Verschlüsselungstechniken

Symetrischer Schlüssel

Diese Methode verdankt ihren Namen der Tatsache, dass Sender und Empfänger in Besitz des gleichen Schlüssels sein müssen, um
vertraulich miteinander zu kommunizieren.

Außer den beiden Kommunikationspartnern darf niemand den Schlüssel kennen (Secret-Key-Verfahren). Symetrische Schlüssel erreichen akzeptabel hohe Verschlüsselungsraten. Sie eignen sich deshalb besonders gut zur Verschlüsselung großer Datenmengen.
Der große Nachteil : Um die Nachricht verwerten zu können , muss der Empfänger den Schlüssel bereits besitzen. Die Übertragung des Schlüssels stellt einen Schwachpunkt dar.

Verschlüsselungsverfahren

Zeichenchiffrierung (überholt)
Stromchiffrierung verschlüsselt den Klartext Bit-weise über XOR-Operation ( RC4-Algoritmus/ WEP)
Blockchiffrierung; fasst Bitgruppen des Klartextes in Blöcken zusammen. (Trippel DES/AES)

Asymetrischer Schlüssel

Sie verwendert zwei komplimentäre Schlüssel, die so ausgewählt werden, dass mit einem Key chiffrierte Nachrichten nur mit dem zweiten
Key wieder dechiffriert werden können.

Einen der beiden Schlüssel kann man also gefahrlos öffentlich bekannt geben. Deswegen wird diese Vorgehensweise auch als Public Key-Verfahren bezeichnet.

Verschluesselung
Eine mit dem öffentlichen Schlüssel chiffrierte Nachricht kann nur mit dem privaten Schlüssel dechiffriert werden.

Vorteile von Public-Key-Verfahrens

es muss nur der private Schlüssel geheimgehalten werden
verschlüsselt wird vom Sender mit dem public-Key, diese Nachricht kann nur mit dem private-Key entschlüsselt werden

Nachteile des Public-Key-Verfahrens

Operationen werden durch das Verfahren wesentlich komplexer
im Vergleich zur Symetrischen Verschlüsselung ist das Public-Key-Verfahren langsamer (1 – 1000)

Sicherung der Schlüssel

der Private-Key muss geheim bleiben
ein weiterer Angriffspunkt ist die Verbreitung des öffentlichen Schlüssels

Echtheit des Public-Key

Es ist von zentraler Bedeutung, dass die Informationen über den öffentlichen Schlüssel und den dazu gehörigen Besitzer aus einer vertrauenswürdigen Quelle stammt. Hierzu existieren im Rahmen der Public-Key-Infrastructure (PKI) verschiedene Möglichkeiten:

Zertifizierungseinrichtung

es besteht die Möglichkeit sich die Identität des Schlüsselinhabers von einer Zertifizierungsstelle bestätigen zu lassen (VeriSign, Deutsche Post, usw.) Die Überprüfung der Schlüsselinhaber geschieht durch eine Certification Authority (CA), manchmal als Trust Center bezeichnet.

Web of Trust

als preiswerte Alternative zur Verwendung einer CA besteht die Möglichkeit, sich die Authentizität eines öffentlichen Schlüssels durch viele bereits bekannte Kommunikationspartner bestätigen lassen. PGP (Pretty Good Privacy)

Hybride Verschlüsselungsverfahren

Aufgrund der Langsamkeit des asymetrischen und die Verwundbarkeit des symetrischen Verfahrens, ist man dazu übergegangen, in Verschlüsselungssystemen beide Verfahren zu kombinieren.

zunächst wird durch eine zufällige Generierung vom Absender ein Sitzungsschlüssel für das symetrische Verschlüsselungsverfahren erzeugt.
dann wird dieser Sitzungsschlüssel mit Hilfe des öffentlichen Schlüssels des Empfängers verschlüsselt. Dadurch wird ein sicherer Kanal für den Schlüsselaustausch geschaffen.
die eigentlichen „Nutzdaten“ werden nun mittels des Sitzungsschlüssels mit symetrischen Verfahren chiffriert und übertragen
der Empfänger entschlüsselt zunächst den Sitzungsschlüssel mit Hilfe seines privaten Schlüssels für das asymetrische Verfahren und kann dann mit diesem Schlüssel die chifrierte Nachricht entschlüsseln und einsehen.

  • Diffie und Hellmann-Verfahren
  • RSA Verfahren (Erzeugung von asymetrischen Schlüsseln)

Hash-Wert/Fingerprint

Hash leitet sich von „to hash up“ (zerhacken, zerkleiner,…) ab
Synonymn = (MD)Message Digest (Auswahl, Auslese,…)

Eine Hashfunktion generiert aus einer Zeichenfolge beliebiger Länge eine zweite Zeichenfolge fixer Länge, meist 128 Bit.
Diese zweite Zeichenfolge bezeichnet man als Message Authentication Code (MAC).

Eine Hashfunktion muss dabei folgende Anforderungen erfüllen:

Sie muss eindeutig sein. Eine identische Eingangszeichenfolge muss zur selben Zeichenfolge am Ausgang führen.
Sie muss einfach zu berechnen sein.
Ihre inverse Funktion muss schwierig zu berechen sein.
Sie muss kollisionsresistent sein. d.h. zwei unterschiedliche Einganszeichenfolgen dürfen nicht die gleiche Ausgabe hervorrufen.

Aktuelle Version MD 5 (Message Digest Version5 -128Bit) Aktuelle Version SHA 1 (Secure Hash Algorithm1 -160Bit) Aktuelle Version SHA 256 (Secure Hash Algorithm -256Bit)

Da Hashes nicht reversibel sind, lassen sie sich nicht zur Verschlüsselung einsetzen. Dagegen lassen sie sich bei der Authentifizierung einsetzen. Passwörter werden gerne als MAC abgelegt, damit auch der Administrator sie nicht im Klartext lessen kann. Das Login überprüft dann lediglich ob der MAC des gesendeten Passwortes mit dem abgelegten Hash-Wert übereinstimmt. Auch für digitale Unterschriften (Digital Signatur) lässt sich ein MAC bestens einsetzen.

PGP (Pretty-Good-Privacy)

PGP bietet ein Freeware Komplett System, mit dem Verschlüsselungsaufgaben des Alltags problemlos bewältigt werden können:

Verschlüsslung von Emails
Verschlüsseln von Daten
Verschlüsseln von Netzwerkverbindungen

Hierzu bietet PGP:

generierung von Public-Privat-Keys
verwaltung von Schlüsseln
Einsatz gängiger symetrischer Verschlüsselungsverfahren
Digitale Signaturen
Zertifizierung (Web of Trust)

Sicherungen von Passwörtern, Schlüsseln, Zertifikaten

unverschlüsselte Sicherung auf Festplatten ist problematisch

Gängige Lösung:

Verschlüsselte Sicherungen in einem Ordner, mit symetrischem Schlüssel.
Die Signatur und Verschlüsselung bassiert auf Zertifikaten (SSL). Hier werden die Zertifikate auf einem sogenannten eToken gespeichert. Dieses wird an den USB Port des Rechners angeschlossen.