JPKCom DB

Cryptor (AES-256) — Tipps & Tricks

Strategie und Stolperfallen für Cryptor: Passwort-Stärke, kein Schlüssel-Recovery, sichtbares Passwortfeld, Legacy-Migration und Kombination mit anderen Tools.

Zurück zur Übersicht: Cryptor (AES-256) · Tool live öffnen: www.jpkc.com/tools/cryptor/

Cryptor ist schnell bedient — aber bei Verschlüsselung steckt der Teufel im Detail. Diese Seite sammelt, worauf es in der Praxis ankommt. Die technischen Grundlagen dazu stehen im Manual.

Das Passwort ist alles — und nicht wiederherstellbar

Cryptor ist eine symmetrische Verschlüsselung: Dasselbe Passwort ver- und entschlüsselt. Daraus folgt die wichtigste Regel überhaupt:

  • Verlierst du das Passwort, ist das Chiffrat unwiderruflich verloren. Es gibt keinen Reset, keine Hintertür, kein Recovery — das ist kein Mangel, sondern der Sinn einer ernstgemeinten Verschlüsselung. Notiere dir das Passwort an einem sicheren Ort (Passwort-Manager), bevor du das Chiffrat weitergibst.
  • Ein schwaches Passwort macht die starke Krypto wertlos. AES-256 und 300.000 PBKDF2-Iterationen helfen wenig, wenn das Passwort geheim123 lautet. Nutze den Generate-secure-password-Knopf (64 Zufallszeichen) oder ein langes, einzigartiges Passwort aus deinem Manager.
  • Mindestlänge 8 Zeichen verlangt das Tool beim Verschlüsseln — das ist eine Untergrenze, kein Richtwert. Für vertrauliche Inhalte deutlich mehr nehmen.

Passwort und Chiffrat getrennt übertragen

Das Chiffrat ist nur so sicher wie der Kanal, über den das Passwort läuft. Verschicke beides nie zusammen in derselben Nachricht. Bewährt: das Chiffrat per E-Mail oder Chat, das Passwort über einen anderen Weg (Telefon, Signal, persönlich). Wer beides im selben Postfach abfängt, hat sonst alles.

Das Passwortfeld ist sichtbar

Anders als ein typisches Login-Feld zeigt Cryptor das Passwort im Klartext (nicht als Punkte). Das ist praktisch, um Tippfehler zu vermeiden — aber denke an Schultergucker, Screen-Sharing und Screenshots. Räume nach getaner Arbeit mit Clear auf: Das leert Message-Feld und Passwortfeld in einem Rutsch.

GCM erkennt Manipulation — nutze das

Weil Cryptor AES-256-GCM (authentifizierte Verschlüsselung) verwendet, ist ein erfolgreiches Entschlüsseln zugleich ein Integritätsbeweis: Wäre auch nur ein Byte des Chiffrats verändert worden, schlüge die Entschlüsselung fehl. Wenn ein Block sich also entschlüsseln lässt, kannst du sicher sein, dass er unverändert von dir stammt — und nicht unterwegs verfälscht wurde. Schlägt Decrypt fehl, ist entweder das Passwort falsch oder das Chiffrat beschädigt (z. B. beim Kopieren ein Zeichen verloren).

Jeder Lauf erzeugt ein anderes Chiffrat

Lass dich nicht verunsichern: Wenn du denselben Text mit demselben Passwort zweimal verschlüsselst, bekommst du zwei verschiedene Base64-Blöcke. Das ist korrekt — Salt und IV sind bei jedem Lauf neu zufällig. Beide Blöcke entschlüsseln mit dem Passwort zum selben Klartext. Ein identisches Ergebnis wäre im Gegenteil ein Warnzeichen.

Legacy-Nachrichten migrieren

Triffst du auf ein altes Chiffrat (beginnt mit U2FsdGVkX1…), liest Cryptor es noch, erzeugt es aber nicht mehr neu. Behandle solche Funde als Migrations-Aufgabe: Decrypt (Legacy wird automatisch erkannt) → den Hinweis „Re-encrypt for better security" befolgen → direkt Encrypt, um die Nachricht im modernen Format abzulegen. So wanderst du nach und nach auf AES-256-GCM.

Kompatibilität: rechne nicht mit Fremd-Tools

Das moderne Ausgabeformat von Cryptor ist ein eigenes LayoutBase64(salt + iv + ciphertext + tag) mit den im Manual genannten Parametern. Es ist nicht darauf ausgelegt, ohne Weiteres mit openssl enc oder anderen Werkzeugen entschlüsselt zu werden. Plane Cryptor deshalb als geschlossenen Kreislauf: Was du hier verschlüsselst, entschlüsselst du auch hier wieder. (Das ältere Salted__-Legacy-Format war OpenSSL-artig — aber Cryptor kann es nur noch lesen, nicht erzeugen.)

Kein Verlauf — Ergebnisse rechtzeitig sichern

Cryptor speichert aus Sicherheitsgründen nichts zwischen. Lädst du die Seite neu oder schließt den Tab, ist alles weg. Sichere ein Chiffrat oder einen entschlüsselten Text deshalb rechtzeitig mit Copy (Zwischenablage) oder Save (Datei encrypted.txt), bevor du die Seite verlässt.

Braucht der Browser HTTPS

Die Web-Crypto-API läuft nur in einem sicheren Kontext. Wenn Encrypt/Decrypt grau bleiben oder eine Meldung erscheint, dass dein Browser keine moderne Verschlüsselung unterstützt, prüfe, ob du die Seite wirklich über HTTPS (https://www.jpkc.com/tools/cryptor/) und in einem aktuellen Browser geöffnet hast.

Kombination mit anderen JPKCom-Tools

  • Passwort- & Schlüssel-Generator — wenn du mehr Kontrolle über Länge und Zeichensatz des Passworts willst als der eingebaute Knopf bietet.
  • Hash-Generator — eine Prüfsumme über die verschlüsselte Datei legen, um später Beschädigungen zu erkennen, bevor du überhaupt das Passwort eingibst.
  • QR-Code-Generator — ein kurzes Chiffrat als QR-Code weitergeben (das Passwort natürlich getrennt).
  • PKI / Zertifikate — wenn ein gemeinsames Passwort nicht praktikabel ist und du asymmetrische Kryptografie brauchst.

Die vollständige Funktionsbeschreibung steht im Manual, konkrete Durchläufe in den Beispielen. Ausprobieren kannst du alles im Tool.