Zum Inhalt springen

So funktioniert es

Wenn Sie ein Passwort per E-Mail oder Slack teilen, bleibt es für jeden Vermittler lesbar. Secret Drop gewährleistet einen sicheren Austausch Ihrer vertraulichen Daten: Alles wird in Ihrem Browser verschlüsselt, bevor es Ihren Bildschirm verlässt. Der Server empfängt nur Rauschen.

Wie Ihr Geheimnis geschützt wird

  1. Sie schreiben Ihr Geheimnis

    Sie geben Ihre Nachricht ein oder wählen eine Datei in Ihrem Browser aus.

  2. Verschlüsselung in Ihrem Browser

    Ihr Browser generiert einen zufälligen Schlüssel und verschlüsselt den Inhalt lokal mit AES-256-GCM über die Web Crypto API. Der Server erhält nur verschlüsselte Daten.

  3. Server speichert verschlüsselte Daten

    Der Server speichert nur verschlüsselte Daten. Er kann sie nicht entschlüsseln, da er niemals Zugriff auf den Schlüssel hat.

  4. Schlüssel bleibt in der URL

    Der Entschlüsselungsschlüssel wird im URL-Fragment (nach #) platziert. Dieser Teil wird vom Browser niemals an den Server gesendet.

  5. Empfänger entschlüsselt

    Wenn der Empfänger den Link öffnet, ruft sein Browser die verschlüsselten Daten ab und verwendet den Schlüssel aus der URL zur lokalen Entschlüsselung.

  6. Das Geheimnis wird zerstört

    Sobald das Leselimit erreicht oder die Ablaufzeit überschritten ist, wird der verschlüsselte Inhalt dauerhaft vom Server gelöscht. Nur eine Spur seiner Existenz bleibt — es gibt nichts mehr zu entschlüsseln.

Secure by Design

Sicherheit ist keine hinzugefügte Funktion — sie ist das Fundament jeder Architekturentscheidung.

Zero-Knowledge

Der Server erhält niemals den Verschlüsselungsschlüssel — gemäß den OWASP-Richtlinien für kryptografische Speicherung. Selbst bei einem Datenbankeinbruch erhält ein Angreifer nur nutzloses Rauschen. Das ist kein Versprechen — es ist eine mathematische Unmöglichkeit.

Authentifizierung ohne Passwort

Ein einmaliger Magic Link ersetzt das Passwort. Nichts zu stehlen, zu leaken oder per Brute-Force zu knacken. Eine kompromittierte Datenbank enthüllt keine Zugangsdaten, weil es keine gibt.

Der Schlüssel verlässt Ihr Gerät nie

Der Entschlüsselungsschlüssel lebt im URL-Fragment (nach dem #). Durch das HTTP-Protokoll wird dieser Teil nie an den Server gesendet — nicht in Anfragen, nicht in Logs, nirgendwo.

Endgültige Vernichtung

Ein gelesenes Geheimnis existiert nicht mehr. Der verschlüsselte Inhalt wird vom Server gelöscht — nur eine Spur seiner Existenz bleibt. Ablaufzeiten und Leselimits reduzieren das Expositionsfenster auf ein Minimum.

Gehostet in Frankreich

Infrastruktur in Frankreich gehostet, unter der Gerichtsbarkeit der Europäischen Union. Ihre Daten unterliegen der DSGVO und verlassen niemals die EU. Kein Transfer in Drittstaaten, keine Ausnahme.

Kein Tracking

Keine Drittanbieter-Cookies, keine Tracking-Pixel, keine externen Dienste. Keine Daten werden an Dritte weitergegeben. Ihre Aktivität auf dieser Seite wird weder profiliert, noch verkauft, noch monetarisiert.

Ein sicheres Geheimnis erstellen
Anwendungsfälle entdecken →