Geheimagent müsste man sein!
In den Mission Impossible-Filmen erhält der von Tom Cruise verkörperte Ethan Hunt einen streng geheimen Auftrag, der sich nach dessen Anhören selbst zerstört (Szene auf Youtube ansehen).
Eine solche Möglichkeit der sich selbst-zerstörenden Nachrichten sollte es auch in der Realität geben, für den Austausch von vertraulichen Informationen.
Und diese Möglichkeit gibt es tatsächlich – in Form von One-Time secret-Diensten.
Inhaltsverzeichnis
- So funktionieren One-Time Secret-Dienste
- Vergleich verschiedener One-Time Secret-Dienste
- Wichtiger Hinweis für One-Time Secret-Dienste
- FlashPaper verwenden
- Betreibe FlashPaper auf deinem eigenen Server
So funktionieren One-Time Secret-Dienste
Die Idee hinter One-Time Secret-Diensten lautet:
- Der Absender gibt eine vertrauliche Information in einem One-Time Secret-Dienst ein. Darauf erhält der Absender einen zufällig generierter Link.
- Der Absender schickt diesen Link an den Empfänger.
- Der Empfänger öffnet diesen Link, und wird gefragt, ob die vertrauliche Information jetzt angezeigt werden soll. Das erfolgt auch im Falle der Bestätigung.
- Gemeinsam mit der Anzeige wird der zufällig generierte Link im One-Time Secret-Dienst zerstört. Ruft jemand diesen Link nochmals auf, erscheint nur eine Fehlermeldung.
Die Nachricht hat sich bereits selbst zerstört. Mission: accomplished.
Der große Vorteil liegen dabei auf der Hand: Die vertrauliche Information wird nur genau einmal angezeigt.
Außerdem gibt es einen weiteren Sicherheitsaspekt: Wenn am Weg zum Empfänger jemand Unbefugter den Link geöffnet hat bzw. sich die vertrauliche Information anzeigen hat lassen, ist der Link bereits zerstört.
Der eigentlich vorgesehene Empfänger kann die vertrauliche Information nicht mehr anzeigen lassen – und kann damit den Absender informieren, dass die geheime Information in fremde Hände gelangt ist. Genial!
Vergleich verschiedener One-Time Secret-Dienste
Es gibt eine Vielzahl solcher One-Time Secret-Dienste, und ich habe mehrere evaluiert:
- onetimesecret.com
Das Original, woraus wohl auch der Gattungsname entstanden ist. Die Oberfläche wirkt etwas altbacken, funktioniert aber tadellos. - YoPass.se
Moderne Oberfläche mit vielen Optionen (u.a. zeitgesteuerte Selbstzerstörung, oder auch kleine Uploads). Kann etwas kompliziert wirken. - FlashPaper.io
Sehr einfach gehaltene Oberfläche, mit genau der einen Funktion, die es zu erfüllen gilt. Diesen One-Time Secret-Dienst stelle ich in diesem Tech-Blog-Posting nun auch weiter vor.
Wichtiger Hinweis für One-Time Secret-Dienste
Ein wichtiger Hinweis vorweg: Teile mit One-Time Secret-Diensten immer nur die geringstmögliche Information.
So ist zwar das Konzept von solchen Diensten, dass vertrauliche Informationen über unsichere Medien (z. B. E-Mail oder Chat-Dienste) auf sichere Art und Weise verschickt werden können, aber man teilt diese vertrauliche Information eben auch mit dem Betreiber des verwendeten Dienstes. Und diesem muss man vertrauen.
Damit man sich auch hier möglichst absichern kann, empfehle ich, vertrauliche Informationen stets zusammenhanglos zu teilen. Wenn also ein Passwort geteilt wird, dann soll nie der dazugehörige Dienst oder gar Username mitgeschickt werden.
Beispiel: Ich möchte jemanden meinen E-Mail-Usernamen und das E-Mail-Passwort schicken.
Ich gehe so vor:
1.) Ich schreibe meinem Empfänger über E-Mail oder Chat den E-Mail-Usernamen. Das ist meist die E-Mail-Adresse, also keine vertrauliche Information.
2.) Ich gebe dem Empfänger bekannt, dass nun noch eine weitere Nachricht von mir folgt, und zwar nur mit dem dazugehörigen Passwort. Dazu rufe ich den One-Time Secret-Dienst auf, gebe dort nur das Passwort ein (ohne eine anderen Information!), und erhalte daraufhin einen zufällig generierten Link. Diesen Link schicke ich dem Empfänger über E-Mail oder Chat. Ohne Kontext. Nur dieser Link.
Der Empfänger wartet bereits auf diesen Link, weiß, um welche Information es sich handelt und setzt sie entsprechend mit der vorherigen Nachricht zusammen. Nur der gewünschte Empfänger hat nun beide Teile, nicht aber der One-Time Secret-Dienst!
FlashPaper verwenden
Erfahre in den nachfolgenden vier Schritten, wie du über FlashPaper vertrauliche Informationen verschicken und empfangen kannst.
Schritt 1: Vertrauliche Information eingeben
Rufe https://flashpaper.io auf.
Es erscheint eine Eingabemaske. Gib dort in das Textfeld deine vertrauliche Information ein, und klicke auf Encrypt Message.
Schritt 2: Den zufällig generierten Link an den Empfänger schicken
Kopiere den zufällig erzeugten Link (Copy ), und sende diese dem Empfänger der vertraulichen Information.
Schritt 3: Empfänger öffnet zufällig generierten Link
Wir sind nun auf Empfänger-Seite.
Sofern der Empfänger bereit ist, die vertrauliche Information abzurufen, klickt dieser auf View Secret.
Schritt 4: Empfänger erhält die vertrauliche Information
Die vertrauliche Information wird nun angezeigt – und gleichzeitig hat sich der zufällig generierte Link selbst-zerstört, und ist nicht mehr aufrufbar.
Zusammenfassung der vier Schritte
Die vertrauliche Information wird eingeben, es wird ein zufällig generierter Link erzeugt, dieser wird vom Empfänger geöffnet und bestätigt. Daraufhin hat sich der Link selbst zerstört und die vertrauliche Information ist nicht mehr aufrufbar.
Damit hast du einen komfortablen Weg gefunden, vertrauliche Informationen mit einer anderen Person zu teilen.
Betreibe FlashPaper auf deinem eigenen Server
Der Sourcecode von FlashPaper ist auf Github verfügbar, und es existiert auch ein Docker-Image.
Weil ich mit meinem eigenen Server noch zusätzliche Betriebssicherheit herstellen kann, betreibe ich eine eigene FlashPaper-Instanz für den Austausch von vertraulichen Informationen zwischen meinen Kunden und mir.
Mein Angebot an dich:
Dank FlashPaper muss niemand mehr in deinem Unternehmen Passwörter im Klartext verschicken!
Lasse uns darüber reden, eine eigene FlashPaper-Instanz in deinem Unternehmensnetzwerk aufzubauen oder für dich auf meinen betreuten Servern zu betreiben.
Image Credits: Image by Stefan Schweihofer, SCHLOSSER IT-Services