Schutz der Daten

Geschrieben von: Franz Josef Drexler

14. September 2024

Telefon das ein Vorhängeschloss anzeigt, daneben ein schwebt ein Fingerabdruck.

youProof behauptet, deine Daten sicher zu halten. Du wirst oft Begriffe wie Ende-zu-Ende-Verschlüsselung, digitale Signaturen und biometrische Authentifizierung sehen. Aber was bedeutet das, und wie schützen wir deine Daten tatsächlich? Dieser Artikel geht nicht zu sehr ins technische Detail – nur so weit, dass du die Grundlagen dessen verstehst, was youProof tut.

Drei Sicherheitsmaßnahmen

Zuerst einmal wollen wir verstehen, wofür jede Sicherheitsmaßnahme gut ist:

  • Ende-zu-Ende-Verschlüsselung (E2EE) wird verwendet, um zu kontrollieren, wer welche Daten lesen kann. Sie stellt sicher, dass nur du und die Personen, denen du explizit deine Daten gibst, sie verstehen können. (Die Personen, mit denen du dein youProof-Profil teilst, nennen wir fortan Besucher.) Alle Zwischeninstanzen (einschließlich deiner Internetanbieter, Hacker und auch wir) können nur unverständlichen Text sehen. Zum Verschlüsseln von Daten wird ein privater Schlüssel benötigt (eine zufällig generierte Zeichen- und Zahlenfolge). Das ist ähnlich wie ein verschlossenes Tagebuch und der dazugehörige Schlüssel, nur viel sicherer.

  • Digitale Signaturen stellen die Datenintegrität sicher. Das bedeutet nicht, dass niemand deine Daten ändern kann, aber es bedeutet, dass der Computer sofort überprüfen kann, ob deine Daten manipuliert wurden. Um eine digitale Signatur zu erstellen, benötigst du erneut einen privaten Schlüssel. Digitale Signaturen sind in gewisser Weise vergleichbar mit Siegeln, die bei manipulationssicheren Verpackungen verwendet werden.

  • Biometrische Authentifizierung ist ein Mittel, dich anhand biologischer Merkmale wie deinem Fingerabdruck oder der Form deines Gesichtes zu identifizieren. Im Kontext von Mobilgeräten bedeutet dies normalerweise, dass Telefone einige Daten verschlüsselt speichern, bis du die Entschlüsselung mit deinem Fingerabdruck oder Gesicht authentifizierst. Beachte jedoch, dass dies auf Telefonen oft umgangen werden kann, wenn jemand den Sperrbildschirm-PIN kennt.

Drei Bereiche, die gesichert werden müssen

Die Sicherung deiner Daten erfolgt in drei verschiedenen Bereichen: auf deinen eigenen Geräten, in unserem Backend und in den Browsern der Personen, die dein youProof-Profil ansehen.

Deine eigenen Geräte

Um ein youProof-Profil zu erstellen oder zu verwalten, musst du die youProof-App herunterladen. Es ist nicht möglich, ein youProof-Profil mit einem normalen Webbrowser zu erstellen. Das ist Absicht – aber warum? Wie oben erklärt, benötigen sowohl E2EE als auch digitale Signaturen einen privaten Schlüssel. Diese privaten Schlüssel sind zu komplex, um sie sich zu merken, und bereits das Eingeben in einen Browser wäre unsicher. Stattdessen werden sie sicher verschlüsselt auf deinem Telefon gespeichert, wobei – ja, du hast es erraten – die biometrische Authentifizierung (oder dein Sperrbildschirm-PIN) verwendet wird, um sie zu entsperren.

Das hat ein paar nette Nebeneffekte: Zusätzlich zur hohen Sicherheit

  • musst du keine E-Mail-Adresse oder Passwort eingeben, um ein neues Profil zu erstellen,
  • das Anmelden auf einem anderen Gerät besteht lediglich aus dem Scannen eines QR-Codes,
  • und all das E2EE- und digitale Signatur-Zeug kann automatisch im Hintergrund erledigt werden.

Wenn du nun dein youProof-Profil teilen möchtest, kannst du einfach deinen Profil-QR-Code deinen Besuchern zeigen oder auf die Schaltfläche “Teilen” tippen, um einen Link zu erhalten.

Das youProof-Backend

Dank E2EE und digitaler Signaturen können wir deine Daten weder manipulieren noch lesen. Die einzigen Dinge, die wir in unserem Backend sicherstellen müssen, sind folgende:

  1. Nur du (d. h. keine anderen Nutzer oder Hacker) kannst deine Daten löschen.
  2. Deine Daten sind immer zugänglich (obwohl Ausfälle passieren können – das können wir nicht kontrollieren).
  3. Wir stellen eine korrekte, voll funktionsfähige und sichere Homepage und Web-App bereit.

Der Browser

Welche Web-App, fragst du vielleicht? Das führt uns zum dritten und letzten Bereich: den Browser deiner Besucher. Der QR-Code oder Link, den du verwendest, um dein Profil zu teilen, enthält einige Daten, die zur Entschlüsselung deines youProof-Profils verwendet werden. Dieser Schlüssel darf jedoch niemals an unser Backend gesendet werden (denn wir sollten deine Daten nicht lesen können). Daher benötigen wir eine Web-App. Diese entschlüsselt zunächst deine Daten, überprüft dann deren Authentizität und zeigt sie schließlich deinen Besuchern.

TL;DR

Zusammengefasst: Dein Telefon stellt sicher, dass dein youProof-Profil immer sicher und einfach zu verwenden ist. Unser Backend stellt sicher, dass deine Daten immer zugänglich sind. Schließlich stellt die Web-App sicher, dass deine Besucher dein Profil tatsächlich sehen können und deine Daten nicht manipuliert wurden.

Und zum Schluss: Vergiss nicht, youProof herunterzuladen und auszuprobieren – es ist kostenlos und erfordert nicht einmal eine E-Mail-Adresse.