Kryptografie-Übersicht
Sicherheit ist in jede Entwicklungsphase integriert — von der ersten Idee bis zur finalen Veröffentlichung. Dieser Abschnitt beschreibt das kryptografische Modell, die Algorithmen und Datenschutzmechanismen, die Passwork zum Vertrauenspartner tausender Unternehmen weltweit machen.
Für wen dieser Abschnitt bestimmt ist
- Informationssicherheitsspezialisten — für Audits und Compliance-Bewertungen
- Technische Entscheidungsträger — zur Bewertung des Produkts vor der Bereitstellung
- Administratoren — zum Verständnis der Systemfunktionsweise und Konfiguration
Wie wir sichere Software entwickeln
| Praxis | Beschreibung |
|---|---|
| Security Champions | OWASP-Schulungen und Bedrohungsmodellierung in jedem Entwicklungsteam |
| DevSecOps-Ansatz | Statische und dynamische Analyse, SCA, IaC-Scanner in jedem Build integriert |
| Mehrstufige Überprüfung | Keine direkten Pushes zum Hauptbranch, obligatorische Sicherheits-Code-Reviews |
| Externe Audits | Jährliche Penetrationstests und Sicherheitsaudits durch unabhängige Experten |
Standards und Validierung
- ISO 27001 zertifiziert — alle Entwicklungs- und Infrastrukturpraktiken erfüllen höchste Sicherheitsstandards
- Getestet von HackerOne — unabhängige Sicherheitsbewertungen durch ethische Hacker
- DSGVO-konform — vollständige Einhaltung der europäischen Datenschutzverordnungen
Zero-Knowledge-Architektur
Passwork basiert auf dem Zero-Knowledge-Prinzip: Der Server verfügt nicht über ausreichend Informationen, um Benutzerdaten zu entschlüsseln. Weder Serveradministratoren noch technisches Personal können auf Ihre Passwörter zugreifen — selbst wenn sie es wollten.
- Das Masterpasswort verlässt niemals das Gerät des Benutzers
- Alle kryptografischen Schlüssel werden auf dem Client generiert
- Der Server speichert nur verschlüsselte Daten und verschlüsselte Schlüssel
- Die Entschlüsselung ist nur auf der Client-Seite möglich
Diese Architektur stellt sicher, dass Ihre Passwörter niemals Ihre Infrastruktur verlassen, was Passwork zum Vertrauenspartner von Regierungsbehörden und stark regulierten Organisationen in ganz Europa macht.
Zweistufiger Schutz
Passwork wendet zwei Verschlüsselungsebenen an:
| Ebene | Ausführungsort | Schlüssel | Wann aktiv |
|---|---|---|---|
| Client-seitige Verschlüsselung | Browser / App | Benutzerschlüssel | Wenn CSE aktiviert ist |
| Server-seitige Verschlüsselung | Server | Serverschlüssel | Immer |
Selbst bei deaktivierter Client-seitiger Verschlüsselung sind die Daten durch Server-seitige Verschlüsselung mit AES-256 geschützt.
Verwendete Algorithmen
| Zweck | Algorithmus | Parameter |
|---|---|---|
| Schlüsselableitung aus Passwort | PBKDF2 | SHA-256, 300K Iterationen |
| Symmetrische Verschlüsselung (Server) | AES-256-CFB | OpenSSL |
| Symmetrische Verschlüsselung (Client) | AES-256-CBC | + Base32-Kodierung |
| Asymmetrische Verschlüsselung | RSA-OAEP | 2048 Bit, SHA-256 |
| Hashing | SHA-256, SHA-512 | — |
Abschnittsstruktur
Grundlagen
- Glossar — Definitionen: Masterpasswort, Masterschlüssel, Tresor, Eintrag, Schlüssel
- Datenmodell — Objekthierarchie und Beziehung zu kryptografischen Schlüsseln
Verschlüsselung
- Verschlüsselungsumfang — welche Felder auf dem Client, welche auf dem Server verschlüsselt werden
- Schlüsselhierarchie — Schlüsselkette vom Masterpasswort bis zu Anlagenschlüsseln
- Kryptografische Algorithmen — Spezifikationen für PBKDF2, AES, RSA
Prozesse
- Authentifizierung — Masterpasswort-Überprüfung und Zugangs-Workflow
- Lokaler Speicher — Speicherung des Masterschlüssels im Browser
- Eintrag teilen — Internes Teilen und externe Links
Infrastruktur
- Server-seitige Verschlüsselung — AES-256-CFB, Schlüsselverwaltung, Rotation
- Sitzungs-Token — Access Token, Refresh Token, CSRF-Schutz
Übersicht der Verschlüsselungskette
Client-Seite:
- Masterpasswort (vom Benutzer eingegeben) → PBKDF2 (300K Iterationen) →
- Masterschlüssel (512 Bit) → AES-256-CBC →
- Privater RSA-Schlüssel (2048 Bit) → RSA-OAEP (WebCrypto) →
- Tresorschlüssel (256 Bit) → AES-256-CBC →
- Eintragschlüssel (256 Bit) → AES-256-CBC →
- Eintragsdaten (Passwörter, Geheimnisse, Dateien — verschlüsselt)
Server-Seite:
- Serverschlüssel (256 Bit, OpenSSL) → AES-256-CFB →
- Datenbank (doppelte Verschlüsselung)
Was auf dem Client verschlüsselt wird
Nicht alle Daten werden auf dem Client verschlüsselt — einige Felder sind nur durch Server-seitige Verschlüsselung geschützt, um Such- und Sortierfunktionen zu ermöglichen.
Detaillierte Informationen zur Verschlüsselung jedes Feldes finden Sie im Abschnitt Verschlüsselungsumfang.
Schlüsselparameter
| Parameter | Wert |
|---|---|
| RSA-Schlüssel | 2048 Bit |
| AES-Schlüssel | 256 Bit |
| PBKDF2-Iterationen (Client) | 300.000 |
| PBKDF2-Iterationen (Server) | 600.000 |
| Access-Token-Entropie | 256 Bit |
| Link-Token-Entropie | 256 Bit |
| Tresorschlüssel-Entropie | ~596 Bit |
Einhaltung von Industriestandards
| Parameter | Passwork | NIST-Empfehlungen (2024) | Status |
|---|---|---|---|
| Symmetrische Verschlüsselung | AES-256 | AES-128/192/256 | ✓ |
| Asymmetrische Verschlüsselung | RSA-2048 | RSA-2048+ | ✓ |
| Hashing | SHA-256/512 | SHA-2-Familie | ✓ |
| PBKDF2-Iterationen | 300K/600K | ≥310K (SHA-256) | ✓ |
| Zufallszahlengenerator | CSPRNG | CSPRNG | ✓ |