Eine Ende-zu-Ende-Verschlüsselung für über den Browser geteilte Dateien: Das deutsche Startup Boxcryptor will das mit dem neuen Dienst Whisply bald anbieten.
Mit dem neuen Dienst Whisply können Dateien vor dem Upload zu verschiedenen Cloud-Providern verschlüsselt und dann per Link an Freunde und Bekannte verteilt werden. Das deutsche Startup Boxcryptor hat uns auf der RSA-Konferenz in San Francisco eine Vorabversion demonstriert. Boxcryptor ermöglicht es bereits seit einigen Jahren, Dateien bei Cloud-Providern mit einer Ende-zu-Ende-Verschlüsselung zu schützen. Für den neuen Dienst nutzt das Boxcryptor-Team in modernen Browsern die Webcrypto-API. Lediglich bei älteren Browsern wird auf die ältere Stanford-Javascript-Crypto-Library zurückgegriffen. Die Dateien werden mit einem 256-Bit-AES-Schlüssel verschlüsselt. AES läuft dabei im CBC-Modus. "Wir wollen das Teilen verschlüsselter Dateien so einfach und sicher wie möglich machen", sagte Geschäftsführerin Andrea Pfundmeier im Gespräch mit Golem.de. Der Dienst befinde sich derzeit noch in einer Early-Access-Version. "Wir planen einen breiten Launch irgendwann im zweiten Quartal."
Nutzer können sich entscheiden, nur den Link ohne weitere Sicherungsmaßnahmen zu teilen, eine vierstellige PIN oder ein Passwort zu wählen, das dem Kommunikationspartner möglichst über einen alternativen Kanal, etwa per SMS, mitgeteilt werden sollte. Das Passwort wird vor der Übermittlung mit dem PBKDF2-SHA512-Algorithmus mit 10.000 Iterationen gehasht und gesalzen. Boxcryptor versichert, dass das Team zu keinem Zeitpunkt Zugriff auf die Schlüssel hat, Whisply also ein Zero-Knowledge-Dienst wird.
Im technischen Hintergrundpapier wird erwähnt, dass es zurzeit noch ein Limit von etwa 12 MByte gibt - das liege an Beschränkungen der Browser. In Zukunft soll es aber auch möglich sein, größere Dateien hochzuladen und zu verteilen. Boxcryptor bietet selbst keinen Cloud-Speicherplatz an, sondern integriert sich in Angebote wie Dropbox, Google Drive oder Onedrive.
Boxcryptor weist selbst darauf hin, dass eine auf dem Rechner installierte Verschlüsselungslösung in der Regel mehr Sicherheit bieten wird als ein browserbasierter Dienst. Doch der sichere Austausch von Dateien dürfte mit dieser Methode deutlich praxistauglicher sein, als dem Kommunikationspartner eine PGP-Verschlüsselung für E-Mails einzurichten.