Sicherheitsexperten untersuchten Boxcryptor
PSW Group: Cloud-Verschlüsselungssoftware hat an Sicherheit zugelegt
Die Cloud findet im privaten wie auch im geschäftlichen Umfeld immer mehr Anwendung. Die Sicherheit der Cloudanbieter fällt jedoch unterschiedlich aus. Meist können Dritte zwar keine Einsicht in abgelegte Dokumente nehmen, der Anbieter könnte allerdings darauf zugreifen. Der in Augsburg sitzende Anbieter von Boxcryptor, die Secomba, hat sich nach eigenen Angaben zum Ziel gesetzt, die Datensicherheit der Cloud und das Vertrauen darin auf einfachem Wege zu erhöhen. Die Security-Experten der PSW Group haben die Boxcryptor-Verschlüsselungssoftware getestet, wie sie in einer Mitteilung bekannt gemacht haben.
Bereits seit 2011 auf dem Markt, ist kürzlich mit Boxcryptor 2.0 ein Update der Verschlüsselungssoftware für Cloudsysteme erschienen. Schon in der ersten Version konnte die Software laut PSW mit vielfältigen Funktionen und einer hohen Sicherheit überzeugen. In puncto Sicherheit soll Boxcryptor 2.0 jedoch weiter zugelegt haben. Grund, für die IT-Sicherheitsexperten der PSW Group, sich die Software in puncto Verschlüsselung, Sicherheit und Vertrauen genauer anzusehen. Das Urteil fällt gut aus, so PSW. "Boxcryptor ist eine Closed-Source-Software, die sich nur soweit beurteilen lässt, wie der Anbieter Informationen preisgibt. Das Krypto-Konzept scheint uns allerdings ausgereift zu sein, dank der eingesetzten Verschlüsselungsstandards dürfte das Konzept auch Entschlüsselungsversuchen von Hackern oder gar Geheimdiensten standhalten", so das Fazit von Patrycja Tulinska, Geschäftsführerin der PSW Group.
Sie ergänzt: "Sensible Informationen sowie persönliche Daten sind verschlüsselt, bevor sie gespeichert werden. Der Datenbankschlüssel fungiert als Session Key. Das heißt nur während der Laufzeit ist der Datenbankschlüssel für die Anwendung verfügbar. Selbst wenn Angreifer also auf die Datenbank zugreifen könnten, würden sie nur auf verschlüsselte Daten zugreifen."
Boxcryptor 2.0 lässt sich für zahlreiche Cloudanbieter auf vielen Gerätetypen nutzen. Schon mit der Gratis-Version können Privatpersonen Dateien in der Cloud sicher verschlüsseln, so PSW. Wegen der fast intuitiven Bedienung gelängen Installation und Konfiguration denkbar einfach. Businesskunden können selbst im Team oder direkt beim Kunden mit verschlüsselten Dateien arbeiten. Tiefgreifende Kenntnisse der Kryptografie seien nicht nötig.
Boxcryptor hat laut PSW einen kombinierten Verschlüsselungsprozess implementiert, der auf RSA und AES aufbaut. Es nutzt AES als Verschlüsselungsalgorithmus zum Verschlüsseln von Dateien und RSA zum Verwalten dieser Schlüssel. "Und da geht Sicherheit fast nicht besser. Daten werden von der Software zunächst standardmäßig AES-256-verschlüsselt. Der AES-Schlüssel wird zum Entschlüsseln der Datei an selbige angehängt. Genau dieses Dateianhängsel wird nun mittels RSA verschlüsselt. Erst nach dem Verschlüsselungsprozess lädt Boxcryptor die Datei in die jeweilige Cloud, wo sie von zu synchronisierenden Geräten genauso abgeholt werden kann wie von autorisierten Nutzern", erläutert Tulinska. Die Entschlüsselung finde erst auf dem jeweiligen Client statt. Der private Schlüssel werde benötigt, um den verschlüsselten Schlüssel wieder zu entschlüsseln.
Der Boxcryptor-Server ordnet den öffentlichen Schlüssel einem bestimmten Nutzer zu. Der Server beherbergt die öffentlichen und die privaten Schlüssel der Boxcryptor-Nutzer, die wiederum mit dem privaten Schlüssel eines Nutzers verschlüsselt sind. Diesen privaten Schlüssel kennt ausschließlich der Nutzer, er ist lokal auf seinem Rechner abgespeichert. Dies ist der sogenannte Zero-Knowledge-Ansatz: Der Anbieter hat damit weder Zugriff auf gespeicherte Daten noch auf die Passwörter seiner Nutzer. "Hier kommt dem Nutzerpasswort, das den privaten Schlüssel eines Nutzers verschlüsselt eine bedeutende Rolle zu", so Tulinska. "Da dieses Passwort nirgends abgespeichert und der Login lediglich mit einem Hash des Passworts ausgeführt ist, ist es wichtig, dass User dieses Passwort nie verlieren sollten." Es lasse sich weder zurücksetzen noch lassen sich die verschlüsselten Daten anderweitig wiederherstellen.
Boxcryptor ist keine quelloffene Software, weshalb sich der Programmcode weder auf Sicherheitslücken noch auf Hintertüren überprüfen lässt. "Dass das Unternehmen weder die Inhalte von verschlüsselten Daten noch Benutzerpasswörter kennt, ist die eine Seite. Die andere jedoch besteht aus zahlreichen Stamm- und Metadaten mit Nutzerbezug. So fallen beispielsweise IP-Adressen von den genutzten Geräten an. Deshalb lässt sich eine vollständig anonymisierte Datensynchronisation auch mit Boxcryptor nicht realisieren", gibt die IT-Sicherheitsexpertin zu bedenken.
Mehr Informationen stehen unter www.psw-group.de/blog/boxcryptor-version-2-0-legt-an-sicherheit-zu/7281 zur Verfügung.
Lesen Sie mehr zum Thema
