht? Sie könnten natürlich einfach die Änderung des Hauptkennworts rückgängig machen. Aber auch das ist nicht immer die Lösung, denn bei mehreren Empfänger*innen ist es möglich, dass beim ersten Mal die Übertragung zum ersten und beim zweitem Mal die zum zweiten abbricht.
Und zumindest theoretisch ist auch möglich: Bevor Sie einen neuen Versuch starten oder sich mit den Empfänger*innen in Verbindung setzen können, werden Sie von irgendetwas abgelenkt, unternehmen vielleicht noch eine Autofahrt und dann passiert ein Unfall ... Und es trifft genau das ein, was Sie mit dem versiegelten Geheimnis verhindern wollten. (Allerdings immer noch mit stark reduzierter Wahrscheinlichkeit.)
Der sicherste Weg, um auch dieses Risiko auszuschließen, dürfte sein:
- Sie teilen über ein neu erstelltes versiegeltes Geheimnis allen Empfänger*innen vor dem Kennwort-Wechsel Ihr vorhaben mit, in dem Sie das alte (noch gültige) und neue Kennwort angeben (in verschlüsselten Feldern).
- Wenn die Übertragung erfolgreich war, ändern Sie nun das Hauptkennwort.
- Als letzten Schritt schalten Sie bei der vorherigen versiegelten Mitteilung die Option "Übertragene Geheimnisse beim Löschen bestehen lassen" ab, speichern das so und löschen dann diese Mitteilung.
Sollten Sie nun zu dem letzten Schritt oder den beiden letzten Schritten nicht mehr gekommen sein, so finden Ihre "Erb*innen" im Fall des Siegelbruchs zumindest genügend Informationen, um entweder mit dem alten oder neuen Kennwort in Ihre Box zu kommen.