Du bist hier:Start»Javascript»Verschlüsselung

Verschlüsselung mit Javascript im Browser

01.05.2014

Verschlüsselung in Javascript ist praktisch, da die Software auf jedem Gerät mit Webbrowser funktioniert und nichts installiert werden muss. Allerdings hängt die Integrität dieser Verschlüsselungssoftware von der Sicherheit des Webhosters und der Internetverbindung ab und ist somit konzeptionell nicht vertrauenswürdig. Soweit die Warnung vor der Benutzung. Das folgende Javascript stammt von der Seite http://www.movable-type.co.uk/scripts/aes.html. Ich habe nur die Oberfläche etwas verändert. Intern wird der Advanced Encryption Standard (AES) mit 256 Bit verwendet.

Zu verschlüsselnden Text eingeben:

Passphrase zur Verschlüsselung:


verschlüsselter Text:

Verschlüsselte Kommunikation

Für eine verschlüsselte Kommunikation muss die Nachricht an einen Empfänger gesendet werden. Um Metadaten zu reduzieren, sollte die Nachricht nicht direkt per E-Mail an den Empfänger verschickt werden. Stattdessen kann die Nachricht z.B. bei einer sogenannte "paste"-Seite hinterlegt werden. Eine brauchbare Seite zum Ablegen und Wiederfinden von Nachrichten ist http://pastebin.ca (mit Stand vom Mai 2014).

Im folgenden Beispiel zeige ich die Suche nach einer verschlüsselten Nachricht. Hier haben sich Sender und Empfänger im Vorfeld auf den Kommunikationsnamen "encexample" und eine gemeinsame Passphrase geeinigt. Um die Nachrichten wiederzufinden kann die Suchfunktion von pastebin.ca benutzt werden:
http://pastebin.ca/search.php?q=encexample

Außerdem kann auch Google und der Google-Cache bei der Suche helfen:
https://www.google.com/search?q=site%3Apastebin.ca+encexample

In dem Paste steht der Kommunikationsname als Suchwort und die verschlüsselte Nachricht, die der Empfänger mit der Passphrase entschlüsseln kann.

Somit ist eine verschlüsselte und halbwegs anonyme Kommunikation ohne zusätzliche Software und ohne E-Mail-Account möglich.

ABER: Wie schon oben erwähnt, kann die Integrität der Verschlüsselung und der Javascript-Datei nicht gewährleistet werden. Ein Hacker mit bösen Absichten könnte die Javascript-Datei auf dem Webserver theoretisch manipulieren. Außerdem würde eine Anonymisierungssoftware wie Tor oder ein Remailer die Anonymisierung von Sender und Empfänger deutlich verbessern. Insofern ist die hier vorgeschlagene Variante nur eine Krücke - aber besser als gar nichts.