# Cryptor (AES-256) — Tipps & Tricks

> Strategie und Stolperfallen für Cryptor: Passwort-Stärke, kein Schlüssel-Recovery, sichtbares Passwortfeld, Legacy-Migration und Kombination mit anderen Tools.

Source: https://www.jpkc.com/db/tools/cryptor/tips/

Zurück zur Übersicht: [Cryptor (AES-256)](https://www.jpkc.com/db/tools/cryptor/) · Tool live öffnen: [www.jpkc.com/tools/cryptor/](https://www.jpkc.com/tools/cryptor/)

Cryptor ist schnell bedient — aber bei Verschlüsselung steckt der Teufel im Detail. Diese Seite sammelt, worauf es in der Praxis ankommt. Die technischen Grundlagen dazu stehen im [Manual](https://www.jpkc.com/db/tools/cryptor/manual/).

## Das Passwort ist alles — und nicht wiederherstellbar

Cryptor ist eine **symmetrische** Verschlüsselung: Dasselbe Passwort ver- und entschlüsselt. Daraus folgt die wichtigste Regel überhaupt:

- **Verlierst du das Passwort, ist das Chiffrat unwiderruflich verloren.** Es gibt keinen Reset, keine Hintertür, kein Recovery — das ist kein Mangel, sondern der Sinn einer ernstgemeinten Verschlüsselung. Notiere dir das Passwort an einem sicheren Ort (Passwort-Manager), **bevor** du das Chiffrat weitergibst.
- **Ein schwaches Passwort macht die starke Krypto wertlos.** AES-256 und 300.000 PBKDF2-Iterationen helfen wenig, wenn das Passwort `geheim123` lautet. Nutze den **Generate-secure-password**-Knopf (64 Zufallszeichen) oder ein langes, einzigartiges Passwort aus deinem Manager.
- **Mindestlänge 8 Zeichen** verlangt das Tool beim Verschlüsseln — das ist eine Untergrenze, kein Richtwert. Für vertrauliche Inhalte deutlich mehr nehmen.

## Passwort und Chiffrat getrennt übertragen

Das Chiffrat ist nur so sicher wie der Kanal, über den das Passwort läuft. Verschicke beides **nie zusammen** in derselben Nachricht. Bewährt: das Chiffrat per E-Mail oder Chat, das Passwort über einen anderen Weg (Telefon, Signal, persönlich). Wer beides im selben Postfach abfängt, hat sonst alles.

## Das Passwortfeld ist sichtbar

Anders als ein typisches Login-Feld zeigt Cryptor das Passwort **im Klartext** (nicht als Punkte). Das ist praktisch, um Tippfehler zu vermeiden — aber denke an **Schultergucker**, Screen-Sharing und Screenshots. Räume nach getaner Arbeit mit **Clear** auf: Das leert Message-Feld **und** Passwortfeld in einem Rutsch.

## GCM erkennt Manipulation — nutze das

Weil Cryptor AES-256-**GCM** (authentifizierte Verschlüsselung) verwendet, ist ein erfolgreiches Entschlüsseln zugleich ein **Integritätsbeweis**: Wäre auch nur ein Byte des Chiffrats verändert worden, schlüge die Entschlüsselung fehl. Wenn ein Block sich also entschlüsseln lässt, kannst du sicher sein, dass er unverändert von dir stammt — und nicht unterwegs verfälscht wurde. Schlägt Decrypt fehl, ist entweder das Passwort falsch oder das Chiffrat beschädigt (z. B. beim Kopieren ein Zeichen verloren).

## Jeder Lauf erzeugt ein anderes Chiffrat

Lass dich nicht verunsichern: Wenn du denselben Text mit demselben Passwort zweimal verschlüsselst, bekommst du **zwei verschiedene** Base64-Blöcke. Das ist korrekt — Salt und IV sind bei jedem Lauf neu zufällig. Beide Blöcke entschlüsseln mit dem Passwort zum selben Klartext. Ein identisches Ergebnis wäre im Gegenteil ein Warnzeichen.

## Legacy-Nachrichten migrieren

Triffst du auf ein altes Chiffrat (beginnt mit `U2FsdGVkX1…`), liest Cryptor es noch, erzeugt es aber nicht mehr neu. Behandle solche Funde als Migrations-Aufgabe: **Decrypt** (Legacy wird automatisch erkannt) → den Hinweis „Re-encrypt for better security" befolgen → direkt **Encrypt**, um die Nachricht im modernen Format abzulegen. So wanderst du nach und nach auf AES-256-GCM.

## Kompatibilität: rechne nicht mit Fremd-Tools

Das moderne Ausgabeformat von Cryptor ist ein **eigenes Layout** — `Base64(salt + iv + ciphertext + tag)` mit den im Manual genannten Parametern. Es ist nicht darauf ausgelegt, ohne Weiteres mit `openssl enc` oder anderen Werkzeugen entschlüsselt zu werden. Plane Cryptor deshalb als **geschlossenen Kreislauf**: Was du hier verschlüsselst, entschlüsselst du auch hier wieder. (Das ältere `Salted__`-Legacy-Format war OpenSSL-artig — aber Cryptor kann es nur noch lesen, nicht erzeugen.)

## Kein Verlauf — Ergebnisse rechtzeitig sichern

Cryptor speichert aus Sicherheitsgründen **nichts** zwischen. Lädst du die Seite neu oder schließt den Tab, ist alles weg. Sichere ein Chiffrat oder einen entschlüsselten Text deshalb rechtzeitig mit **Copy** (Zwischenablage) oder **Save** (Datei `encrypted.txt`), bevor du die Seite verlässt.

## Braucht der Browser HTTPS

Die Web-Crypto-API läuft nur in einem sicheren Kontext. Wenn Encrypt/Decrypt grau bleiben oder eine Meldung erscheint, dass dein Browser keine moderne Verschlüsselung unterstützt, prüfe, ob du die Seite wirklich über **HTTPS** (`https://www.jpkc.com/tools/cryptor/`) und in einem aktuellen Browser geöffnet hast.

## Kombination mit anderen JPKCom-Tools

- **[Passwort- & Schlüssel-Generator](https://www.jpkc.com/db/tools/generator/)** — wenn du mehr Kontrolle über Länge und Zeichensatz des Passworts willst als der eingebaute Knopf bietet.
- **[Hash-Generator](https://www.jpkc.com/db/tools/hash/)** — eine Prüfsumme über die verschlüsselte Datei legen, um später Beschädigungen zu erkennen, bevor du überhaupt das Passwort eingibst.
- **[QR-Code-Generator](https://www.jpkc.com/db/tools/qr/)** — ein kurzes Chiffrat als QR-Code weitergeben (das Passwort natürlich getrennt).
- **[PKI / Zertifikate](https://www.jpkc.com/db/tools/pki/)** — wenn ein gemeinsames Passwort nicht praktikabel ist und du asymmetrische Kryptografie brauchst.

---

Die vollständige Funktionsbeschreibung steht im [Manual](https://www.jpkc.com/db/tools/cryptor/manual/), konkrete Durchläufe in den [Beispielen](https://www.jpkc.com/db/tools/cryptor/examples/). Ausprobieren kannst du alles im [Tool](https://www.jpkc.com/tools/cryptor/).