1Kann man mehrere Dateien gleichzeitig verschlüsseln?
Ja!
Ziehen Sie die gewünschten Dateien aus dem Dateimanager oder vom Desktop aus auf den Safe in die Nähe des Passwortfeldes.
ArchiCrypt Passwort Safe komprimiert die Dateien und verschlüsselt sie mit dem Passwort des aktiven Passwort Safe Eintrags. Als Resultat erhalten Sie eine Datei mit der Dateiendung aef.
2Welche Verschlüsselung kommt zum Einsatz
Die Daten werden mit AES (Advanced Encryption Standard) in der 256 BIT Version verschlüsselt. AES wird im so genannten CBC Modus (Cipher Block Chaining) betrieben. Dadurch werden Klartextmuster zerstört und identische Klartextblöcke werden in unterschiedliche Geheimtextblöcke transformiert.
3Wie wird der Passworteintrag verwendet um die Daten zu verschlüsseln?
ArchiCrypt Passwort Safe verwendet das Passwort im Safe nicht direkt als Schlüssel, sondern verwendet eine Schlüsselableitungsfunktion (PBKDF2). In diese Funktion geht ein für jede Dateiverschlüsselung gesondert erzeugter SALT Wert (SALT1) ein. Die Funktion selbst erzeugt aus diesen Daten den Schlüssel (abgeleiteter Nutzerschlüssel), mit dem die Daten verschlüsselt werden.
4Wie erkennt der Passwort Safe, ob ein Passwort korrekt ist?
Die Sorge vieler Anwender: Ein Programm muss das korrekte Passwort kennen, um zu beurteilen, ob ein eingegebenes Passwort richtig ist.
Falsch!
Man muss nur einen speziellen Prüfwert kennen, um mit extrem hoher Wahrscheinlichkeit sagen zu können, ob ein Passwort korrekt ist.
Der Passwort Safe setzt hierfür eine s.g. MGF (Mask Generation Function) ein. Dazu wird das bereits abgeleitete Passwort mit einem neuen Salt Wert (SALT2) nochmals abgeleitet. Dieser neue Wert wird jetzt an die MGF Funktion gereicht, die einen 16 Byte langen Prüfwert mittels SHA512 (Secure Hash Algorithm) berechnet. Dieser Wert wird zusammen mit dem SALT2 Wert am Anfang der verschlüsselten Daten abgelegt.
Insgesamt kann man sich den Aufbau des verschlüsselten Pakets jetzt so vorstellen:
KENNUNG|SAL1|SALT2|16Byte_Prüfwert|Verschlüsselte_Daten
Durch dieses Verfahren sind keinerlei Rückschlüsse auf den verwendeten Schlüssel möglich. SALT1 und SALT2 sind nicht geheimhaltungswürdig!
Beim Entschlüsseln geschieht jetzt Folgendes:
Der Passwort Safe liest die Werte SALT1, SALT2 und 16 Byte_Prüfwert aus der Datei aus. Jetz wird das vom Anwender angegebene Passwort (oder das aus dem entsprechenden Safeeintrag) zusammen mit dem SALT1 Wert in die Ableitungsfunkion geschickt. Das Ergebnis wird zusammen mit dem SALT2 Wert erneut abgeleitet. Das Resultat dieser zweiten Ableitung wird an die MGF Funktion geschickt um einen Prüfwert zu erhalten. Im letzten Schritt wird der berechnete Prüfwert mit dem ausgelesenen Prüfwert verglichen. Stimmen die Daten überein, ist das eingegebene Passwort mit hoher Wahrscheinlichkeit korrekt und die Daten werden mit dem abgeleiteten Passwort.
5Wie erkennt ArchiCrypt Passwort Safe beim Entschlüsseln, welches Passwort verwendet werden muss?
Wenn Sie eine verschlüsselte Datei auf den Passwort Safe ziehen, in dem sich der Eintrag befindet, mit dem verschlüsselt wurde, dann erkennt das Programm automatisch den richtigen Eintrag. Wie ist das möglich?
Beim Erstellen eines Passwort Safes wird eine s.g. GUID (global unique ID) erstellt. Eine GUID sieht etwa so aus: BC1F646D-D524-43BC-8189-979A47246446. Das ist dann eine eindeutige Seriennummer für Ihren Passwortsafe. Das gleiche wird für jeden einzelnen Eintrag im Safe gemacht. Mit zwei GUID Werten ist also jeder Safeeintrag absolut eindeutig identifizierbar. Beim Erzeugen eines verschlüsselten Pakets werden diese beiden GUIDs an den Anfang der Datei geschrieben.
Beim Ablegen der Daten auf dem Passwort Safe werden diese Daten ausgelesen und es wird geprüft ob der Passwort Safe eine GUID hat, die mit der ersten ausgelesenen GUID übereinstimmt und, ob es einen Eintrag mit der zweiten GUID gibt. Falls ja, wird geprüft, ob das Passwort korrekt ist.
Anmerkung: GUIDs werden ausschließlich zur Identifikation von Einträgen und nicht etwa als Parameter für kryptografische Funktionen verwendet.