Ste­ga­nos Safe ist ein Win­dows-Pro­gramm, um Daten ver­schlüs­selt zu spei­chern; ge­öff­net stellt sich der Da­ten­spei­cher als se­pa­ra­tes Lauf­werk dar, ohne Kenn­wort sieht man nur eine große Datei, die ohne Schlüs­sel wert­los ist. Daß dem je­doch nicht der Fall sein soll, be­rich­tet ein User auf der Se­cu­ri­ty-Mai­ling­lis­te Bug­traq.

Sein Ex­pe­ri­ment (kann ich man­gels Win­dows lei­der nicht nach­voll­zie­hen): Man in­stal­lie­re eine Test­ver­si­on von Ste­ga­nos, de­ak­ti­vie­re die au­to­ma­ti­schen Up­dates und gebe eine Se­ri­en­num­mer ein, die man sich aus den Un­tie­fen des In­ter­nets be­sorgt. Nun ver­sucht man, ein frem­des ge­schütz­tes Ste­ga­nos-Ar­chiv zu öff­nen - da man das Paß­wort nicht kennt, klappt das na­tür­lich nicht. So­weit, so gut.
Nun re­ak­ti­viert man die Up­date-Funk­ti­on des Pro­gramms; Ste­ga­nos führt eine schwar­ze Liste "ge­kna­cker" Se­ri­en­num­mern - und beim nächs­ten Up­date stellt das Pro­gramm fest, daß man eine sol­che Li­zenz ver­wen­det. Zur Stra­fe setzt das Pro­gramm bei allen greif­ba­ren Ste­ga­nos-Ar­chi­ven ein fixes Stan­dard­paß­wort "123"... auch bei dem frem­den Ar­chiv, des­sen Paß­wort man gar nicht kann­te!
Dies läßt nur zwei Fol­ge­run­gen zu: Ent­we­der steht das ver­wen­det Paß­wort in ver­schlei­ter­ter Form im Ar­chiv, oder aber alle Ar­chi­ve ver­wen­den an einer Stel­le ein hart­co­dier­tes Stan­dard­paß­wort. Bei­des dis­qua­li­fi­ziert eine sol­che Soft­ware als snake oil.

Fazit: Bitte lie­ber Soft­ware wie Tru­e­crypt ver­wen­den - bei letz­te­rem kann man den Sour­ce ein­se­hen (und sich selbst über­zeu­gen, daß es keine Hin­ter­tü­ren gibt), oben­drein funk­tio­niert es auch auf an­de­ren Platt­for­men außer Win­dows und ist kos­ten­los.