Gastartikel: Verschlüsselung – Eine unbekannte Welt

Verschlüsselungstechniken

Am Montag ist unser Workshop „Wege in die Cloud veröffentlicht wurden. Christoph Maier von antispameurope war so nett, einen Artikel zum Thema Verschlüsselung beizutragen, das komplette eBook findest Du hier.

Internetkriminalität
persönliche Daten sollten nicht in die Hände der falschen Personen fallen

Ein Leben ohne Internet ist für den Großteil der Menschen heute nicht mehr vorstellbar. Es ist für uns aus dem privaten und beruflichen Leben nicht mehr wegzudenken. Wir kaufen Waren ein, wickeln darüber Geschäfte ab, kommunizieren und buchen unseren nächsten Sommerurlaub. All diese Aktionen beinhalten aber fast immer auch sensible und persönliche Daten, die nicht in die Hände der falschen Personen fallen sollten. Aus diesem Grund gibt es Verschlüsselungstechnologien, die die Aktivitäten im Internet etwas sicherer machen sollen. Doch schon die bei der Verschlüsselung verwendeten Abkürzungen und Namen sind teilweise so kryptisch, wie die Technologien, die dahinter stecken. Um ein wenig Licht ins Dunkel zu bringen, möchten wir einen kurzen Überblick über unterschiedliche Verschlüsselungsmöglichkeiten geben.

Prinzipiell soll bei der Verschlüsselung von Inhalten die Sicherheit dieser Inhalte erhöht werden. Nachrichten wie etwa E-Mails oder Dateien werden dazu für Dritte unlesbar gemacht, sodass nur noch die Personen, die den Schlüssel besitzen, die Inhalte im Klartext lesen können. So werden die Inhalte vor unbefugten Zugriffen geschützt.

In der IT gibt es verschiedene Dinge, die sich verschlüsseln lassen: Neben E-Mails oder Dateien selbst kann auch der Transportweg geschützt werden. Oftmals ist lediglich der Transportweg verschlüsselt, aber die Inhalte nicht – umgekehrt kann dies ebenso der Fall sein. Diese Unterschiede sollen hier etwas näher beleuchtet werden.

TLS – Der Weg wird verschlüsselt

E-Mailverschlüsselung
TLS – prinzipiell eine gute Sache

Um den Transportweg zu verschlüsseln, kommt die Verschlüsselungstechnologie TLS zum Einsatz („Transport Layer Security“) bekannt auch unter der Vorgängerbezeichnung SSL („Secure Sockets Layer“). Hierbei handelt es sich um ein Protokoll zum Schutz persönlicher Daten bei der Kommunikation von Nutzern mit Anwendungen im Internet – also immer dann, wenn sensible Informationen über das ansonsten unsichere Internet ausgetauscht werden sollen. TLS/SSL kommt zum Beispiel bei einer HTTPS-Internetverbindung zum Einsatz, also etwa beim Online-Banking, beim emailen über einen Webbrowser etc. Dies ist auch der große Vorteil: Mit HTTPS verschlüsselte Internetverbindungen benötigen keinerlei Know-How vom Benutzer, sie werden automatisch vom Browser aufgebaut.

Auch bei der Übertragung von E-Mails wird TLS benutzt, sowohl zwischen dem Mailprogramm des Benutzers und  dem Mailserver beim Provider, als auch zwischen den Mailservern der Provider untereinander. Da diese Übertragung meist durch öffentliche und offene Netze geschieht, ist das prinzipiell eine gute Sache.

S/MIME und PGP – E-Mail Inhalte verschlüsseln

Um E-Mails selbst zu verschlüsseln oder zu signieren, reicht TLS jedoch nicht aus, da dadurch zwar der Transportweg sicher ist, die elektronische Nachricht selbst jedoch unverschlüsselt beim Provider liegt, so dass dieser oder jeder Andere mit entsprechenden Zugangsrechten darauf zugreifen können. Daher sind für die Verschlüsselung der E-Mail selbst weitere Verfahren nötig. Mit PGP („Pretty Good Privacy“) und S/MIME („Secure/Multipurpose Internet Mail Extensions“) gibt es zwei Alternativen. Beide Technologien beruhen auf dem gleichen Prinzip: Sie nutzen sog. asymmetrische Verschlüsselung, mit einem Schlüsselpaar bestehend aus einem privaten und einem öffentlichen Schlüssel. Mit einem der beiden Schlüssel eines Paares wird verschlüsselt, der andere Schlüssel dient zum Entschlüsseln.

Zum Verschlüsseln einer Nachricht wird der öffentliche Schlüssel des Empfängers benutzt. Nur der Empfänger kennt den zugehörigen privaten Schlüssel, daher kann nur er die Nachricht wieder entschlüsseln. Bei der Signatur funktioniert das genau umgekehrt: Hier wird der nur dem Absender bekannte private Schlüssel des Absenders zum Verschlüsseln genutzt. Da jedermann den zugehörigen öffentlichen Schlüssel einsehen kann, ist eine Überprüfung der Echtheit der E-Mail möglich.

Mit PGP und S/MIME ist es möglich, die Nachricht sicher zu versenden und zu empfangen. Die Nachricht kommt verschlüsselt beim E-Mail-Provider an, so dass dieser ohne den Schlüssel keine Möglichkeit hat, die Inhalte in Klarform sehen zu können. Die Verschlüsselung der E-Mail selbst hat jedoch einen Nachteil: Beide Kommunikationspartner benötigen den öffentlichen Schlüssel des jeweils anderen Kommunikationspartners. Diese Schlüssel müssen vorher sicher ausgetauscht werden. Bei PGP wird dieser Austausch zwischen den Parteien direkt organisiert, bei S/MIME sorgt eine sog. „Public Key Infrastructure“ (PKI) für diesen Austausch. Für S/MIME reicht es deshalb in der Regel, die öffentlichen Schlüssel von einem bekannten Zertifizierungsanbieter („Certificate Authority“, CA) zertifizieren zulassen. Sie sind dann automatisch über gängige Mailprogramme nutzbar und beiden Seiten bekannt.

AES – Dateien verschlüsseln

Zemanta Related Posts Thumbnail
Kurz gesagt: Welche Art der Verschlüsselung sinnvoll ist, hängt von den Inhalten ab, die geschützt werden sollen

Ein weiterer Nachteil asymmetrischer Verschlüsselung: Sie ist relativ aufwändig und langsam. Zur Verschlüsselung von Dateien und elektronischen Dokumenten werden deshalb oft deutlich schnellere symmetrische Verschlüsselungen genutzt, z.B. AES (Advanced Encryption Standard). So werden etwa bei HORNETDRIVE von antispameurope alle Dateien vor der Übertragung mit einem AES-256-Schlüssel (256 Bit Länge) verschlüsselt. Auch hier gibt es aber das Problem des Schlüsselaustausches, um verschiedenen berechtigten Geräten oder Personen den Zugriff auf die Daten zu ermöglichen. HORNETDRIVE nutzt wiederum asymmetrische Verschlüsselung, um die benutzten symmetrischen Schlüssel sicher auszutauschen.

Kurz gesagt: Welche Art der Verschlüsselung sinnvoll ist, hängt von den Inhalten ab, die geschützt werden sollen. Dennoch sollte in Zeiten der steigenden Überwachung im Internet Verschlüsselung genutzt werden, wann immer das möglich ist. Das gilt besonders für sensible Daten, geschäftsrelevante oder persönliche Inhalte.

Über den Autor

Christoph MaierChristoph Maier ist der PR & Marketing Manager von antispameurope. antispameurope ist Experte im Bereich Cloud-Security. antispameurope bietet Dienste zum Schutz von E-Mails, Daten und dem Surfen aus der Cloud.

1 Gedanke zu „Gastartikel: Verschlüsselung – Eine unbekannte Welt“

Schreibe einen Kommentar