Weitere Informationen über Secret!'s professionelle Sicherheit
Wir glauben nicht an Security by Obscurity (Sicherheit durch Verstecken). Einem Verschlüsselungsprogramm, das den verwendeten Algorithmus nicht benennt, kann man nicht wirklich vertrauen.
Verschlüsselungsalgorithmus
Secret! iPhone, Secret! BlackBerry und Secret! Android verwenden die eingebaute AES Verschlüsselung (AES-128 mit 16 Byte Blocksize und PKCS5/PKCS7 padding). Secret! Desktop und MacSecret iPhone verwenden ebenfalls AES, wenn mit einem dieser Handhelds synchronisiert wird oder eine lokale Datei verwendet wird. AES ist zur Zeit der de-facto Standard für symmetrische Verschlüsselung (d.h. die Daten können mit demselben Passwort verschlüsselt und entschlüsselt werden). Die Synchronisierung mit verschiedenen Plattformen schützt gegen eventuelle Implementierungsfehler.
Secret! webOS verwendet den eingebauten Blowfish-Algorithmus.
Secret! Palm benutzt den wohlbekannten, starken Verschlüsselungsalgorithmus IDEA (International Data Encryption Algorithm) um Ihre Daten zu schützen. LinkeSOFT verwendet IDEA unter Lizenz der Schweizer ASCOM AG (jetzt MediaCrypt).
Alle in den verschiedenen Secret!-Varianten verwendeten Verschlüsselungsalgorithmen werden aktuell als sicher angesehen und enthalten keine bekannten Schwachstellen. Es gibt keine Hintertüren oder Master-Passwörter - die Daten können nur mit dem von Ihnen vergebenen Passwort entschlüsselt werden.
128 Bit Schlüssellänge
Ihr Passwort kann aus maximal 24 Zeichen bestehen. Um Standard-Probleme mit Groß-/Kleinschreibung zu vermeiden, werden Kleinbuchstaben nach Großbuchstaben konvertiert.
Bei geeigneter Passwortwahl sind brute force Attacken (Ausprobieren aller möglichen Buchstabenkombinationen) unmöglich: Es gibt 2**128 = 3 * 10**38 mögliche Schlüssel. Wenn Sie alle Computer des Internets (ungefähr 200 Millionen) benutzen würden, und jeder könnte ein Passwort pro Nanosekunde probieren (d.h. 1 Milliarde Passwörter pro Sekunde), müssten Sie immer noch 2 * 10**21 Sekunden oder 50 Billionen Jahre warten, bis das einzige korrekte Passwort für Ihre in Secret! gespeicherten Informationen gefunden wäre.
Sogar wenn Sie nur ein 8-buchstabiges Passwort aus Buchstaben und Ziffern eingeben, gibt es mehr als 1,7 Billionen Kombinationsmöglichkeiten.
Einige andere Verschlüsselungsprogramme werben mit längerer Schlüssellänge, teilweise bis 1024 Bit. Für alle praktischen Belange bringt eine Schlüssellänge von mehr als 128 Bit aber keine Vorteile: Die Länge Ihres Passwortes bestimmt die effektive Schlüssellänge. Um einen echten 1024 Bit Schlüssel zu erzeugen, müßte Ihr Passwort eine Länge von (1024/7=) 146 Zeichen haben, was nicht sehr praktikabel ist. Wenn Sie nur ein 10-Zeichen-Passwort verwenden, ist Ihre effektive Schlüssellänge ungefähr (10*7=) 70 Bit und damit genauso sicher, wenn das Verschlüsselungsprogramm 128 Bit Schlüssel verwendet. Längere Schlüssel verringern allerdings die Programmgeschwindigkeit und benötigen mehr Speicher.
Sicherheitsfeatures
Secret! hat ein einmaliges Verschlüsseln-wenn-aus-Feature, daß dafür sorgt, dass Ihre Daten in den folgenden Fällen immer verschlüsselt werden
- nach einer voreingestellten Zeit ohne Benutzereingaben
- wenn sich das Gerät ausschaltet oder Sie es manuell ausschalten
- wenn Sie manuell das Programm verlassen oder zu einer anderen Anwendung auf dem Handheld wechseln.
Das Verschlüsseln erfolgt vor dem Ausschalten.
Im Programm wurde viel Sorgfalt darauf verwendet, keine Kopien der entschlüsselten Daten im Speicher zu lassen. Dynamischer Speicher wird mit Nullen überschrieben und das eingegebene Passwort gelöscht, sobald es nicht mehr gebraucht wird. In der Datenbank, die auch beim Hotsync kopiert wird, befindet sich stets nur die verschlüsselte Version.
Kategorien und Titel
Bitte beachten Sie, daß aus technischen Gründen die Kategoriebezeichnungen und die Titel der Einträge nicht verschlüsselt gespeichert werden. Diese Namen werden in bestimmten Fällen während des HotSyncs benötigt, um Informationen über doppelte oder nicht synchronisierte Kategorien anzuzeigen. Sie sollten also keine sicherheitsrelevanten Informationen im Titel des Eintrags oder der Kategorie ablegen. 
