Mit seiner Quick-Technik will das deutsche Softwarehaus Cryptshare die Komplexität beim Passwort- oder Schlüsselaustausch zur Verschlüsselung von Dateien und E-Mails vermeiden. Dies soll die sichere Kommunikation insbesondere zwischen regelmäßig miteinander korrespondierenden Anwendern deutlich erleichtern. Die zum Patent angemeldete Funktion ist laut Hersteller ab sofort verfügbar und für Bestandskunden als Teil der kommenden Cryptshare-Version kostenlos.

Der heute übliche Ansatz asymmetrischer Verschlüsselung per PKI (Public Key Infrastructure) mit einem öffentlichen und einem privaten Schlüssel bietet ein hohes Maß an Sicherheit, bringt aber Komplexität und Verwaltungskosten mit sich – laut Cryptshare Gründe für die nach wie vor vergleichsweise geringe PKI-Nutzung. Cryptshares Quick-Verfahren hingegen soll den Austausch von Einmalpasswörtern ebenso wie die Verwendung statischer Schlüsselpaare überflüssig machen und es erlauben, S/MIME- und PGP-, aber auch MFT-, FTP- und SFTP-Systeme zu ersetzen.

„Mit Quick möchten wir der verschlüsselten E-Mail-Kommunikation zum flächendeckenden Durchbruch verhelfen“, so Cryptshare-CTO Matthias Kess. Der Anbieter aus Freiburg im Breisgau verwendet dabei 2FA (Zwei-Faktor-Authentifizierung) zur Identifikation des richtigen Empfängers. Aus einer individuellen Information für Sender und Empfänger erzeugt, so die Freiburger, unter Verwendung eines gemeinsamen Schlüssels pro Kommunikationsvorgang einen Einmalschlüssel.

Während des ersten Transfers erzeuge die Software für die zwei Teilnehmer diese individuelle Information sowie den gemeinsamen Schlüssel, um mit deren Hilfe für alle zukünftigen Transfers automatisch individuelle Einmalschlüssel (symmetrische Verschlüsselung) zu generieren. Nach der ersten Nutzung sei damit jeder weitere Transfer durch eine permanente sichere Verbindung geschützt. Die Empfängerseite könne jedes Passwort automatisch ableiten, ohne es mit dem Absender austauschen zu müssen.

Dazu werde ein Token lokal auf dem Rechner installiert und mit einer Information auf dem Server kombiniert. Diese beiden Informationselemente fließen laut Cryptshare in eine Schlüsselableitungsfunktion ein, um bei jedem Transfer einen neuen Schlüssel zu erstellen. Man halte also auf dem Server Schlüssel für alle Sender-Empfänger-Kombinationen vor, die nur zusammen mit dem lokal auf dem Rechner installierten Token verwendbar seien. Die Lösung sei somit nach wenigen Klicks einsatzbereit und in der Folge für die einzelnen Benutzer schnell unsichtbar.

Im ersten Schritt aktiviert der Absender Quick und bietet dem Empfänger eine permanent sichere Verbindung an (Bild 1).

Bild 1: Cryptshare präsentiert sich dem E-Mail-Sender als Web-Applikation. Bild: Cryptshare

Bild 1: Cryptshare präsentiert sich dem E-Mail-Sender als Web-Applikation. Bild: Cryptshare

Der Empfänger kann dieses Angebot des Absenders, Quick für eine permanent sichere Verbindung („Quick Connection“) zu nutzen, auf der Download-Seite sehen und akzeptieren (Bild 2).

Bild 2: Die Ansicht aus Empfängerperspektive. Bild: Cryptshare

Bild 2: Die Ansicht aus Empfängerperspektive. Bild: Cryptshare

Nun haben Absender wie auch Empfänger Quick aktiviert und benötigen keinen Passwortaustausch mehr, um sich sichere E-Mails oder Dateien zu senden (Bild 3).

Bild 3: Nach dem Setup-Prozess arbeitet Quick für Sender und Empfänger im Hintergrund. Bild: Cryptshare

Bild 3: Nach dem Setup-Prozess arbeitet Quick für Sender und Empfänger im Hintergrund. Bild: Cryptshare

Im Gegensatz zu PKI-Lösungen, so betonen die Freiburger, müsse das Unternehmen des Absenders und das des Empfängers also keine Zertifikate kaufen, verwalten und erneuern, keine Keystores anlegen oder Vereinbarungen zum Schlüsselaustausch aushandeln. Dies senke die Kosten für Sender- und Empfängerunternehmen deutlich. Die Implementierung sei schnell und einfach, die Benutzerfreundlichkeit durch nahtlose Integration ohne Eingewöhnungsphase gewährleistet. Auch weitere Einsparungen seien möglich, etwa durch geringeres Datenvolumen in bestehenden E-Mail-Servern, das zu sichern und zu archivieren ist, durch gesunkene Lizenz- und Systemkosten oder gar per Stilllegung von Altsystemen.

Die Daten, auch die E-Mail-Nachricht selbst, werden laut Bekunden Cryptshares verschlüsselt auf den unternehmenseigenen Server hochgeladen und dort abgelegt. Der Empfänger werde über die Bereitstellung seiner Nachricht informiert und erhalte ein einmaliges Passwort über einen zweiten Kommunikationskanal (Telefon, per SMS oder persönlich). Dieser Schritt war zuvor bei Cryptshare jedesmal erforderlich, das Quick-Verfahren sorgt aber nun laut Hersteller dafür, dass er nur noch beim erstmaligen E-Mail-Austausch anfällt.

Der Empfänger könne die E-Mails per Browser oder im vertrauten E-Mail-Client lesen und speichern. Anders als bei S/MIME und PGP sei also nur der Server des Unternehmens im Spiel, in dessen Rechenzentrum der Inhalt der versendeten Nachricht temporär liegt. Die vertrauliche Nachricht werde von E-Mail-Client zu E-Mail-Client übertragen, ohne dass ein E-Mail-Provider mit den sensiblen Informationen in Berührung kommt. Dabei entfalle eine Größenlimitierung für Dateianhänge, alle Versand- sowie Empfangsvorgänge seien vollständig protokolliert. Mittels Benachrichtigungen, wann E-Mails und Dateien an den beabsichtigten Empfänger zugestellt wurden, unterstütze das Verfahren zudem Unternehmen bei der Einhaltung von Richtlinien wie der DSGVO.

Seit Jahresbeginn ist laut Cryptshare auch die Software-as-a-Service-Lösung Cryptshare.express verfügbar. Mit ihr zielt der Anbieter auf Unternehmen mit weniger als 25 Benutzern, die vor der Installation eines lokalen Cryptshare-Servers zurückschrecken.

Weitere Informationen finden sich unter www.cryptshare.com.

Dr. Wilhelm Greiner ist freier Mitarbeiter der LANline.