Einführung in die Verschlüsselung

Einführung in die Verschlüsselung

In diesem Artikel beschäftigen wir uns mit verschiedenen Verschlüsselungsverfahren, was ist SSL?, Digitale Signaturen und vieles mehr.

Video

Allgemeines

Der ein oder andere möge sich an dieser Stelle vielleicht fragen, warum es überhaupt nötig ist Dateien, die man über das Internet oder das Intranet übermittelt, zu verschlüsseln. Die Antwort ist denkbar einfach. Mit der Verschlüsselung wird das Mitlesen und Abfangen von Daten für Unbefugte unmöglich bzw. unleserlich. Gerade bei vertraulichen Daten wie Kreditkartennummern, sollte man den Sicherheitsgedanken im Hinterkopf behalten.
Aus der Kryptografie entstanden die sogenannten Verschlüsselungsalgorithmen, die vereinfacht nur Schlüssel genannt werden.

Verschlüsselungsverfahren

Im Laufe der Zeit wurden mehrere Verschlüsselungsverfahren entwickelt, die es mehr oder weniger einfach ermöglichten Daten sicher zu übertragen.

Symmetrisches Verschlüsselungsverfahren

Symmetrisches VerschlüsselungsverfahrenBeim symmetrischen Verschlüsselungsverfahren wird die Nachricht mit dem selben Schlüssel ver- und entschlüsselt. Die Versender und Empfänger müssen sich vorher absprechen, welchen Schlüssel sie verwenden und diesen irgendwie sicher übermitteln. Jedes einzelne Kommunikationspaar muss sich auf einen eigenen Schlüssel festlegen. Bei vielen Kommunikationspartnern im Internet schnellt die Anzahl von Schlüsseln schnell in unermessbare Höhen. An dieser Stelle spürt man sofort, dass das symmetrische Verschlüsselungsverfahren keine optimale Lösung darstellen kann.

Asymmetrisches Verschlüsselungsverfahren

Asymmetrisches VerschlüsselungsverfahrenDas Problem des symmetrischen Verschlüsselungsverfahren ist, dass der Empfänger der Nachricht den Schlüssel schon wissen muss, bevor er die Nachricht überhaupt bekommen hat. Er müsste sich also mit dem Versender vorher in Verbindung setzen, welcher Schlüssel verwendet wird. Im Internet, wo man den gegenüber meistens nicht kennt, sei es irgendeine Webseite, bei der man sich anmeldet, ist dieses Verschlüsselungsverfahren denkbar ungünstig. Deswegen hat man das asymmetrische Verschlüsselungsverfahren entwickelt.
Beim asymmetrischen Verschlüsselungsverfahren gibt es zwei verschiedene Verschlüsselungsalgorithmen. Einen zum Verschlüsseln und einer zum Entschlüsseln. Anders als beim symmetrischen Verschlüsselungsverfahren kann man mit dem Verschlüsselungsalgorithmus das verschlüsselte Dokument also nicht wieder entschlüsseln. Dafür wird ein andere ergänzender Verschlüsselungsalgorithmus benötigt.
Der Schlüssel zum Verschlüsseln ist öffentlich und kann von jedem eingesehen werden. Dieser kann beispielsweise bei einer Zertifizierungsstelle wie der Bundesnotarkammer hinterlegt werden. Der Schlüssel zum Entschlüsseln hat nur der Empfänger der Nachricht. So können Hacker zwar verschlüsselte Nachrichten abfangen, allerdings sind diese für sie unbrauchbar.
Der Nachteil dieses Verfahren besteht in der nur begrenzten Rechenleistung verschiedenster Computer. Es ist viel schneller Dateien mit dem symmetrischen Verschlüsselungsverfahren für unbefugte unlesbar zu machen. Um trotzdem einen sehr hohen Sicherheitsstandard für sensible Daten wie Kreditkartennummern zu gewährleisten hat man das Hybride Verschlüsselungsverfahren entwickelt.

Hybrides Verschlüsselungsverfahren

Hybrides VerschlüsselungsfahrenHybrid kennt man beispielsweise von Autos, wo der Antrieb durch einen Verbrennungsmotor und einen Elektromotor gewährleistet wird. Somit kommen beim hybriden Verschlüsselungsverfahren das symmetrische und das asymmetrische Verschlüsselungsverfahren zum Einsatz. Dabei wird die Nachricht durch einen Schlüssel verschlüsselt, mit dem man die Nachricht verschlüsseln und entschlüsseln könnte, welcher durch das asymmetrische Verschlüsselungsverfahren verschlüsselt wird. Hacker können somit die Nachricht abfangen, aber trotzdem bleibt diese für sie unlesbar, da sie keine Möglichkeit haben den verschlüsselten Schlüssel zu entschlüsseln. Dies kann nur der Empfänger der Nachricht, der den privaten Schlüssel besitzt.

Praxisbeispiel (Asymmetrisches Verschlüsselungsverfahren)

Beispiel1) Ein Internetnutzer gibt vertrauliche Daten in ein Webformular bei einem Internetshop, der SSL Zertifiziert ist, ein.
2) Er drückt den ‚Absenden‘-Button. Bevor die Nachricht verschickt wird, erfragt das Programm den öffentlichen Schlüssel des Shops, der bei der Bundesnotarkammer hinterlegt ist.
3) Anhand dieses Schlüssels werden die Daten für dritte unlesbar gemacht.
!) Wenn Hacker diese Daten abfangen sollten, können sie mit diesen allerdings nichts anfangen.
4) Das kann nur der Shop selber, der den privaten Schlüssel hat.
5) Nur mit diesem Schlüssel ist es möglich die Daten wieder lesbar zu machen.

Sichere Verschlüsslungen im Internet erkennen

Sichere Verschlüsslungen lassen sich mittlerweile in den modernen Browsern einfach erkennen. Zum Einem kann man in der URL-Leiste ein https erkennen (das S nach http steht für safe), zum Anderen werden diese auch im Browser visuell hervorgehoben. Sowohl im Mozilla Firefox, als auch im Google Chrome werden der Firmenname grün hervorgehoben und es lässt sich ein Schloss erkennen. Durch das Klicken auf den Firmennamen hat man die Möglichkeit weitere Details einzusehen. Nun ist es möglich die Berechtigungen zu sehen, die man selber der Webseite gegeben hat (bei keinen manuellen Änderungen die Standardwerte des Browser) und nähere Informationen über die Verschlüsselung. Uns interessieren die näheren Informationen der Verschlüsselung, wo man einsehen kann, wer das Zertifikat für das Unternehmen ausgestellt hat und welche Verschlüsselungstechniken verwendet wurden (256-Bit Verschlüsselung etc.). Diese werden in diesem Artikel nicht näher erläutert, da dies den Rahmen sprengen würde. Durch Recherchieren in einer Suchmaschine deiner Wahl lassen sich aber in der Regel schnell Informationen über die dort angegeben Daten herausfinden.

Digitale Signatur

Digitale SignaturZu guter Letzt wenden wir uns der digitalen Signatur zu. Im Multimedialen Zeitalter, in dem sich Personen nur noch über Bildschirme unterhalten, ist es immer wichtiger geworden, sich „auszuweisen“. Schließlich muss sich der Gegenüber sicher sein, dass er wirklich mit der Person kommuniziert, der er bestimmte Daten oder Rechte gewehrt.
Die Identifizierung findet so gesehen nicht viel anders als beim asymmetrischen Verschlüsselungsverfahren ab. Dieses Mal unterschreibt der Auszuweisende eine Signatur mit seinem privaten Schlüssel. Der Empfänger, der sich sicher gehen möchte, dass es sich um die richtige Person handelt, öffnet die Signatur mit dem passenden öffentlichen Schlüssel. Die Identifizierung kann nur erfolgreich sein, wenn der Gegenüber mit dem passenden privaten Schlüssel (diesen hat nur er) unterzeichnet hat.
Anwendung findet dieses Verfahren beispielsweise bei Softwareupdates, wo sich beispielsweise Windows sicher gehen möchte, ob das Update wirklich von Microsoft stammt.

Quellen:

Screenshot Comdirect (23.09.2013)
Bundesnotarkammer Logo(23.09.2013)

Über den Autor:

Mein Name ist Fabian Geier, Gründer von SourceBlogging, Läufer und WordPress-Enthusiast. Du findest mich vor allen Dingen auf meiner Webseite.