Verschlüsselung

Rettung für Vergessliche

31.10.2012
Von  und Thomas Hemker
IT-Journalist aus München

Kollaborativ einsetzbar

Aus technischer Sicht ist das Neugenerieren eines Keys oder das Aufschließen mit einem "eingerichteten Data-Recovery Schlüssel" längst keine Herausforderung mehr. Wie beim klassischen Banksafe sind darüber hinaus Konstellationen möglich, bei denen zwei Berechtigte zugleich ihre Schlüssel nutzen müssen, um auf sensible Informationen zuzugreifen.

Im Symantec Endpoint Encryption Manager kann der Administrator unter anderem festlegen, dass Daten automatisch verschlüsselt werden, sobald der Anwender sie auf externe Speichermedien wie USB-Sticks kopiert.
Im Symantec Endpoint Encryption Manager kann der Administrator unter anderem festlegen, dass Daten automatisch verschlüsselt werden, sobald der Anwender sie auf externe Speichermedien wie USB-Sticks kopiert.
Foto: Symantec

Es sind Management-Features wie diese, die in der Verschlüsselungsbranche die Spreu vom Weizen trennen. Hier zeigt sich, ob Verschlüsselungstechnologie nur von den IT-Gurus des Unternehmens verwendet werden kann, oder ob es sich um eine Lösung aus einem Guss handelt, die allen Mitarbeitern gleichermaßen bequem zur Verfügung steht. PGP beispielsweise nutzt offene Standards wie OpenPGP, S/MIME, x.509 RSA und AES. Diese sind in zahlreichen Funktionen und Verschlüsselungsanwendungen implementiert, die auf die Geschäftswelt und ihre Prozesse ideal zugeschnitten sind.

Verschlüsselungssysteme

Die Grundlage vieler Verschlüsselungslösungen sind asymmetrische Schlüssel. Bei diesem Verfahren entfällt der aufwändige und unsichere Weg des Schlüsseltransports. Stattdessen stellt der Empfänger seinen so genannten öffentlichen Schlüssel zur Verfügung und der Sender nutzt diesen, um die Nachricht an ihn zu verschlüsseln. Der private Key bleibt im Besitz des Empfängers. Nur er kann die Verschlüsselung wieder aufheben. Damit dies funktioniert, musste eine mathematische Funktion gefunden werden, die nur "in eine Richtung" funktioniert, damit der öffentliche Schlüssel nicht missbraucht werden kann.

Die Lösung: Wenn man aus zwei großen Primzahlen eine große Zahl erzeugt, ist es sehr schwierig, aus dem Ergebnis wieder auf die beiden Faktoren zu schließen. Deshalb kann das Ergebnis als "öffentlicher Key" auch problemlos transportiert werden. Dies ist - stark vereinfacht erklärt - die Grundlage des RSA-Systems.

Nichtsdestotrotz hat die symmetrische wie die asymmetrische Verschlüsselung ihre Vorteile. Besonders beim Hybridverfahren, wie es bei der E-Mail-Verschlüsselung genutzt wird, lassen sich beide Welten optimal vereinen. Dabei erzeugt der Sender einen symmetrischen Sitzungsschlüssel - den Session Key - und kodiert damit die Nachricht. Den Schlüssel wiederum chiffriert der Sender mit dem öffentlichen, asymmetrischen Schlüssel des Empfängers. Sowohl die verschlüsselte Nachricht, als auch der Sitzungsschlüssel werden dann an den Empfänger geschickt. Der symmetrische Sitzungsschlüssel wird dort mit seinem geheimen asymmetrischen Schlüssel entschlüsselt. Schließlich kann der so gewonnene Sitzungsschlüssel dazu genutzt werden, die chiffriert übermittelte Nachricht zu entschlüsseln. (sh)