Bob, Alice und Eva

Bob und Alice als Synonyme für Sender und Empfänger – fehlt da nicht noch wer? Ja, Eve als passive Angreiferin. Seit 1978 sorgen diese Figuren für ein plastisches Bild der Kryptografie. Mit dem Zeitalter des Computers hat die Kryptografie immens an Komplexität gewonnen. Hauptbereiche für Verschlüsselung sind Festplatten von PC und Laptop, mobile Geräte, Mails sowie interne Unternehmensdateien. Verschlüsselung gibt es aber nicht erst seit den 1970er-Jahren. Ihre Geschichte reicht zurück bis ins dritte Jahrtausend v. Chr. Damals wurde per Hand verschlüsselt, zudem wurde auf die sogenannte Steganografie zurückgegriffen, einem Verfahren zum Verstecken von Daten. Eine Methode aus der Kaiserzeit war etwa, Sklaven die Haare zu schneiden und Botschaften auf die Kopfhaut zu schreiben. Heute stecken hochkomplexe mathematische Verfahren hinter der digitalen Verschlüsselung, »die vielfach nur Mathematikspezialisten nachvollziehen können«, bemerkt Carsten Hoffmann, Presales Manager bei Symantec.

A/Symmetrisch

Unterschieden wird zwischen der symmetrischen und asymmetrischen Verschlüsselung. Zur Verschlüsselung zählt aber noch mehr. »Die Datenintegrität prüft etwa über Hash, ob der Inhalt der übermittelten Nachricht zu Beginn und am Ende übereinstimmt oder verändert wurde«, erklärt Wilhelm Pichler, Strategic Product Manager bei schoeller network control. Die Authentifizierung wiederum weist den Urheber einer Nachricht eindeutig aus. »Dieses Verfahren erfolgt auf unterschiedliche Weise«, informiert Hans-Christian Singhuber, Geschäftsführer von a.sys. »Das Passwort stellt eine Ein-Faktor-Identifizierung dar. Wird dieses z.B. mit einer persönlichen Identifikationsnummer wie einem PIN kombiniert, erhalte ich die Zwei-Stufen-Authentifizierung. Die zusätzliche Erfassung biometrischer Daten wie Iris- oder Handscan ergibt die Drei-Faktoren-Identifizierung.« Bei der Festplattenverschlüsselung erfolgt für die Nutzung der Daten eine Pre-Boot Authentication, die meist mittels Passwort erfolgt. Alternativ oder ergänzend ist die hardwareunterstützte Authentisierung mittels Security-Token oder Chipkarte möglich. Symantec sieht außerdem eine Gefahr an den Endpunkten. »Die Verschlüsselung sichert die Kommunikation, aber nicht Ausgangs- und Zielpunkt.« Ist ein Unberechtigter nicht nur in das Kommunikationsnetz, sondern auch in den Rechner eingedrungen, auf dem die Ver- oder Entschlüsselung vorgenommen wird, ist der gesamte Verschlüsselungsaufwand vergeblich. Einen Ausweg bildet das Symantec-Programm Endpoint Encryption mit fortschrittlichen Daten- und Dateiverschlüsselungsfunktionen für Desktops, Laptops und Wechselspeichergeräte.

Public und Private

»Verschlüsselung zu programmieren gestaltet sich einfach, die Verwaltung dahinter kann allerdings kompliziert werden«, so Hoffmann. »Oft variiert in ein und demselben Unternehmen das Verschlüsselungsverfahren von Abteilung zu Abteilung. Nach einigen Jahren an die notwendigen Keys heranzukommen, kann zum Problem werden«, berichtet er aus der Praxis. »Natürlich ist es sinnvoll, beide Technologien situationsbedingt und den angestrebten Zielen entsprechend einzusetzen. Verschlüsselung muss aber zentral gemanagt werden, sie benötigt eine strategische Herangehensweise.« Einfach nur Buchstaben konsequent zu ersetzen, sei zu wenig. Professionell kommen Schlüssel auf zweierlei Weise zum Einsatz: Bei symmetrischen Verschlüsselungsmethoden wie bei einem Passwort wird auf identische geheime Keys zurückgegriffen. Problem dabei ist die sichere Übermittlung der Keys, diese Methode überzeugt allerdings durch ihre Schnelligkeit. Es kann ad hoc verschlüsselt werden. Asymmetrische Verfahren bieten eine höhere Sicherheit. Bei dieser Technik verwendet der Sender einen public key zur Verschlüsselung und der Empfänger seinen geheim gehaltenen private key zur Entschlüsselung. Das erste asymmetrische Verschlüsselungsverfahren, das RSA-Verfahren, beruhend auf Primzahlen, wurde 1977 veröffentlicht und bildet auch heute noch die Basis für zahlreiche Verschlüsselungsalgorithmen, d.h. Kryptografieprogramme. Eine Kombination zwischen symmetrischer und asymmetrischer Verschlüsselung stellt das Public-Key-Verschlüsselungsverfahren Pretty Good Privacy, PGP, dar. Bei diesem hybriden Verfahren wird die Nachricht symmetrisch mit dem Session-Key verschlüsselt, die Entschlüsselung ist allerdings nur mit dem geheimen private key möglich. Damit verbindet PGP die Vorteile der beiden Verfahren. »PGP bildet einen der beiden hybriden Standards«, informiert Carsten Hoffmann. »Daneben prägt S/MIME (Secure/Multipurpose Internet Mail Extensions) den Markt.« Je nach Branche hat eine Technik die Oberhand. Im Automobilbereich wird eher auf PGP zugegriffen, in der Gesundheitsbranche auf S/MIME. Hybrid wird auch im Internet über das Protokoll Secure Sockets Layer (SSL) verschlüsselt. In der Quantenkryptografie wird den Parteien via Quantenmechanik eine gemeinsame Zufallszahl zur Verfügung gestellt, die Nachrichten werden symmetrisch übertragen.

Ja zur Kryptografie

Trotz einer Vielzahl an Programmen und Anbietern führt die Kryptografie in Österreich vor allem im EPU- und KMU-Bereich vielfach noch ein Schattendasein. a.sys schätzt die Verschlüsselungsrate in österreichischen Unternehmen auf ein Drittel. Bei international tätigen Firmen dagegen stehe Verschlüsselung schon auf der Tagesordnung. »Was fehlt, ist die Aufklärungsarbeit«, meint Singhuber. »Passwörter bedeuten für die Firmenleitung oft die Behinderung der eigenen Arbeit, das Budget würde gesprengt.« Dabei ist nahezu jedes Unternehmen zur Datenverschlüsselung verpflichtet, denn Kundendaten müssen laut Datenschutzgesetz so gesichert sein, dass auch bei der physikalischen Entfernung eines Servers der Zugriff verweigert wird. In einigen Berufsbranchen ist Verschlüsselung sogar vorgeschrieben, u.a. für Unternehmensberater, Steuerberater, Medizin und Banken.

>> IPSec:
IPSec bildet laut schoeller network control den Kommunikationsstandard zwischen Firmen. Im Transportmodus wird der IPsec-Header zwischen dem IP-Header und den Nutzdaten eingefügt. Der IP-Header bleibt unverändert und dient weiterhin zum Routing des Pakets vom Sender zum Empfänger. Im Tunnelmodus wird das ursprüngliche Paket gekapselt und die Sicherheitsdienste von IPsec auf das gesamte Paket angewandt. Der neue (äußere) IP-Header dient dazu, die Tunnelenden (also die kryptografischen Endpunkte) zu adressieren, während die Adressen der eigentlichen Kommunikationsendpunkte im inneren IP-Header stehen.

>> Verschlüsselung:

Bei der symmetrischen Verschlüsselung wird für Ver- und Entschlüsselung dasselbe Passwort verwendet. Bei der asymmetrischen kommen ein public und ein private key zum Einsatz. Die hybride Verschlüsselung bildet die Kombination beider Verfahren.

>>Verschlüsselungsrisiko:

Stefan Vyskocil, a.sys: »Mein letzter Selbstversuch, eine verschlüsselte Datei zu knacken, war vor zwei Jahren. Das war keine Hexerei. Es gibt Programme, z.B. LC3, die Passwörter entschlüsseln. Die damalige Software konnte bereits eine Million Passwörter pro Sekunde testen. Ein einfacher, kurzer Key ist in Sekunden zu knacken. Programme können heute Worte auch schon mit Zahlen kombinieren. Daher ist ein komplexes Passwort zu verwenden, das man sich allerdings auch merken kann. Eine Idee ist, von einem Gedicht, das man im Kopf hat, jeweils den ersten Buchstaben der einzelnen Worte zu verwenden.«