← Blog

2022-03 · Konzeptautor

E2EE-Konzept für die REI3-Passwortverwaltung

Konzeptpapier zur Implementierung einer Ende-zu-Ende-verschlüsselten Passwortverwaltung in REI3, ausgelegt auf Datensicherheit auch bei kompromittiertem Server, ohne auf Passwort-Sharing und Auditing im Team zu verzichten.

Kurzgefasst

REI3 ist eine Low-Code-Plattform für eigenständige Geschäftsanwendungen. Im Rahmen dieses Konzeptpapiers wurde ausgearbeitet, wie eine integrierte Passwortverwaltung auf dieser Plattform realisiert werden kann, die Ende-zu-Ende-verschlüsselt ist, mit dem Ziel, sensible Zugangsdaten auch dann sicher zu halten, wenn der Server kompromittiert oder firmenintern verteilt wird.

Kernkonzept

Serverseitiges Zero-Knowledge

Das Konzept sieht vor, dass der Server zu keinem Zeitpunkt Klartext-Passwörter erhält. Verschlüsselung und Entschlüsselung erfolgen ausschließlich clientseitig mit benutzerkontrollierten Schlüsseln.

Passwort-Sharing trotz Verschlüsselung

Trotz vollständiger clientseitiger Verschlüsselung ist gezieltes Teilen von Passwörtern im Team möglich, realisiert über asymmetrische Re-Verschlüsselung mit den jeweiligen Empfänger-Schlüsseln.

Auditing

Auditfähigkeit wird durch ein kryptographisch gesichertes Protokoll gewährleistet, das Zugriffsnachvollziehbarkeit ohne Offenlegung der Klartextdaten ermöglicht.

Bedrohungsmodell

Das Konzept definiert explizit einen kompromittierten Server als Angriffsszenario und zeigt, dass die Vertraulichkeit der Daten in diesem Fall vollständig gewahrt bleibt.

Ergebnis

Das Konzeptpapier wurde veröffentlicht und steht auf der REI3-Website zum Download bereit. REI3_e2ee_concept.pdf