MikroLock

MikroLock liest und schreibt verschlüsselte miniLock-Dateien.

Übersicht

MikroLock ist eine schnelle Implementierung der miniLock-Spezifikation. Trotz des Namens (und im Gegensatz zum Original) kann MikroLock auch mit großen Dateien umgehen.

Hauptziel der Entwicklung ist ein unkomplizierter Austausch verschlüsselter Daten, z.B. durch E-Mail oder Cloud-Dienste. Die Verschlüsselung basiert auf modernen Public-Key Verfahren, jedoch ohne aufwändige Konfiguration und Einarbeitung. Das miniLock-Format kann durch die gleichnamige Chrome-Erweiterung auch dann eingesetzt werden, wenn keine Software wie MikroLock installiert werden kann (Firmen-Richtlinien o.ä.).

Eine kurze Zusammenfassung der miniLock-Eigenschaften (Quelle: https://minilock.io):
" Enter your miniLock passphrase on any computer, and you'll get access to your miniLock ID. No key storage or management - just a single passphrase to access your miniLock identity anywhere. "

Eine MiniLock-ID ist ein kurzer Public-Key der von einer geheimen Passphrase und einer E-Mail Adresse abgeleitet wurde. Diese ID kann auf Webseiten, in Mailsignaturen, auf Twitter oder sonstwo veröffentlicht werden, damit jedermann in der Lage ist Inhalte für diese ID zu verschlüsseln. Nur ein Empfänger mit der richtigen Passphrase/Mail-Kombination zur Erzeugung dieser ID kann die Daten wieder entschlüsseln.

Eine MiniLock-ID sieht wie folgt aus: jrcY8VJWKihbiLsDnaMaNSoL2fZSTiRmEeJcKGBYxnb83

Da diese IDs sehr bequem zu handhaben sind, ist kein aufwändiger Schlüsseltausch mit Keyservern oder manuellen Dateikopien notwendig.

Beim Verschlüsseln kann eine Liste von miniLock-IDs angegeben werden, um mehreren Empfängern zu ermöglichen die Daten zu entschlüsseln. Es muss also nicht eine separate Datei für jeden Empfänger erzeugt werden. MiniLock-Dateien enthalten keine sichtbaren Hinweise auf Ihre Empfänger.

Wie funktioniert's?

A möchte etwas für B verschlüsseln. B gibt seine Mail-Adresse und Passphrase in MikroLock ein, um seine MiniLock-ID zu erhalten. Diese ID sendet er an A.
A verschlüsselt die Datei und gibt die MiniLock-ID von B als Empfänger-ID an. A sendet nun die verschlüsselte Datei an B, der sie mit seiner Passphrase/Mail-Kombination entschlüsseln kann.
Wichtig hierbei ist, dass die Passphrase geheim bleibt - es werden nur die MiniLock-IDs (=public keys) ausgetauscht.

Die grafische Benutzeroberfläche

Nach dem Start des Programms werden eine Mail-Adresse und ein Passwort abgefragt. Aus diesen Informationen wird ein Schlüsselpaar gebildet (privater und öffentlicher Schlüssel).
Statt der Mail-Adresse kann auch ein anderer Wert angegeben werden, dies sollte man jedoch nur tun wenn man das miniLock Chrome-Plugin nicht nutzen möchte.
Damit die verschlüsselte Datei wirksam geschützt ist, muss eine Passphrase, die weniger als 40 Zeichen lang ist, aus mehreren zufällig gewählten Wörtern bestehen.



MikroLock GUI 1

Hier können auch Unicode-Zeichen eingegeben werden:



MikroLock GUI 2

Das Mail-Icon zeigt die Gültigkeit der Mail-Adresse an:

Icon 1 das Format der Mail-Adresse ist gültig
Icon 1 das Format der Mail-Adresse ist nicht gültig


Das Ampel-Icon neben dem Passwort zeigt folgende Information an:
Icon 1 die Passphrase ist zu kurz oder enthält zuwenig durch Leerzeichen getrennte Wörter
Icon 1 die Passphrase wird wahrscheinlich vom Original MiniLock-Plugin für Chrome abgewiesen
Icon 1 die Passphrase ist ausreichend sicher
Nach dem Klick auf "Meine miniLock-ID erzeugen" wird die eigene ID am unteren Fensterrand angezeigt. Sie kann dort auch kopiert werden.

Nun wird zum Ein- und Ausgabedialog gewechselt:



MikroLock GUI 3

Hier wird das Ausgabeverzeichnis ausgewählt und anschließend die Datei zur Ver- bzw. Entschlüsselung (sollte das Programm mit einer Datei als Argument aufgerufen worden sein, so wird dessen Pfad bereits in der Statusleiste angezeigt).
Man kann auch eine Datei auf das Programmfenster ziehen.

Wenn eine miniLock-Datei ausgewählt wurde, wird diese automatisch entschlüsselt.
Jede andere Datei wird im nächsten Dialog verschlüsselt:



MikroLock GUI 4

In der oberen Liste werden die miniLock-IDs der Datei-Empfänger angegeben.
Mit "Liste einlesen" wird eine Textdatei importiert, die pro Zeile eine MiniLock-ID enthält. Hinter den IDs können in der Datei die dazugehörigen Namen wie folgt eingetragen werden:

y5qBLmncv36r98tFMw5YVoc9SHkfLDg8Wz7zf9yrPYPh2 / Andre Simon
8SmHNEEZiK1RgWoN9xryJb8opBky9Kh7txhmgb1RLrUrW ; Customer XYZ
sVXHR7smwqXkSbphn8gdH3Ah6a1nvbYtuXPpxG6qKT321 - Schmidt
ULgpTbP7isNNV6kgDbNVtQo5YRuUhc4N5AAEEbne9bjJi | Jane
Die Information hinter den Trennern wird nach dem Laden als Tooltip angezeigt.
Der Button "Empfänger löschen" entfernt die Empfänger-IDs aus der Liste.
Die Option "Meine ID auslassen" entfernt die eigene miniLock-ID aus der Empfängerliste.
Mit "Zufallsnamen erzeugen" wird die verschlüsselte Datei unter einem zufällig gewählten Namen gespeichert.

Nach dem Klick auf "Datei verschlüsseln" wird die miniLock-Datei im vorher angegebenen Zielverzeichnis abgelegt.

Die Kommandozeilenversion

Neben der grafischen Oberfläche gibt es auch eine Kommandozeilenversion von MikroLock.

USAGE: mikrolock [OPTION]...
mikrolock reads and writes encrypted miniLock files (https://minilock.io/)

Available options:

  -E, --encrypt <file>  Encrypt the given file (see -r)
  -D, --decrypt <file>  Decrypt the given miniLock file
  -o, --output <file>   Override the target file name (assumes -D or -E)
  -m, --mail <string>   User mail address (salt)
  -r, --rcpt <string>   Recipient's miniLock ID (may be repeated, assumes -E)

  -h, --help            Print this help screen
  -l, --list <file>     Recipient list text file (contains one miniLock ID per line)
                        ID descriptions may be added using these delimiters: space or one of [,;/|-]
  -p, --pinentry        Use pinentry program to ask for the passphrase
  -q, --quiet           Do not print progress information
  -R, --random-name     Generate random output filename; write to current working directory (assumes -E)
  -v, --version         Print version information
  -x, --exclude-me      Exlude own miniLock ID from recipient list (assumes -E)

If neither -E nor -D is given, mikrolock exits after showing your miniLock ID.

Beispiele der Kommandozeilenversion

Verschlüsselung

mikrolock --encrypt secret.data --mail sendersalt@holygrail.com --rcpt EX9k9VmGzjg7mUBFN9mzc7nkcvhmD6fGZTq3nefEajjxX
Please enter your secret passphrase:
Unlocking...
Your miniLock-ID: aUwncs2D48MqB8VFta7RRJ5bjL9PfsmtWF3zYVb3zFLLW
Encrypting file secret.data...
Progress 100%
Calculating file hash...
Progress 100%
Destination file: secret.data.minilock

Die verschlüsselte Datei ist secret.data.minilock
Diese Datei kann vom Empänger EX9k9VmGzjg7mUBFN9mzc7nkcvhmD6fGZTq3nefEajjxX entschlüsselt werden.

Entschlüsselung

mikrolock --decrypt secret.data.minilock --mail receiver@test.org
Please enter your secret passphrase:
Unlocking...
Your miniLock-ID: EX9k9VmGzjg7mUBFN9mzc7nkcvhmD6fGZTq3nefEajjxX
Decrypting file secret.data.minilock...
Calculating file hash...
Progress 100%
Writing to file secret.data...
Progress 100%
Destination file: secret.data

Kompatibilität mit der miniLock-Browsererweiterung

Das miniLock Dateiformat wurde mit der Chrome-Erweiterung miniLock eingeführt.
MiniLock-Dateien können mit beiden Programmen verarbeitet werden, allerdings unterscheiden sich die akzeptierten Eingaben zur Erzeugung der miniLock-ID:

Sollten Sie MikroLock und miniLock gleichzeitig benutzen wollen, prüfen Sie ob Salt und Passphrase in beiden Programmen gültige Eingaben sind.

Verwendete Crypto-Funktionen

Die MiniLock-ID wird wie folgt erzeugt:

secret := scrypt(blake2(passphrase), mail, 131072, 1)
id := base58( crypto_scalarmult_base(secret) + blake2(secret) )

Der JSON-Dateiheader der MiniLock-Dateien enthält die MiniLock-ID des Senders, die IDs der Empfänger sowie Schlüssel (zufällig erzeugt) und Hashwert der verschlüsselten Eingabedatei.

Diese Informationen werden separat mit jeder angegebenen Empfänger-ID als Public-Key mittels crypto_box_easy verschlüsselt (Schlüsseltausch: Curve25519; Verfahren: XSalsa20 stream cipher; Authentifizierung: Poly1305 MAC).

Die Eingabedatei wird mit crypto_secretbox_easy verschlüsselt (Verfahren: XSalsa20 stream cipher; Authentifizierung: Poly1305 MAC).

Mehr Infos zu den kryptographischen Eigenschaften und dem Dateiformat: https://minilock.io.