# Dateien verschlüsseln und entschlüsseln mit PyNaCl

`PyNaCl` ist eine Pythonanbindung an `libsodium`, ein Fork der 'Networking and Cryptography library' (NaCl).
Damit ist unter anderem die asymmetrische Verschlüsselung mit Schlüsselpaaren möglich. Diese Form der Verschlüsselung kommt bevorzugt dann zur Anwendung, wenn Informationen sicher zwischen zwei Teilnehmern ausgetauscht werden sollen.

Asymmetrische Verschlüsselung arbeitet mit zwei Schlüsselpaaren, die jeweils aus einem privaten und einem öffentlichen Schlüssel bestehen. Möchte Alice eine Datei verschlüsselt an Bob senden, so benötigt sie ihren eigenen geheimen Schlüssel und den öffentlichen Schlüssel von Bob.

Um die Datei, die mit diesen beiden Schlüsseln gesichert wurde, wieder lesbar zu machen, benötigt Bob seinen geheimen Schlüssel und den öffentlichen Schlüssel von Alice.

Bob benötigt keine elektronische Unterschrift von Alice, um ihre Urheberschaft zu verifizieren. Denn dadurch, dass die Entschlüsselung Alices öffentlichen Schlüssel erfordert, kann diese Datei nur mit ihrem geheimen Schlüssel verschlüsselt worden sein. Sollte die verschlüsselte Datei verfälscht worden sein, so schlägt die Entschlüsselung fehl.

Deshalb muss Alice ihren geheimen Schlüssel sorgfältig verwahren, denn mit diesem Schlüssel könnte auch jemand fremdes ein korrekt verschlüsseltes Dokument an Bob senden.

Gleichermaßen muss Bob seinen geheimen Schlüssel sorgfältig verwahren, denn mit diesem Schlüssel könnte auch jemand fremdes das Dokument von Alice entschlüsseln.

Die öffentlichen Schlüssel von Alice und Bob müssen nicht geheim gehalten werden. Sie müssen vielmehr im Vorfeld der verschlüsselten Datenübertragung untereinander ausgetauscht werden. Dies kann z.B. per Email, per SMS oder auch per Whatsapp/Threema/Signal etc. geschehen, oder durch Veröffentlichung des öffentlichen Schlüssels auf der privaten Homepage von Alice bzw. Bob.

NaCl sieht keine Sicherung des geheimen Schlüssels durch ein Passwort oder eine Passphrase vor, wie dies z.B. bei `gpg` (gnu privacy guard) bzw. `pgp` (pretty good privacy) vorgesehen ist. Die sichere Aufbewahrung des geheimen Schlüssels obliegt deshalb dem Nutzer.

Ist der Rechner, auf dem der geheime Schlüssel eines Nutzers liegt, kompromittiert, so muss auch der geheime Schlüssel als kompromittiert angesehen werden und sollte schnellstmöglich ersetzt werden.

`PyNaCl` ist auf https://pynacl.readthedocs.io/en/stable/ dokumentiert.

## Die Funktionen in tools.py

Im Modul `tools.py` sind einige Funktionen zusammengestellt, die Alice und Bob bei der sicheren Dateiübertragung unterstützen.

Nach der Zeile

`import tools`

stehen die folgenden Funktionen zur Verfügung:

`tools.create_keys(fullname)`

Diese Funktion dient zur Erzeugung eines Schlüsselpaares. sie wird mit einem vollständigen Namen aus Pfad und Filenamen in der Form

`Path_to_key/secret_key_name`

aufgerufen. Dabei darf der Pfad `Path_to_key` nur vom User gelesen, geschrieben oder ausgeführt werden können. Der Pfad muss existieren, bevor `tools.create_keys` aufgerufen werden kann. Am einfachsten wird er aus `python` heraus mit den Befehlen

```
import os
os.mkdir('./.keys',mode=0o700)
```

aufgerufen. Damit wird im aktuellen Verzeichnis ein unsichtbares Unterverzeichnis mit dem Namen `.keys` und den passenden Berechtigungen angelegt.

Im Anschluss kann der Befehl

```
tools.create_keys('./.keys/secret')
```

aufgerufen werden. Damit werden zwei Dateien erzeugt, nämlich

`./.keys/secret # enthält den geheimen Schlüssel`

sowie

`./.keys/secret.pub # enthält den öffentlichen Schlüssel`

Diese beiden Dateien enhalten den geheimen und den öffentlichen Schlüssel in hexadezimaler Schreibweise.

`tools.read_secret_key(fullname)`

Diese Funktion liest aus dem vollständigen Dateinamen `fullpath` den geheimen Schlüssel. Sind die Berechtigungen des geheimen Schlüssels und des Pfades falsch eingestellt, so wird mit einer Fehlermeldung abgebrochen.

`tools.read_public_key(fullname)`

Diese Funktion liest aus dem vollständigen Dateilnamen `fullpath` den öffentlichen Schlüssel.

`tools.encrypt(sk,pk,f_in_name,f_out_name)`

Mit dieser Funktion wird die Datei mit dem Namen `f_in_nam` verschlüsselt. Die Ausgabe erfolgt in die Datei `f_out_name`. Wenn diese Datei existiert, wird sie ohne Nachfrage überschrieben.

`tools.decrypt(sk,pk,f_in_name,f_out_name)`

Mit dieser Funktion wird die Datei mit dem Namen `f_in_name` entschlüsselt. Die Ausgabe der entschlüsselten Datei erfolgt in die Datei `f_out_name`. Wenn diese Datei existiert, wird sie ohne Nachfrage überschrieben.