Was ist Web Crypto API?
Die Web Crypto API ist ein W3C-Standard, der eine JavaScript-Schnittstelle zu einer Sammlung kryptografischer Primitive bereitstellt – darunter Verschlüsselung, Entschlüsselung, Schlüsselgenerierung, Hashing und Signierung – die nativ im Browser implementiert sind.
Vor der Web Crypto API mussten Webanwendungen, die Kryptografie benötigten, auf JavaScript-Bibliotheken zurückgreifen, die Algorithmen von Grund auf implementierten. Diese Bibliotheken waren langsam (da sie im JavaScript-Interpreter liefen), potenziell anfällig für Timing-Angriffe und konnten die Hardware-Kryptografiebeschleuniger moderner CPUs nicht nutzen.
Die Web Crypto API löst diese Probleme, indem sie der Engine des Browsers native Kryptografie für JavaScript zugänglich macht. Operationen wie AES-Verschlüsselung, Schlüsselgenerierung und PBKDF2-Schlüsselableitung laufen als nativ kompilierter Code, profitieren von Implementierungen mit konstanter Laufzeit (resistent gegen Timing-Seitenkanäle) und Hardware-Beschleunigung über AES-NI-Instruktionen auf modernen Prozessoren.
Die API ist von Natur aus asynchron – alle Operationen geben Promises zurück, statt den Haupt-Thread zu blockieren. Von der API erstellte CryptoKey-Objekte sind standardmäßig opak und können nicht aus dem Speicher extrahiert werden, es sei denn, sie sind explizit als exportierbar markiert. Das bietet einen zusätzlichen Schutz vor versehentlichem Schlüsselleck.
Wie Vaulted Web Crypto API verwendet
Vaulted stützt sich ausschließlich auf die Web Crypto API für alle kryptografischen Operationen. Es verwendet crypto.subtle.generateKey zur Erstellung von AES-256-GCM-Schlüsseln, crypto.subtle.encrypt und decrypt für die eigentliche Verschlüsselung sowie crypto.subtle.deriveKey mit PBKDF2, wenn eine Passphrase verwendet wird. Durch die ausschließliche Abhängigkeit von browsernativ implementierter Kryptografie vermeidet Vaulted Drittanbieter-Kryptografiebibliotheken und profitiert von hardware-beschleunigten, constant-time-Implementierungen.