Cloud Security

Verschlüsselung in der Praxis

28.02.2016
Von 
Tom Zeller ist Diplom-Ingenieur und Managing Director der ENECA Management- und Beteiligungs-GmbH in Regensburg.

Vergleich beider Verfahren

Stellt man das symmetrische und das asymmetrische Verfahren gegenüber, so erinnert das symmetrische an einen Diplomatenkoffer, für den es zwei Schlüssel gibt: Absender wie auch Empfänger haben jeweils einen davon. Demgegenüber erscheint das asymmetrische Verfahren als eine Art Briefkasten, für den lediglich der Besitzer einen Schlüssel hat. Zwar kann nur er allein die Nachricht entnehmen, aber jeder kann etwas in den Briefkasten einwerfen. Wie bereits gezeigt hat das symmetrische Verfahren den Nachteil, dass gerade bei einer großen Anzahl an involvierten Personen unglaublich viele unterschiedliche Schlüssel benötigt werden. Allerdings besitzt auch die asymmetrische Kryptographie eine große Schwäche, die hier nicht unerwähnt bleiben soll. Infolge der im Hintergrund ablaufenden komplexen mathematischen Vorgänge dauern die Prozesse der Ver- und Entschlüsselung etwa 1.000-mal so lange wie bei symmetrischen Verfahren.

Zertifikate

Wenngleich die Schlüsselregister der asymmetrischen Kryptographie wunderbar einfach funktionieren, bergen sie doch eine große Gefahr: Ein kryptographischer Schlüssel ist nichts anderes als eine lange Abfolge von Bits (1 und 0). Er ist also völlig "unpersönlich", man sieht ihm nicht an, wem er tatsächlich gehört. Grundsätzlich könnte somit ein Betrüger seinen eigenen öffentlichen Schlüssel in ein Schlüsselregister laden und dabei behaupten, dieser Schlüssel würde einer anderen Person gehören. Wenn nun ein Dritter dieser anderen Person eine Nachricht schreiben möchte und zu diesem Zweck den Schlüssel aus dem besagten Register verwendet, dann schreibt er tatsächlich eine Botschaft, die durch den Betrüger entschlüsselt - und somit gelesen - werden kann. Denn der besitzt den hierfür benötigten privaten Schlüssel. Eine ausgesprochen gefährliche Situation für vertrauliche Informationen!

Schlüsselzertifikate stellen sicher, dass sich Schlüsselsender und -empfänger vertrauen können.
Schlüsselzertifikate stellen sicher, dass sich Schlüsselsender und -empfänger vertrauen können.
Foto: SSP Europe

Um derartige Angriffe auf das digitale Verschlüsselungssystem zu verhindern, muss bei den Nutzern Vertrauen geschaffen werden. Zu diesem Zweck wurden digitale Zertifikate entwickelt. Die Vorgehensweise dabei ist denkbar einfach: Bestimmte Stellen, sogenannte Zertifizierungsstellen, überprüfen die Eigentümerschaft eines öffentlichen Schlüssels und bestätigen diese anschließend dadurch, dass sie ein Zertifikat ausstellen. Dieser Nachweis hat im Prinzip dieselbe Beweisfunktion wie eine Urkunde, die an dem öffentlichen Schlüssel befestigt wird. So kann jeder, der sich diesen Schlüssel besorgt, sehen, wem er tatsächlich gehört. Auf diese Weise kann man sicher sein, keinen falschen Schlüssel untergeschoben bekommen zu haben.

SSL/TLS-Verbindungen im Alltag

Auch wenn die vorgestellten Verschlüsselungsmechanismen unglaublich abstrakt klingen, greift gleichwohl jeder, der sich in der digitalen Zeit im Internet bewegt, regelmäßig auf sie zurück. Denn sobald eine Webseite über eine verschlüsselte HTTPS-Verbindung aufgerufen wird, übermittelt der kontaktierte Server sein Zertifikat inklusive seines öffentlichen Schlüssels. Damit kann der Browser überprüfen, ob er auch tatsächlich den richtigen Schlüssel erhalten hat. Sollte es Unstimmigkeiten geben, meldet der Browser diese dem Benutzer unmittelbar in einer Zertifikatswarnung. Hat dagegen alles seine Ordnung, wählt sich der Browser vereinfacht ausgedrückt einen zufälligen symmetrischen Schlüssel aus, der für die Kommunikation mit dem Webserver zum Einsatz kommen soll.

Sobald ein Vertrauensverhältnis zwischen Server und Client aufgebaut wurde, ist auch wieder das symmetrische Verfahren möglich, um Zeit zu sparen.
Sobald ein Vertrauensverhältnis zwischen Server und Client aufgebaut wurde, ist auch wieder das symmetrische Verfahren möglich, um Zeit zu sparen.
Foto: SSP Europe

Jetzt stellt sich natürlich die Frage, wie dieser symmetrische "geheime" Schlüssel zum Webserver gelangen soll? Schließlich muss dieser ihn auch kennen, damit er die übertragenen Nachrichten überhaupt entschlüsseln kann.

Die Lösung ist denkbar einfach: Der Browser codiert den symmetrischen Schlüssel zusammen mit dem öffentlichen Schlüssel des Webservers, den er bereits zuvor - gemeinsam mit dem Zertifikat - erhalten hatte, und schickt ihn über die digitale Datenbahn. Der Webserver kann dann den symmetrischen Schlüssel nach Erhalt decodieren, weil er den passenden privaten Schlüssel hat. Ab diesem Punkt kann auch ein wesentlich schnelleres symmetrisches Verfahren genutzt werden, um die sensiblen Daten zu übermitteln.