Was ist Geheimtext?

Geheimtext ist das Gegenstück zum Klartext. Wenn ein Verschlüsselungsalgorithmus Klartext mit einem Schlüssel verarbeitet, ist die Ausgabe Geheimtext – Daten, die zufällig wirken und jemandem, der den Entschlüsselungsschlüssel nicht besitzt, nichts über den ursprünglichen Inhalt verraten. Die Transformation ist nur mit dem richtigen Schlüssel umkehrbar.

Guter Geheimtext ist von zufälligen Daten nicht zu unterscheiden. Moderne Verschlüsselungsalgorithmen wie AES-256-GCM stellen sicher, dass im Geheimtext keine erkennbaren Muster, keine statistischen Verzerrungen und keine partielle Informationsleckage vorliegen. Ein Angreifer, der den Geheimtext untersucht, kann weder die Länge der ursprünglichen Nachricht über einen groben Bereich hinaus, noch die Sprache, in der sie verfasst ist, noch irgendeinen Teil ihres Inhalts ermitteln.

Geheimtext kann sicher in nicht vertrauenswürdigen Umgebungen gespeichert werden – Datenbanken, Cloud-Speicher oder Server von Dritten –, weil seine Sicherheit vom Schlüssel abhängt, nicht von den Zugriffskontrollen des Speichermediums. Das ist das Prinzip hinter der Datenverschlüsselung im Ruhezustand: Selbst wenn der Speicher kompromittiert wird, bleiben die Daten geschützt, solange der Schlüssel sicher ist.

Wie Vaulted Geheimtext verwendet

Die einzige Form deines Geheimnisses, die jemals auf Vaulteds Server existiert, ist der Geheimtext. Wenn du ein Geheimnis erstellst, wandelt die AES-256-GCM-Verschlüsselung in deinem Browser den Klartext in Geheimtext um, der dann base64url-kodiert zusammen mit dem Initialisierungsvektor in Redis gespeichert wird. Der Server speichert, liefert und löscht Geheimtext, ohne je die Fähigkeit zu besitzen, ihn zurück in Klartext zu entschlüsseln.