Wenn sich ein Benutzer auf OK.secure.de registriert, werden im Browser des Clients 4 Sätze von RSA-Schlüsselpaaren, 3 Sätze von Schlüsselpaaren mit elliptischer Kurve (EC) und 7 Schlüsselschutz (einer pro privatem Schlüssel) generiert.


Diese Verschlüsselungs- und Identitätsschlüsselpaare werden für verschiedene Dienste und Protokolle verwendet, z. B. Posteingang, Chat, Anrufe, Dateispeicherung und Kontoeinstellungen. Im Gegensatz zu anderen bekannten Verschlüsselungsprotokollen benötigt jeder OK.secure-Dienst oder -Protokoll zwei Sätze von Schlüsselpaaren, einen zum Ver- und Entschlüsseln und einen zum Signieren und Überprüfen.


Der Schlüsselschutz wird verwendet, um jeden privaten Schlüssel zu verschlüsseln / zu verpacken, der nur dem Benutzer bekannt ist.


Das einfache Kennwort des Benutzers wird verwendet, um zwei Kennwörter im Client zu bilden, das Kontokennwort und den Stammschlüssel.


Bitte beachten Sie: Das einfache Passwort des Benutzers ist nur dem Benutzer bekannt und es ist sehr wichtig zu verstehen, dass das einfache Passwort des Benutzers und der Stammschlüssel niemals an die Server gesendet werden.


Das Kontokennwort ist ein kryptografischer Hash des einfachen Kennworts unter Verwendung des PBKDF2-Algorithmus mit SHA-256 als Hashing-Algorithmus, der 20.000 Runden von Hashing-Operationen (Key Stretching) ausführt und den Benutzernamen@OK.secure.de als Salt verwendet. Das Ergebnis ist ein sicheres Kennwort, das an den Server gesendet und mithilfe der BCRYPT-Schlüsselableitungsfunktion als weiterer kryptografischer Hash gespeichert wird. Dieses Passwort wird nur zur Authentifizierung des Benutzers verwendet und kann keine Benutzerdaten entschlüsseln.


Der Root-Schlüssel wird genauso wie das Kontokennwort berechnet, verwendet jedoch ein zufällig generiertes 32-Byte-Salt und 50.000 Hashing-Runden und ist daher ein völlig anderes Kennwort. Der Stammschlüssel bildet einen 32-Byte-AES-Schlüssel, mit dem ein Schlüsselschutz mit AES-KW verschlüsselt / umbrochen wird.


Zu diesem Zeitpunkt werden jeder private RSA- und EC-Schlüssel mit AES-GCM mit dem 32-Byte-Schlüsselschutz verschlüsselt / verpackt, der durch den 32-Byte-Stammschlüssel gesperrt ist und jeweils einen Schlüsselcontainer bildet. Alle öffentlichen Schlüssel und Container mit geschützten Schlüsseln werden während der Registrierung zusammen mit den Benutzerdetails und dem Kontokennwort an den Server gesendet.


Wenn ein Benutzer das Kennwort ändert, wird das Kontokennwort auf die gleiche Weise wie oben geändert, und alle Schlüsselschützer werden mit dem neuen Stammschlüssel neu verschlüsselt, wobei dieselben Kryptovorgänge wie oben berechnet und in den Schlüsselcontainern ersetzt werden.


Wenn ein Benutzer die Kontowiederherstellungsfunktion aktiviert, wird jedem Schlüsselcontainer ein neuer Schlüsselschutz hinzugefügt, wobei der Wiederherstellungsschlüssel als Stammschlüssel für die oben genannten Kryptooperationen verwendet wird.




Melden Sie sich jetzt an und schützen Sie Ihre Online-Privatsphäre.