- Offline
- How It Works
- Features
- Use Cases
- Pricing
- Docs
- Learn
- Compare
- Demos
- Blog
- Account
- Download
�
Bedrohungsmodell
Die folgende Tabelle beschreibt, wogegen anonym.plus schützt und was außerhalb des Schutzbereichs liegt.
| Bedrohung | Maßnahme | Status |
|---|
| Dokumente an externe Server gesendet |
Alle Verarbeitung läuft lokal über mitgeliefertes Presidio + spaCy. Keine Netzwerkaufrufe für PII-Erkennung oder Anonymisierung. |
Mitigiert |
| Tresor-Daten zugegriffen von Angreifer mit Festplattenzugriff |
Tresor verschlüsselt mit AES-256-GCM. Schlüssel von Benutzerpasswort über Argon2id abgeleitet (64 MB Speicher, 3 Iterationen). Ohne PIN oder Wiederherstellungsphrase sind Daten unlesbar. |
Mitigiert |
| Server-Sicherheitsverletzung legt Benutzerpasswörter offen |
Zero-Knowledge-Authentifizierung. Passwörter werden clientseitig gehasht vor jeglicher Serverkommunikation. Server speichert nur kryptographische Nachweise. |
Mitigiert |
| Verschlüsselungsschlüssel aus Speicher extrahiert |
Schlüsselmaterial wird aus Speicher gelöscht, wenn der Tresor sich sperrt. Auto-Lock wird nach 15 Minuten Untätigkeit ausgelöst. |
Mitigiert |
| Man-in-the-Middle auf API-Kommunikation |
Alle API-Kommunikation über HTTPS/TLS. Certificate Pinning nicht implementiert (Standard-Browser/Tauri TLS). |
Teilweise mitigiert |
| Malware auf dem Gerät des Benutzers |
Außer Scope. Wenn ein Angreifer Code-Ausführung auf Ihrer Maschine hat, kann keine Desktop-App Sicherheit garantieren. Verwenden Sie OS-Schutzmaßnahmen. |
Außer Scope |
| NLP-Erkennung übersieht PII-Entitäten |
Presidio + spaCy verwenden sowohl NER (Machine Learning) als auch Regex-Muster. Konfigurierbare Konfidenzschwellen und manueller Überprüfungsschritt. Falsch-negative sind möglich — überprüfen Sie Ergebnisse immer. |
Teilweise mitigiert |
Verschlüsselungsarchitektur
Tresor-Verschlüsselung
Alle lokalen Daten (Verarbeitungsverlauf, Verschlüsselungsschlüssel, Einstellungen) werden in einem verschlüsselten Tresor gespeichert.
- Algorithmus
- AES-256-GCM (authentifizierte Verschlüsselung mit zugehörigen Daten)
- Schlüsselableitung
- Argon2id mit 64 MB Speicheraufwand, 3 Iterationen, 32-Byte-Ausgabe
- Wiederherstellungsphrase
- 24-Wort-BIP39-Mnemonik (256 Bits Entropie), generiert beim ersten Setup
- Schnelle Entsperrung
- Optionale 4-8-stellige PIN zur Bequemlichkeit. Nach 3 fehlgeschlagenen Versuchen ist die Wiederherstellungsphrase erforderlich.
- Auto-Lock
- Tresor sperrt sich nach 15 Minuten Untätigkeit (keine Maus-, Tastatur- oder Scroll-Events)
- Schlüssel-Löschen
- Verschlüsselungsschlüsselmaterial wird aus Speicher gelöscht, wenn der Tresor sich sperrt
Dokument-Verschlüsselung (Reversible Anonymisierung)
Bei Verwendung des "Encrypt"-Anonymisierungsoperators werden PII-Entitäten mit Per-Key AES-256-GCM verschlüsselt, damit sie später über die Deanonymisierungsfunktion entschlüsselt werden können.
- Algorithmus
- AES-256-GCM mit zufälligem Nonce pro Entität
- Schlüssellängen
- 128-Bit, 192-Bit oder 256-Bit (256-Bit empfohlen und Standard)
- Schlüsselspeicherung
- Zero-Knowledge: Schlüsselwerte verlassen nie das Rust-Backend. Frontend nur referenziert Schlüssel nach ID.
- Schlüssel-Rotation
- Generiert neues Schlüsselmaterial. Altes Schlüsselwert wird dauerhaft ersetzt. Mit altem Schlüssel verschlüsselte Dokumente benötigen altes Schlüsselwert zur Entschlüsselung.
Authentifizierung
- Passwort-Handhabung
- Passwörter werden clientseitig mit Argon2id + HKDF + SHA-256 gehasht, bevor jegliche Serverkommunikation erfolgt. Server erhält nie Passwörter im Klartext.
- Session-Tokens
- JWT mit separaten Geheimnissen für Benutzer- und Admin-Authentifizierung. Tokens werden in sessionStorage gespeichert (beim Schließen des Tabs gelöscht).
- Admin-Authentifizierung
- Separates JWT-Geheimnis (ADMIN_JWT_SECRET). 12-Zeichen-Minimum für Passwörter. TOTP-basierte Zwei-Faktor-Authentifizierung.
Was der Server sieht
Der anonym.plus-Server verwaltet Konten, Lizenzen und Lizenzkäufe. Hier ist genau, worauf er zugreifen kann und worauf nicht:
- Kann zugreifen: E-Mail-Adresse, Lizenzstatus, Maschinenaktivierungen, Support-Tickets, Zahlungsmetadaten (über Stripe/PayPal).
- Kann nicht zugreifen: Ihre Dokumente, PII-Erkennungsergebnisse, anonymisierte Ausgaben, Verschlüsselungsschlüssel, Tresor-Inhalte, Verarbeitungsverlauf oder Passwort.
Eine vollständige Übersicht über erfasste Daten finden Sie in der Datenschutzerklärung.
Responsible Disclosure
Sicherheitslücke melden
Wenn Sie eine Sicherheitslücke in anonym.plus entdecken, unterstützen wir verantwortungsvolle Offenlegung. Bitte melden Sie es über unser Kontaktformular mit der Kategorie "Sicherheit".
Bitte geben Sie an: Beschreibung der Sicherheitslücke, Schritte zur Reproduktion, betroffene Version und mögliche Auswirkungen.
Wir versuchen, Meldungen innerhalb von 48 Stunden zu bestätigen und einen Behebungszeitplan innerhalb von 7 Tagen bereitzustellen. Wir werden keine rechtlichen Schritte gegen Forscher einleiten, die verantwortungsvolle Offenlegungspraktiken befolgen.
Unsere Sicherheitskontaktinformationen sind auch unter /.well-known/security.txt (RFC 9116) verfügbar.
Open Source Components
anonym.plus verwendet die folgenden Open-Source-Komponenten für seine sicherheitskritischen Funktionen:
- Microsoft Presidio — PII-Erkennungs-Engine (Apache 2.0)
- spaCy — NLP-Modelle für Named Entity Recognition (MIT)
- Tesseract OCR — Bildtext-Extraktion (Apache 2.0)
- Tauri — Desktop-App-Framework mit Rust-Backend (MIT/Apache 2.0)
- Argon2 — Passwort-Hashing / Schlüsselableitung (CC0)
References
- Microsoft Presidio — GitHub-Repository
- spaCy — Industrial-strength NLP
- RFC 5116 — AES-GCM authentifizierte Verschlüsselungsspezifikation
- RFC 9106 — Argon2 Memory-Hard-Funktionsspezifikation
- BIP39 — Mnemonische Code-Spezifikation
- GDPR — Volltext der Datenschutz-Grundverordnung