Hilfe & Dokumentation

Alles, was Sie über OpenSherpa wissen müssen.

Was ist OpenSherpa?

OpenSherpa ist ein Dienst zum sicheren, einmaligen Teilen von Passwörtern und anderen sensiblen Informationen. Sie erstellen einen Link, der Empfänger öffnet ihn und sieht das Geheimnis genau einmal — danach wird es unwiderruflich gelöscht. So wird vermieden, Passwörter per E-Mail, Chat oder Notizzetteln weiterzugeben.

Passwort teilen (Absender)

  1. Anmelden — Erstellen Sie ein Konto oder melden Sie sich an.
  2. Neues Share erstellen — Geben Sie im Dashboard eine Beschreibung (z.B. „AWS-Zugang") und das Passwort ein, dann klicken Sie auf Share-Link erstellen.
  3. Link kopieren — Der erzeugte Link enthält den Entschlüsselungsschlüssel im URL-Fragment (#…). Kopieren Sie den vollständigen Link inklusive des #-Teils.
  4. Link versenden — Senden Sie den Link sicher an den Empfänger, z.B. per verschlüsselter Nachricht oder sicherem Messenger.
  5. Status verfolgen — Im Dashboard sehen Sie, ob das Passwort bereits abgerufen wurde und wann.
Hinweis: Der Link kann nur einmal verwendet werden. Wenn der Empfänger den Link öffnet und auf Geheimnis anzeigen klickt, wird das Passwort permanent gelöscht. Danach ist kein erneuter Abruf möglich.

Passwort empfangen (Empfänger)

  1. Link öffnen — Klicken Sie auf den erhaltenen Link. Sie benötigen kein eigenes Konto.
  2. Beschreibung prüfen — Die Seite zeigt die Beschreibung des geteilten Geheimnisses (z.B. „AWS-Zugang").
  3. Bestätigen — Lesen Sie den Hinweis und klicken Sie auf Geheimnis anzeigen. Das Passwort wird nur dieses eine Mal angezeigt.
  4. Passwort sichern — Kopieren Sie das Passwort sofort in Ihren Passwort-Manager. Nach dem Verlassen der Seite ist es nicht mehr abrufbar.

Anwendungsfall: Geheimnisse per E-Mail versenden

E-Mail ist grundsätzlich unsicher — Nachrichten werden häufig unbegrenzt auf Mail-Servern, in Postausgangs-Ordnern und in Backups gespeichert. Selbst wenn Absender und Empfänger die E-Mail löschen, können Kopien noch jahrelang existieren. Fügen Sie niemals ein Passwort direkt in den E-Mail-Text ein.

Mit OpenSherpa können Sie Zugangsdaten sicher übermitteln, auch wenn E-Mail der einzige verfügbare Kanal ist:

  1. Erstellen Sie den Share in OpenSherpa und kopieren Sie den Einmal-Link.
  2. Fügen Sie nur den Link in die E-Mail ein — nicht das Passwort selbst.
  3. Senden Sie die E-Mail wie gewohnt ab.
  4. Der Empfänger klickt auf den Link und sieht das Geheimnis genau einmal.
  5. Danach ist das Geheimnis unwiderruflich gelöscht — selbst wenn die E-Mail weitergeleitet, abgefangen oder Jahre später aus einem Backup gelesen wird, zeigt der Link nur noch „Geheimnis wurde bereits abgerufen".
Tipp: Prüfen Sie anschließend das Dashboard. Wurde der Share geöffnet, wissen Sie, dass der Empfänger das Geheimnis erhalten hat. Falls der Link nie geöffnet wurde, der Empfänger aber behauptet, das Passwort zu kennen, stimmt etwas nicht — über Ihren Link wurde das Geheimnis nicht abgerufen.

Anonym teilen (ohne Konto)

Sie können einen Einmal-Share erstellen, ohne sich zu registrieren. Klicken Sie auf der Startseite auf Anonym ausprobieren oder gehen Sie direkt zu /anonymous.html.

Einschränkung: Anonyme Shares können nicht nachverfolgt werden. Sobald Sie die Seite verlassen, gibt es keine Möglichkeit zu prüfen, ob der Empfänger den Link geöffnet hat. Wenn Sie eine Empfangsbestätigung benötigen, erstellen Sie ein kostenloses Konto.
  • Das Geheimnis wird vollständig im Browser verschlüsselt (AES-256-GCM), bevor es übertragen wird — der Server sieht niemals den Klartext.
  • Es werden keine E-Mail-Adresse oder Kontodaten gespeichert.
  • Die anonyme Share-Erstellung ist auf 50 Links pro Stunde je IP-Adresse begrenzt, um Missbrauch zu verhindern.
  • Der Share-Link wird nur einmal angezeigt — kopieren Sie ihn, bevor Sie die Seite verlassen.

Wie die Verschlüsselung funktioniert

OpenSherpa bietet zwei Verschlüsselungsmodi. Der entscheidende Unterschied: Wer kann den Klartext des Geheimnisses sehen?

Modus Wo verschlüsselt Server sieht Klartext? Einsatz
Browser (Dashboard & anonym) Im Browser — AES-256-GCM Niemals Shares über die Web-Oberfläche erstellen
API / Automatisierung Auf dem Server — Fernet Beim Abruf (serverseitige Entschlüsselung) Skripte, CI/CD-Pipelines, Automatisierung

Browser-Verschlüsselung — AES-256-GCM (Zero-Knowledge)

Wird vom Dashboard und der anonymen Seite verwendet. Das Geheimnis wird vollständig im Browser verschlüsselt, bevor Daten Ihr Gerät verlassen. Ein zufälliger 256-Bit-Schlüssel wird lokal erzeugt, das Geheimnis damit verschlüsselt und der Schlüssel als URL-Fragment (#…) in den Share-Link eingebettet.

Der Server empfängt nur den Geheimtext — der Schlüssel wird niemals an den Server übertragen oder dort gespeichert. Beim Abruf liest der Browser des Empfängers den Schlüssel aus dem Fragment und entschlüsselt den Geheimtext lokal. Der Server kann das Geheimnis zu keinem Zeitpunkt lesen.

API / Automatisierung — Fernet (serverseitige Verschlüsselung)

Wird vom REST-Endpunkt POST /api/shares/ verwendet. Sie senden das Klartextgeheimnis an den Server, der es mit Fernet und einem einzigartigen, Share-spezifischen Schlüssel verschlüsselt. Der Schlüssel wird einmalig im share_url-Fragment zurückgegeben und nicht in der Datenbank gespeichert.

Beim Abruf sendet der Browser den Schlüssel im POST-Body zurück, damit der Server entschlüsseln und das Geheimnis zurückgeben kann. Der Server übernimmt sowohl Verschlüsselung als auch Entschlüsselung — dieser Weg eignet sich für automatisierte Skripte und CI/CD-Pipelines, in denen browserseitige Kryptografie nicht möglich ist.

Empfehlung: Nutzen Sie für die stärkste Datenschutzgarantie immer die Browser-Oberfläche (Dashboard oder anonyme Seite). Verwenden Sie den API-Weg (POST /api/shares/) nur dann, wenn Sie Shares aus Skripten oder Pipelines heraus erstellen müssen und browserseitige Verschlüsselung nicht verfügbar ist.

API-Tokens (für Entwickler)

Mit API-Tokens können Sie OpenSherpa direkt über die REST-API ansprechen, ohne sich im Browser anzumelden. Das ist nützlich für Skripte, CI/CD-Pipelines oder andere Integrationen.

  1. Öffnen Sie das Dashboard und scrollen Sie zum Abschnitt API Tokens.
  2. Vergeben Sie einen Namen (z.B. „GitHub Actions") und klicken Sie auf Generate.
  3. Kopieren Sie den angezeigten Token sofort — er wird nur einmal gezeigt.
  4. Verwenden Sie den Token als Bearer-Token im HTTP-Header: Authorization: Bearer osp_…

Wenn Sie mehr als 20 Tokens oder Shares haben, wird die Liste seitenweise angezeigt — nutzen Sie die ← Zurück / Weiter →-Schaltflächen unten zum Blättern.

curl -X POST https://ihr-server/api/shares/ \
  -H "Authorization: Bearer osp_IHR_TOKEN" \
  -H "Content-Type: application/json" \
  -d '{"description":"DB-Passwort","secret":"geheim123"}'

Eine vollständige API-Referenz finden Sie unter /docs (Swagger UI).

Passwort vergessen?

  1. Klicken Sie auf der Anmeldeseite auf Passwort vergessen?
  2. Geben Sie Ihre E-Mail-Adresse ein und klicken Sie auf Zurücksetzen.
  3. Öffnen Sie den erhaltenen Link (per E-Mail oder direkt auf der Seite, falls kein Mailserver konfiguriert ist).
  4. Geben Sie Ihr neues Passwort ein. Der Link ist 1 Stunde gültig und kann nur einmal verwendet werden.

Sicherheitshinweise

Ende-zu-Ende-Verschlüsselung des Schlüssels: Der Entschlüsselungsschlüssel befindet sich ausschließlich im URL-Fragment (#…). Dieser Teil wird vom Browser nie an den Server übertragen und erscheint nicht in Server-Logs.

Einmalige Entschlüsselung: Nach dem Abruf wird der Geheimtext in der Datenbank überschrieben. Das Passwort ist dauerhaft gelöscht.

Kein Tracking: Es werden keine Tracking-Cookies oder externe Analysedienste eingesetzt.

!

Sicherer Übertragungsweg: Der Share-Link selbst ist das Geheimnis. Versenden Sie ihn über einen sicheren Kanal (z.B. verschlüsselter Messenger, nicht unverschlüsselte E-Mail).

!

HTTPS: Stellen Sie sicher, dass Ihr Server über HTTPS erreichbar ist, damit die URL (inklusive Fragment) nicht abgehört werden kann.

Häufige Fragen

Kann der Server das Passwort lesen?

Nein. Der Entschlüsselungsschlüssel ist nur im URL-Fragment enthalten, das der Browser niemals an den Server sendet. Der Server speichert nur den verschlüsselten Geheimtext. Beim Abruf übergibt der Browser den Schlüssel im POST-Body — dieser wird nur für die einmalige Entschlüsselung genutzt und nicht persistiert.

Was passiert, wenn der Empfänger den Link nicht öffnet?

Ungeöffnete Shares werden nach Ablauf der konfigurierten Frist automatisch gelöscht (Standard: 30 Tage). Sie können beim Erstellen eines Shares auch eine individuelle Ablaufzeit festlegen oder einen Share jederzeit manuell im Dashboard löschen.

Kann ein Share mehrfach geöffnet werden?

Nein. Der Link kann nur einmal genutzt werden, um das Geheimnis zu enthüllen. Danach zeigt die Seite, dass das Geheimnis bereits abgerufen wurde.

Was ist der Unterschied zwischen einem normalen und einem anonymen Share?

Beide verwenden dieselbe clientseitige AES-256-GCM-Verschlüsselung und werden nach einmaligem Abruf gelöscht. Der Unterschied liegt im Tracking: Ein normaler Share (erfordert Anmeldung) erscheint im Dashboard, sodass Sie sehen können, ob und wann er geöffnet wurde. Ein anonymer Share hat keinen Besitzer — sobald Sie die Seite verlassen, ist der Link weg und der Status kann nicht mehr abgerufen werden.

Wie kann ich meinen Account löschen?

Öffnen Sie das Dashboard und scrollen Sie zum Abschnitt Danger zone. Klicken Sie auf Delete my account, bestätigen Sie mit Ihrem aktuellen Passwort, und Ihr Konto wird zusammen mit allen Shares und API-Tokens sofort und dauerhaft gelöscht.