Anleitung und Sicherheitskonzept

Diese Anwendung schützt Dateien durch eine Kombination aus starker Verschlüsselung und anschließender Fragmentierung. Das Ziel ist nicht Komfort oder klassisches Backup, sondern Zugriffsschutz: Eine Datei soll nur wiederherstellbar sein, wenn das korrekte Passwort und der erforderliche vollständige beziehungsweise redundanzfähige Fragment-Satz vorhanden sind.

Das System arbeitet bewusst ohne Manifest. Es gibt also keine separate Datei, in der Anzahl, Reihenfolge oder Vollständigkeit der Fragmente offen gespeichert werden.

Warum gibt es dieses System?

Normale Verschlüsselung schützt den Inhalt einer Datei. Dieses System ergänzt die Verschlüsselung um eine zweite Schutzschicht: Nach der Verschlüsselung wird der verschlüsselte Datenstrom byteweise auf mehrere Einzeldateien verteilt. Ein einzelnes Fragment enthält dadurch keinen vollständigen verschlüsselten Container.

Der praktische Vorteil: Wer nur einen Teil der Fragmente besitzt, kann die Datei nicht sinnvoll zusammensetzen und nicht entschlüsseln. Zusätzlich wird nicht offen gespeichert, wie viele Fragmente ursprünglich erzeugt wurden. Dadurch ist bei unvollständigem Zugriff nicht zuverlässig erkennbar, ob der Dateisatz vollständig ist.

Extrem wichtige Vorteile

• Zwei Schutzschichten: Die Datei wird zuerst authentifiziert verschlüsselt und danach auf mehrere Fragmente verteilt.
• Kein Manifest: Es gibt keine zentrale Steuerdatei, die Anzahl oder Struktur der Fragmente offen verrät.
• Keine Klartextnamen in den Fragmenten: Der ursprüngliche Dateiname wird nur innerhalb des verschlüsselten Containers gespeichert.
• Unvollständige Teilmenge ist wertlos: Ohne Redundanz schlägt die Wiederherstellung fehl, sobald ein echtes Fragment fehlt. Mit Redundanz darf genau eine passende Splitterdatei fehlen.
• Neutraler Fehlerfall: Bei falschem Passwort, fehlendem Fragment, falscher Datei oder falschem Dateisatz erscheint absichtlich nur eine allgemeine Fehlermeldung.
• Einzelfragment-Workflow: Nach dem Verschlüsseln können alle Fragmente einzeln heruntergeladen und sofort getrennt gespeichert werden. Das ist die sicherere Variante, weil nie dauerhaft eine einzige Datei mit allen Fragmenten entstehen muss.
• ZIP nur als Komfortoption: Zusätzlich kann ein Fragment-ZIP erzeugt werden. Dieses ist praktisch für Tests oder einfache Übertragung, sollte aber nicht als dauerhafte Sicherheitsablage verwendet werden.
• Konsistenzprüfung: Nach dem Verschlüsseln werden die erzeugten echten Fragmente sofort testweise zusammengesetzt, entschlüsselt und bytegenau mit der Originaldatei verglichen.
• Optionale Fake-Splitterdatei: Zusätzlich wird eine separate Fake-Datei erzeugt, die wie ein echtes Fragment aussieht, aber nicht zum Entschlüsseln gehört. Wird sie versehentlich mit hochgeladen, schlägt die Wiederherstellung fehl.

So verschlüsseln Sie eine Datei

1. Öffnen Sie den Menüpunkt Verschlüsseln.
2. Wählen Sie die Originaldatei aus.
3. Geben Sie ein starkes Passwort ein.
4. Wiederholen Sie das Passwort. Die Verschlüsselung startet nur, wenn beide Eingaben identisch sind.
5. Wählen Sie die Anzahl der benötigten Fragmente. Optional können Sie den Redundanzmodus aktivieren. Dann wird eine zusätzliche unmarkierte Splitterdatei erzeugt.
6. Klicken Sie auf Verschlüsseln und Fragmente erzeugen.
7. Laden Sie anschließend bevorzugt die einzelnen echten Fragmente herunter und speichern Sie diese direkt an unterschiedlichen Orten.
8. Optional können Sie zusätzlich die Fake-Splitterdatei herunterladen und zu Ihren Fragmenten legen. Merken Sie sich zuverlässig, welche Datei die Fake-Datei ist.
9. Nutzen Sie den ZIP-Download nur als Komfortoption, nicht als dauerhafte Sicherheitsablage. Das ZIP enthält nur die echten Fragmente, nicht die Fake-Splitterdatei.

Beim Einzeldownload wird das jeweilige Fragment nach der Auslieferung aus dem Downloadbereich des Servers überschrieben und gelöscht. Beim ZIP-Download wird der gesamte Downloadbereich nach der Auslieferung überschrieben und gelöscht. Temporäre Arbeitsdateien werden bereits vorher entfernt.

So entschlüsseln Sie eine Datei

1. Öffnen Sie den Menüpunkt Entschlüsseln.
2. Laden Sie entweder das komplette Fragment-ZIP hoch oder wählen Sie die passenden Fragmente einzeln aus. Nicht beides gleichzeitig verwenden. Bei aktivierter Redundanz darf genau eine passende Splitterdatei fehlen.
3. Laden Sie die Fake-Splitterdatei niemals zum Entschlüsseln hoch. Sie ist ausdrücklich nur ein Täusch-/Störfragment für die Aufbewahrung.
4. Geben Sie das Passwort ein.
5. Klicken Sie auf Zusammensetzen und entschlüsseln.
6. Wenn alles korrekt ist, laden Sie die wiederhergestellte Originaldatei herunter.

Wenn die Wiederherstellung fehlschlägt, wird absichtlich nicht angezeigt, ob das Passwort falsch ist, ein Fragment fehlt, eine falsche Datei hochgeladen wurde oder der Dateisatz beschädigt ist.

Redundanzmodus: RAID-5-ähnlicher Schutz gegen ein verlorenes Fragment

Optional kann beim Verschlüsseln ein Redundanzmodus aktiviert werden. Dieser Modus arbeitet konzeptionell ähnlich wie RAID 5: Aus n benötigten Splitterdateien wird zusätzlich eine weitere Splitterdatei erzeugt. Insgesamt entstehen also n+1 Dateien. Zum Entschlüsseln reichen dann n passende Dateien aus.

Das zusätzliche Redundanzfragment ist nicht als solches markiert. Es hat keinen besonderen Namen, keine besondere Endung und keinen erkennbar anderen Inhalt. Es wird zwischen die übrigen Splitterdateien einsortiert und wirkt äußerlich wie ein normales Fragment.

Beim Entschlüsseln versucht das Programm automatisch, den korrekten Dateisatz zu rekonstruieren. Wenn alle Dateien vorhanden sind, wird der normale Weg geprüft. Wenn eine passende Splitterdatei fehlt oder beschädigt ist, kann sie im Redundanzmodus aus den übrigen Dateien rechnerisch ersetzt werden. Die erfolgreiche Wiederherstellung wird ausschließlich durch die authentifizierte Entschlüsselung erkannt.

Vorteile des Redundanzmodus

• Ein Fragment darf fehlen: Wenn genau eine echte Splitterdatei verloren geht, beschädigt wird oder nicht verfügbar ist, kann die Datei trotzdem wiederhergestellt werden.
• Mehr Alltagstauglichkeit: Das Risiko eines vollständigen Datenverlustes sinkt deutlich, besonders wenn Fragmente auf USB-Sticks, Cloudspeichern oder verschiedenen Geräten verteilt werden.
• Keine erkennbare Paritätsdatei: Die zusätzliche Datei ist nach außen nicht als Redundanz- oder Paritätsfragment erkennbar.
• Weiterhin kein Manifest: Die Redundanz wird ohne offene Steuerdatei umgesetzt.
• Automatische Prüfung: Der Nutzer muss beim Entschlüsseln nicht angeben, welches Fragment fehlt oder welches Fragment die Redundanzdatei ist.

Nachteile und Risiken des Redundanzmodus

• Ein Teil mehr muss geschützt werden: Es existiert eine zusätzliche Datei. Dadurch wird die verteilte Aufbewahrung noch wichtiger.
• Nicht alle Dateien an einem Ort speichern: Wenn alle n+1 Dateien gemeinsam abgelegt werden, ist der Schutzgewinn des Splittens organisatorisch wieder geschwächt.
• Nur ein Ausfall ist abgedeckt: Der Modus schützt vor genau einem fehlenden oder beschädigten echten Fragment. Fehlen zwei passende Dateien, reicht die Redundanz nicht mehr.
• Falsche Zusatzdateien bleiben gefährlich: Eine Fake-Datei oder irgendeine fremde Datei darf beim Entschlüsseln nicht zusätzlich hochgeladen werden. Sie kann den Wiederherstellungsversuch absichtlich oder versehentlich stören.
• Mehr Dateien, mehr Organisationsaufwand: Der Nutzer muss sorgfältig dokumentieren oder zuverlässig wissen, wo welche Fragmente liegen, ohne sie alle an einer Stelle zusammenzuführen.

Gefahren ohne und mit Redundanz

Ohne Redundanz gilt das strengste Schutzmodell: Alle echten Fragmente und das richtige Passwort sind zwingend erforderlich. Das ist maximal kompromisslos, aber auch riskant. Geht nur ein einziges Fragment verloren, ist die Datei nicht mehr wiederherstellbar.

Mit Redundanz ist das System fehlertoleranter: Eine Splitterdatei darf fehlen oder beschädigt sein. Dafür entsteht eine zusätzliche Datei, die ebenfalls getrennt und bewusst gespeichert werden muss. Der Nutzer gewinnt Ausfallsicherheit, muss aber noch stärker darauf achten, nicht wieder alle Fragmente an einem Ort zu bündeln.

Die richtige Wahl hängt vom Ziel ab: Für maximalen Zugriffsschutz ist der Modus ohne Redundanz am härtesten. Für sensible Daten, die trotz verteiltem Speichern nicht durch den Verlust eines einzelnen Datenträgers verloren gehen sollen, ist der Redundanzmodus praktischer.

Worauf müssen Sie achten?

• Ohne Redundanz sind alle echten Fragmente zwingend erforderlich. Fehlt nur ein Fragment, ist die Datei nicht wiederherstellbar. Mit aktivierter Redundanz darf genau eine passende Splitterdatei fehlen oder beschädigt sein.
• Das Passwort ist nicht ersetzbar. Ohne korrektes Passwort ist keine Entschlüsselung möglich.
• Falsche Zusatzdateien stören die Wiederherstellung. Laden Sie beim Entschlüsseln nur das echte Fragment-ZIP oder exakt die echten Fragmente hoch.
• Fake-Splitterdatei bewusst getrennt merken. Die Fake-Datei sieht absichtlich wie ein echtes Fragment aus, inklusive passendem Namen und neutraler Endung. Sie erhöht nur dann den Schutz, wenn Sie selbst sicher wissen, welche Datei fake ist und sie beim Entschlüsseln nicht verwenden.
• Fragmente getrennt speichern. Der Schutzgewinn entsteht erst dann wirklich, wenn die Fragmente nicht alle am selben Ort liegen.
• ZIP unverändert aufbewahren ist eine schlechte Idee. Ein ZIP bündelt alle Fragmente wieder in einer einzigen Datei. Wird dieses ZIP dauerhaft gespeichert, setzt das den Schutzgewinn des Splittens weitgehend außer Kraft.
• Einzelne Fragmente an verschiedenen Orten sichern. Beispiel: ein Fragment auf USB-Stick 1, ein Fragment auf USB-Stick 2, ein Fragment in Cloud 1, ein Fragment auf dem PC, ein Fragment auf einem separaten Datenträger. Mehrfachkopien sind sinnvoll, aber nie alle Fragmente an derselben Stelle.
• Cloud-Sync und Backups prüfen. Automatische Sicherungen können ungewollt alle Fragmente wieder an einem Ort zusammenführen.
• Keine Umbenennung nach eigenem Schema. Die Dateinamen geben die Reihenfolge vor. Werden sie verändert, kann die Wiederherstellung scheitern.
• ZIP nur kurzfristig verwenden. Falls Sie das ZIP nutzen, dann eher zum Transport oder Test. Für echten Zugriffsschutz sollten Sie es nach dem erfolgreichen Verteilen der Einzelfragmente löschen.

Fake-Splitterdatei richtig verwenden

Nach dem Verschlüsseln wird zusätzlich eine Fake-Splitterdatei angeboten. Sie hat einen passenden Namen und eine passende Größe und besteht wie die echten Fragmente aus unauffälligen Zufallsdaten. Außen soll sie nicht als Fake erkennbar sein.

Der Zweck ist klar: Wenn jemand diese Fake-Datei zusammen mit den echten Fragmenten zum Entschlüsseln verwendet, entsteht ein falscher Dateisatz. Die Wiederherstellung schlägt dann fehl. Das ist ein zusätzlicher Störeffekt gegen unvollständige oder falsche Rekonstruktionsversuche.

Wichtig: Der Nutzer muss sich selbst zuverlässig merken, welche Datei die Fake-Splitterdatei ist. Sie darf beim Entschlüsseln nicht hochgeladen werden. Wer die Fake-Datei nicht mehr sicher identifizieren kann, riskiert, seine eigenen Daten nicht mehr wiederherstellen zu können.

Die Fake-Datei sollte nicht zusammen mit allen echten Fragmenten an derselben Stelle liegen. Sinnvoller ist, sie wie ein mögliches Zusatzfragment an einem plausiblen Ort abzulegen, ohne dadurch alle echten Fragmente zu bündeln.

Warum einzelne Fragment-Downloads sicherer sind als das ZIP

Das ZIP ist bequem, aber sicherheitstechnisch widersprüchlich: Es enthält alle Fragmente an einem Ort. Wer dieses ZIP besitzt und das Passwort errät oder kennt, besitzt wieder den vollständigen Ausgangspunkt für die Wiederherstellung. Damit wird der eigentliche Schutzgewinn des Splittens weitgehend aufgehoben.

Die stärkere Arbeitsweise ist deshalb: Fragmente einzeln herunterladen, sofort getrennt speichern und das ZIP gar nicht erst dauerhaft aufbewahren. So entsteht nie eine langfristig vorhandene Sammeldatei, aus der alle Teile wiederhergestellt werden könnten.

Gefahr des Datenverlustes

Dieses System ist absichtlich streng. Es ist kein klassisches Backup-System. Es gibt keine Wiederherstellungshilfe, keine zentrale Fragmentliste und kein Manifest. Genau das erhöht den Zugriffsschutz, erhöht aber auch das Risiko eines vollständigen Datenverlustes.

Ohne Redundanz kann schon ein verlorenes Fragment zum vollständigen Datenverlust führen. Mit Redundanz darf genau eine passende Splitterdatei fehlen oder beschädigt sein; bei zwei fehlenden Dateien, falschen Zusatzdateien, veränderten Dateinamen, vergessenem Passwort oder beschädigtem ZIP kann die Datei dennoch dauerhaft verloren sein. Diese Eigenschaft ist kein Fehler, sondern Teil des Sicherheitsmodells.

Warum Sie das Programm selbst besitzen sollten

Bewahren Sie dieses Programm zusätzlich selbst auf. Das ist wichtig, weil verschlüsselte Fragmente nur mit einer kompatiblen Version der Software zuverlässig wieder zusammengesetzt und entschlüsselt werden können.

Wenn diese Webseite später offline geht, geändert wird oder nicht mehr erreichbar ist, benötigen Sie weiterhin eine Möglichkeit, Ihre vorhandenen Fragmente zu entschlüsseln. Deshalb sollten Sie das Projekt-ZIP herunterladen und sicher ablegen.

Sie können das Programm selbst hosten, entweder öffentlich auf eigenem Webspace oder privat in einer internen Umgebung. Für besonders sensible Daten ist ein privates oder lokales Hosting grundsätzlich vorzuziehen, weil dann weniger fremde Infrastruktur beteiligt ist.

Kompatibilität mit späteren Versionen

Es wird keine Garantie gegeben, dass mit zukünftigen Versionen alle heute verschlüsselten Daten wieder entschlüsselt werden können. Kryptografie, Dateiformate und Sicherheitslogik können sich ändern. Deshalb ist es wichtig, die aktuell verwendete Programmversion zusammen mit den Fragmenten aufzubewahren.

Empfehlung: Speichern Sie zu jedem wichtigen Fragment-Satz auch eine Kopie dieser Programmversion. So bleibt die Chance erhalten, die Daten auch dann wiederherzustellen, wenn eine spätere Version inkompatibel ist oder diese Webseite nicht mehr existiert.

Alle meine temporären Daten löschen

Auf den Seiten Verschlüsseln und Entschlüsseln gibt es den Button Alle meine temporären Daten löschen. Damit kann der Nutzer die dem aktuellen Browser-/Sitzungsvorgang zugeordneten temporären Dateien manuell überschreiben und löschen lassen.

Diese Funktion ist eine zusätzliche Sicherheitsfunktion. Sie ist vor allem dann sinnvoll, wenn ein Vorgang abgebrochen wurde, eine Datei hochgeladen wurde, der Prozess aber nicht abgeschlossen werden soll, oder wenn beim Ver- oder Entschlüsseln ein Fehler aufgetreten ist.

Wenn nach dem Anklicken 0 Dateien gelöscht angezeigt wird, bedeutet das in der Regel, dass das System die Bereinigung bereits selbstständig durchgeführt hat oder für diese Sitzung keine temporären Dateien mehr vorhanden waren.

Auch diese manuelle Löschung überschreibt Dateien vor dem Entfernen, soweit PHP und das jeweilige Dateisystem dies zulassen.

Wichtige technische Grenze

Die Anwendung überschreibt temporäre Dateien vor dem Löschen, soweit PHP und das Dateisystem dies zulassen. Auf SSDs, RAID-Systemen, Snapshots, Backups, Hosting-Protokollen oder Managed-Hosting-Umgebungen kann ein Webskript jedoch nicht garantieren, dass physisch keinerlei Speicherreste mehr existieren.

Für maximale Vertraulichkeit sollte das Programm auf einem kontrollierten System betrieben werden. Noch strenger wäre eine private Offline-Umgebung.

Programmversionen herunterladen

Über den Menüpunkt Downloads können bereitgestellte Programmversionen heruntergeladen werden.