vcryptvcrypt
01 — vcrypt

Sicherheit, die du
nicht uns vertrauen musst.

vcrypt ist ein Werkzeug, um Notizen und Dateien einmal zu teilen — verschlüsselt auf deinem Gerät, mit einem Passwort, das nur du kennst. Der Server speichert ausschließlich unleserliche Daten und kann sie selbst nicht öffnen.

AES-256-GCMArgon2id · 64 MB · 3 Iter.Zero-KnowledgeURL-Fragment-Key
02 — Ablauf

Drei Schritte. Mehr nicht.

01

Schreiben

Du schreibst deine Notiz oder hängst eine Datei an. Alles bleibt zunächst nur in deinem Browser.

02

Verschlüsseln

Dein Passwort wird in einen Schlüssel umgerechnet. Der Browser verschlüsselt den Inhalt mit AES-256-GCM, bevor irgendetwas gesendet wird.

03

Teilen

Du erhältst einen Link. Den Link teilst du über einen Kanal, das Passwort über einen anderen. Wir sehen weder das eine noch das andere.

03 — E2EE

Ende-zu-Ende-Verschlüsselung

Der gesamte Inhalt wird auf deinem Gerät verschlüsselt, bevor er den Browser verlässt. Niemand zwischen dir und dem Empfänger — auch wir nicht — kann ihn lesen.

  • AES-256-GCM für die symmetrische Verschlüsselung — ein authentifizierter Modus, der Manipulation erkennt.
  • 96-bit IV, generiert vom Web-Crypto-RNG, einzigartig pro Notiz.
  • Der gesamte Vorgang läuft im Web-Crypto-Subsystem des Browsers — keine JavaScript-Implementierung, die wir warten müssen.
04 — Zero-Knowledge

Wir wissen nichts.

Auf unseren Servern liegen nur unleserliche Bytes — kein Klartext, kein Passwort, kein abgeleiteter Schlüssel. Selbst wenn unsere Datenbank kompromittiert würde, wäre der Inhalt für Angreifer wertlos, solange das Passwort stark ist.

  • Server speichert: ciphertext, salt, iv, kdf-Parameter, Ablaufzeit.
  • Server speichert nicht: Klartext, Passwort, Schlüssel, IP-Adresse, User-Agent, Cookies.
  • Wir können dir bei verlorenem Passwort nicht helfen — by design.
05 — Schlüsselableitung

Vom Passwort zum Schlüssel.

Ein Passwort allein ist kein Schlüssel. Damit Brute-Force-Angriffe teuer werden, wird dein Passwort durch eine bewusst langsame Funktion geleitet.

  • Argon2id mit 64 MB Speicher · 3 Iterationen · 1 Lane (OWASP-Empfehlung 2024). Speicherhart, also auch gegen GPU- und ASIC-Angriffe robust.
  • Einzigartiger Salt pro Notiz (128 bit) — verhindert Rainbow-Tables und Wiederverwendung über mehrere Notizen hinweg.
  • Der Argon2-Schlüssel wird zusätzlich per HKDF mit einem 256-bit URL-Fragment-Key kombiniert. Dieser Fragment-Key steht hinter dem # in deinem Link und wird vom Browser nie an den Server gesendet — selbst eine vollständige Datenbank-Kompromittierung reicht ohne diesen Wert nicht aus.
  • Notizen aus der ersten Version (PBKDF2-SHA256, 600 000 Iter.) bleiben rückwärtskompatibel lesbar.
06 — Entropie

Echter Zufall, sichtbar gemacht.

Der Sammler funktioniert wie bei VeraCrypt: Du bewegst die Maus über eine Fläche, und die unvorhersehbaren Bewegungen fließen in einen kryptografischen Pool. So wird transparent, dass dein Schlüsselmaterial wirklich zufällig ist — nicht nur behauptetermaßen.

  • Mausbewegungen + Timing-Daten werden in einen SHA-256-Pool gehasht.
  • Geschätzte ~2 bit Entropie pro Ereignis, Zielwert: 256 bit.
  • Kombiniert mit crypto.getRandomValues() des Browsers — der Pool ergänzt den Browser-RNG, ersetzt ihn nicht.
07 — Anonymität

Keine Spuren, soweit möglich.

vcrypt ist absichtlich minimalistisch. Es gibt nichts, womit du dich identifizieren müsstest oder könntest.

  • Keine Konten, keine E-Mail, keine Telefonnummer.
  • Keine Cookies, kein localStorage, kein Tracking, keine Analytics.
  • Keine externen Schriftarten oder CDNs — alles wird selbst ausgeliefert.
  • Referrer-Policy: no-referrer und noindex auf Notiz-Seiten — Links erscheinen weder in Suchmaschinen noch in Referrer-Headern.
  • Ehrlich: vcrypt selbst speichert keine Logs, aber Hosting- und Netzwerk-Provider können technisch bedingt Request-Metadaten erfassen (IP, Zeitpunkt). Wer maximale Anonymität braucht, nutzt vcrypt über Tor.
  • Für maximale Anonymität: nutze vcrypt über den Tor Browser.
08 — Lebensdauer

Daten, die verschwinden.

Du entscheidest, wie lange eine Notiz existiert — bis zu 30 Tagen, und selbst dann wird sie automatisch gelöscht.

  • Ablaufzeit wählbar: 1 Stunde, 1 Tag, 7 Tage oder 30 Tage.
  • Burn-after-read: Lesen und Löschen passieren atomar in einer einzigen Server-Transaktion — keine Race-Condition zwischen zwei parallelen Lesern.
  • Hintergrundjob alle 15 Minuten löscht abgelaufene Einträge endgültig.
  • Nach 5 falschen Passwortversuchen wird die Notiz serverseitig zerstört. Der Zähler liegt in der Datenbank, nicht im Browser — er kann nicht clientseitig zurückgesetzt werden.
  • Jede Notiz hat zusätzlich zur ID einen 256-bit Access-Token im URL-Fragment. Ohne diesen Token kann niemand die Notiz lesen oder löschen — auch nicht mit geratener UUID.
09 — Bedrohungsmodell

Was wir schützen — und was nicht.

Schützt vor

  • — Server-Kompromittierung & Datenbank-Leak
  • — Passivem Mitlesen im Netzwerk
  • — Neugierigen Mitarbeitern oder Behördenanfragen
  • — Suchmaschinen-Indexierung deiner Links
  • — Erraten/Enumerieren von Notiz-IDs (Access-Token im Fragment)
  • — Brute-Force gegen schwache Passwörter (5-Versuche-Limit serverseitig)

Schützt nicht vor

  • — Kompromittiertem Endgerät (Keylogger, Malware)
  • — Schwachen oder geratenen Passwörtern
  • — Versand von Link & Passwort im selben Kanal
  • — Screenshots oder Weitergabe durch den Empfänger
  • — Verteilten Angriffen, die Rate-Limits umgehen (best-effort pro Server-Instanz)
  • — Hosting-Provider-seitigen Request-Logs (IP, Zeitpunkt)
10 — Standards

Standards statt Magie.

vcrypt erfindet keine eigene Kryptografie. Wir nutzen ausschließlich standardisierte, gut geprüfte Primitive aus der Web Crypto API — derselben Bibliothek, die in jedem modernen Browser steckt und von Banken, Regierungen und Sicherheitsforschern täglich verwendet wird.

Bereit, eine Notiz zu erstellen?

Neue verschlüsselte Notiz
11 — Open Source

Komplett Open Source.

vcrypt ist vollständig quelloffen — Frontend, Crypto-Pipeline und Backend-Schema. Jede Zeile ist auditierbar, forkbar und self-hostbar. Du musst uns nicht vertrauen — du kannst nachlesen.

MIT-Lizenz

Frei nutzen, forken, modifizieren, selbst hosten — auch kommerziell. Keine Klauseln, keine Telemetrie-Pflicht.

Reproducible Build

Standard-Stack: Vite, TanStack Start, Web Crypto API. Keine versteckten Abhängigkeiten, keine Binärblobs, kein eigener Crypto-Code.

Self-Hosting

Auf Cloudflare Pages, Vercel oder eigenem Server in Minuten deploybar. Hosting-seitige Analytics entfallen damit komplett.

Source im Browser lesen Source als .txt herunterladen

Du findest einen Bug oder eine Schwachstelle? Pull Requests und Responsible Disclosure sind ausdrücklich willkommen. Sicherheit lebt von Augen auf dem Code.

12 — Team

Wer dahinter steht.

vcrypt wird von zwei Entwicklern gebaut, die seit Jahren mit Kryptografie, Systemsicherheit und Privacy-Engineering arbeiten. Wir glauben: Sicherheit darf kein Marketing sein. Wenn ein Tool sich „verschlüsselt“ nennt, muss es das auch im strengsten Sinn beweisen können — bis hinunter zur einzelnen Primitive. Deshalb gibt es bei vcrypt kein Konto, keine Logs, keine Telemetrie und keine eigene Kryptografie. Nur geprüfte Standards, im Browser, transparent.

SS

Süßstein

Crypto & Backend

Beschäftigt sich seit Jahren mit angewandter Kryptografie, Threat-Modeling und sicheren System-Architekturen. Verantwortlich für die Crypto-Pipeline, Schlüsselableitung und das Zero-Knowledge-Setup hinter vcrypt.

HU

Hubertus

Frontend & Security UX

Entwickler mit Fokus auf sichere Browser-Anwendungen und Privacy-by-Design. Verantwortlich für die Web-Crypto-Integration im Frontend, die Entropie-Sammlung und dafür, dass Sicherheit sich auch wie Sicherheit anfühlt — ohne kompliziert zu sein.

Wir bauen vcrypt für Menschen, die etwas Sensibles teilen müssen und keine Lust haben, dabei einer Cloud, einem Konzern oder uns vertrauen zu müssen. Vertrauen ist schön — Mathematik ist besser.