Kennwortsicherheit ist bei Tresorit sehr wichtig. Damit Ihr Kennwort nicht zugänglich ist - nicht einmal für uns - setzen wir folgende Richtlinien durch:
- Wir nutzen PBKDFV2 (RFC 2898) mit HMAC (RFC 2104) mit SHA-1 (FIPS-180-4), als eine Passwortableitungsfunktion. Für Parameter verwenden wir einen 160 Bit großen zufällig gewählten Salt und 10.000 Iterationen.
- Wir wollten Scrypt nutzen, da anders als bei PBKDFv2, benötigt Scrypt einen großen Speicher, um GPU-Knacken zu vermeiden, aber Scrypt ist noch nicht standardisiert. Sobald das erfolgt, werden wir auch Scrypt verwenden.
- Aus diesem Grund können auch UTF8-Zeichen in dem Passwort genutzt werden und die Länge ist (theoretisch) nicht begrenzt.
- Für automatische Anmeldung wird der Schlüssel mit PBKDFv2 abgeleitet und nur auf Ihrem Computer gespeichert. Mit dem Schlüssel wird Ihr Profil entschlüsselt. Der Inhalt dieser Datei verlässt NIE Ihren Computer.
- Ihr verschlüsseltes Profil beinhaltet private und öffentliche Schlüssel, die für das Teilen von Tresoren und für Authentifizierung für den Server eingesetzt werden.
- Wir nutzen standardmäßig SSL-Clientzertifikate, damit wir Sie bei der Anmeldung in unseren Servern authentifizieren können.
- Wenn Sie sich zum ersten Mal anmelden, müssen Sie Ihre verschlüsselte Profildatei ohne Authentifizierung des Nutzerzertifikates herunterladen. Für Authentifizierung nutzen wir ein Challenge-Response-Protokoll basierend auf einem mit PBKDFv2 abgeleiteten Schlüssel und mit dem oben beschriebenen Setup, aber mit einem vollkommen unabhängigen Salt aus dem Profilverschlüsselung-Salt. Nur in diesem Szenario kommuniziert der Client mit dem Server durch SSL ohne Clientauthentifizierung. Wir hatten vor, SRP (RFC 2945) dafür zu nutzen, aber wegen Implementierungsprobleme von TLS-SRP (RFC 5054) nutzen wir das Challenge-Response-Protokoll auf Anwendungsebene.
- Eine kurze Beschreibung zum Protokoll finden Sie anbei.
Das Passwort auf dieser Webseite (support.tresorit.com) ist unabhängig von Ihrem Kennwort in Tresorit. Wir empfehlen Ihnen ein separates Kennwort auf der Supportseite zu nutzen. Wir arbeiten an der Integration der Seite mit Tresorits Challenge-Response-Protokoll und SAML-2.