Sicherheit auf ganzer Linie

UWORK.X ist eine Ende-zu-Ende verschlüsselte Kommunikationsplattform. Das bedeutet, dass alle Daten von UWORK.X vor dem Absenden verschlüsselt werden. Die Daten sind auf den OCULD Solutions GmbH Servern immer verschlüsselt abgelegt. Das gilt auch für die getrennt gespeicherten Schlüssel. Deshalb hat die OCULD Solutions GmbH keinen Zugriff auf die Schlüssel und kann die Daten der Nutzer nicht lesen oder für eigene Zwecke nutzen (z.B. für Profiling, Advertising, etc.). Das bedeutet allerdings auch, dass ein vergessener Master-Key nicht wiederhergestellt werden kann.

“Basierend auf unserer Sicherheitsprüfung können wir als Prüfer bezeugen, dass UWORK.X eine sichere Ende-zu-Ende-Kommunikation durch Verschlüsselungen ermöglicht. Wir sehen keinen unmittelbaren Bedarf für Verbesserungen oder Anpassungen in den untersuchten Bereichen. Es wurden keine Schwachstellen oder Sicherheitslücken bei der Implementierung der verwendeten Verschlüsselungsmechanismen oder Verfahren festgestellt.”

“Aufbauend auf der Sicherheitsprüfung der Software, können wir zusammenfassend sagen, dass die OCULD Solutions GmbH eine Sicherheitsstufe bereitstellt, die im Vergleich zum aktuellen Stand der Technik in ähnlichen Messaging-Diensten als fortschrittlich sowie innovativ zu bezeichnen ist.”

Auszug aus dem öffentlichen Sicherheitsreport der Firma Evolution Security GmbH

Wie funktioniert das im Detail?

Jeder Nutzer hat ein Schlüsselpaar. Dieses besteht aus einem privaten und einem öffentlichen Schlüssel. Diesen privaten Schlüssel nennen wir Master-Key. Es ist der wichtigste Schlüssel im System, denn nur damit lassen sich alle empfangenden Daten entschlüsseln. Im Ruhezustand ist dieser Master-Key selbst verschlüsselt und mit einem weiteren Passwort gesichert.

Wenn nun eine Datei, eine Chat-Nachricht, eine U-Mail, eine Aufgabe oder irgendwelche Daten mit UWORK.X erstellt werden, wird für jedes einzelne Element ein eigener Schlüssel generiert, um den Inhalt zu chiffrieren. Damit die Empfänger diese Daten lesen können, brauchen sie den Schlüssel für den jeweiligen Datensatz. Nun kommt der öffentliche Schlüssel ins Spiel. Mit dem öffentlichen Schlüssel wird der eigentliche Schlüssel der Daten verschlüsselt und nur der Besitzer des passenden privaten Schlüssels kann darauf zugreifen und somit die Daten entschlüsseln.

Traue der Mathematik – Was ist mit dem Client?

Die Mathematik der Kryptographie ist über 5000 Jahre alt. Bereits im alten Ägypten um 3000 v. Chr. wurde die Anwendung von Verschlüsselungsalgorithmen nachgewiesen.

Wir nutzen ausschließlich etablierte Algorithmen, die von Experten weltweit als am sichersten an-gesehen werden.

Das Hauptproblem bei Verschlüsselungssoftware ist immer der Client. OCULD unternimmt alles, um UWORK.X als Client sicher zu machen. Zum Beispiel bedeutet das, dass wir unsere Software regelmäßig durch Penetrations-Tests von externe Sicherheitsexperten überprüfen lassen. Schwachstellen werden so bereits während der Entwicklung aufgedeckt und vor Veröffentlichung behoben. Um sicher zu stellen, dass UWORK.X sicher ist, haben wir verschiedene Sicherheitsmechanismen eingebaut, angreifbare Standardfunktionen ausgeschaltet und folgen in der Software-Entwicklung den Best Practices.

Für die Techniker unter den Lesern

  • Für das Schlüsselpaar nutzen wir RSA 4096.
  • Für symmetrische Verschlüsselung wird AES-256 in CBC und anderen Modis benutzt.
  • Passwörter werden nie direkt benutzt, sondern vorher mit PBKDF2 behandelt.
  • Integritätschecks werden, je nach Wichtigkeit des Datensatzes, mit SHA512, SHA256, SHA128 oder MD5 behandelt.
  • Perfect Forward Secrecy ist überall implementiert, d.h. jede einzelne Chat-Nachricht, U-Mail, Aufgabe oder sonstige Daten haben einen eigenen Schlüssel, der jeweils neu generiert wird.
  • Alle Daten werden für Non-Repudiation signiert, d.h. die Authentizität des Absenders bzw. Erstellers eines Datensatzes ist für jedes einzelne Datenelement sichergestellt.