Kryptografie

Die Frage nach der Sicherheit von Daten und Kommunikation ist eine Frage der sicheren Verschlüsselung von Informationen, so dass diese nur noch von Beteiligten, nicht aber von Dritten gelesen werden können. Die Zukunft des Internet, der Sicherheit von Online geführten Konten oder auch privater Korrespondenz hängt ab von der inzwischen mathematischen Kunst der Kryptografie.

Die Frage nach der Sicherheit von Daten berührt folgende Punkte:

• Den Schutz der über das Netz verschickten Daten beim Transport über das Netz, so dass diese auf dem Weg vom Absender zum Empfänger weder "mitgelesen" noch verändert werden können.
• Die Sicherheit über die Identität der Beteiligten, die im Netz Daten versenden oder empfangen.

Diese Punkte berühren jede Art von Aktivität im Netz, vor allem aber kommerzielles Handeln. Erst wenn der Kunde sich sicher sein kann, dass er wirklich auf der Webseite des vermeintlichen Anbieters ist, wenn er überzeugt davon ist, dass die Daten, die er an ihn übermittelt, auch unverfälscht und von Dritten unerkannt ankommen, erst dann ist damit zu rechnen, dass das Internet die ihm zugedachte Rolle in der "New Economy" auch spielen kann.

Grundlagen der Kryptografie

Im Mittelpunkt der Anstrengungen, das Netz sicherer zu machen, steht die Kryptografie, die Verschlüsselung von Daten. (griechisch: "kryptos" für geheim, verborgen, "graphein" für schreiben) Wie bei den alten Geheimschriften wird auf einen zu verschlüsselnden Text (oder eine Datei) ein bestimmtes Verfahren angewandt, um aus dem Klartext einen für jemand Unbefugtes unleserliche Information zu machen. Ein solches Verfahren wäre etwa, in jedem Satz die Buchstaben innerhalb des Alphabets um einen festgelegte Anzahl zu verschieben. Wird jeder Buchstabe etwa um einen Buchstaben im Alphabet nach hinten gerückt, so ergibt sich aus

Kryptografiedas WortLsxquphsbqijf

Wichtig ist der Unterschied zwischen Verfahren und Schlüssel. Das Verfahren ist das "Verschieben von Buchstaben", der Schlüssel ist die Regel "+1".

Dass es bei dieser Verschlüsselung für einen Dritten nicht sehr schwierig ist, sich Zugriff auf das Wort zu verschaffen, leuchtet ein, auch wenn dieser weiß, um welches Verfahren es sich handelt. Das Verfahren wird dann sicherer, wenn der Schlüssel komplizierter, also stärker oder mächtiger wird. Der Schlüssel könnte aus fünf Zahlen bestehen, um die nacheinander die Buchstaben abwechselnd verrückt werden. Der Schlüssel "16597" wäre dann schon erheblich schwerer zu erraten.

Natürlich hat dieses Beispiel im Computerzeitalter keine besonders überragende Bedeutung mehr - mit einfacher Buchstabenverschieberei lässt sich heute niemand mehr überlisten. Doch das Prinzip heutiger Verschlüsselungen besteht weiter aus dem Verfahren und dem Schlüssel, für den es wichtig ist, dass er geheim und stark ist. Das Beispiel zeigt auch: 100-prozentige Sicherheit ist auch beim Einsatz moderner Technik nicht zu bekommen - kryptografische Verfahren werden daher immer weiterentwickelt um den Angriffsmöglichkeiten auf codierte Botschaften durch den Fortschritt der Computertechnik zu begegnen. Ein Verfahren ist immer nur "nach dem Stand der Technik" als sicher anzusehen, die Entscheidung für den Einsatz von Verfahren ist immer eine Kombination aus Überlegungen zur Kostenseite des Verfahrens (Rechenzeit und Bedienungsaufwand) und der Einschätzung des Aufwandes, der zu seinem Bruch nötig ist.

Schlüsseltypen

In der Kryptografie können symmetrische und asymmetrische Verschlüsselungsverfahren unterschieden werden. Das vorgenannte Beispiel zeigt eine symmetrische Verschlüsselung: zum Codieren und Decodieren des Wortes wird ein und derselbe Schlüssel zur Anwendung gebracht. Das Problem des Verfahrens liegt auf der Hand: Sender und Empfänger der Information müssen beide im Besitz des selben Schlüssels sein - doch wie gelangen beide in den Besitz des Schlüssels, ohne dass ein Dritter ihn zu Gesicht bekommt? Außer dem Austausch "unter vier Augen" ist jede Art des Verschickens des Schlüssels ein Risiko. Deshalb wird das Verfahren auch "Secret-Key"-Verschlüsselung genannt - für die Sicherheit der Verschlüsselung ist die absolute Geheimhaltung des Schlüssels ausschlaggebend.

Das Problem umgeht die asymmetrische Verschlüsselung von Daten. Bei diesem Verfahren existieren zwei Schlüssel: einer, mit dem die Nachricht codiert, verschlüsselt wird, und einer, mit dem die Nachricht wieder lesbar gemacht werden kann. Mit dem Verschlüsselungs-Key oder Public-Key ist das nicht mehr möglich - ist die Nachricht erst einmal codiert, kann nur noch der Besitzer des Secret-Key diese wieder herstellen. Das Verfahren beruht also auf einem Schlüsselpaar, das zusammengehört. Derjenige, der eine codierte Nachricht empfangen möchte, kann den Public Key beliebig auf jedem Wege, auch einem unzuverlässigen, weitergeben, während er den Entschlüsselungs-Key vor dem Missbrauch Dritter geheim zu halten hat. Eine Nachricht kann auch mit mehreren Public-Keys verschlüsselt werden, so dass mehrere Empfänger Zugriff auf die Informationen haben.

Asymmetrische Verfahren haben den Nachteil, dass sie erheblich langsamer arbeiten und in besonderen Einzelfällen auch angreifbar sind - um dieses Problem zu lösen, werden hybride Verfahren, also die Kombination beider Verfahren eingesetzt, die das Ganze sicherer machen. Zur Beurteilung der Stärke eines Verschlüsselungsverfahrens wird die Schlüssellänge bzw. herangezogen, die Schlüssellänge wird in Bit angegeben.

Verschlüsselungsmethoden

Die Verschlüsselung von Daten beruht nicht auf der Geheimhaltung des Verfahrens sondern auf der Vertraulichkeit der Schlüssel. Dieses Prinzip gewährleistet, dass Mathematiker und Informatiker Methoden auf ihre Angreifbarkeit prüfen und die Sicherheit angesichts der vorhandenen Rechenleistung moderner Systeme bewerten kann. Die Sicherheit eines Verfahrens und seiner Schlüssel in verschiedenen Längen wird zumeist beurteilt über eine Berechnung, wie lange leistungsfähige Rechner bräuchten, um durch "Ausprobieren" den Schutz zu überwinden, eine so genannte "Brute Force Attack" (Angriff mit roher Gewalt).

Eine Handvoll Algorithmen, also Rechenanweisungen finden im Netz und im kommerziellen Einsatz Gebrauch:

• DES (Data-Encryption-Standard) war von 1977 bis 200 offizieller Verschlüsselungsstandard der US-Regierung. Das symmetrische Verfahren war 1998 Gegenstand eines Entschlüsselungswettbewerbs, der von einem Internetrechnerverbund gelöst wurde, womit das Verfahren trotz steigender Schlüssellängen nicht länger als sicher galt. Weiterhin als sicher gelten die Weiterentwicklungen Tripple-DES oder RC1-4
• RSA (benannt nach den Entwicklern Rivest, Shamir und Adleman) ist ein Public-Key-Verfahren, dass bei großen Schlüssellängen ab 1024 bit als weiterhin sicher gilt. (Auf RSA basiert die SSL-Verschlüsselung)
• AES (Advanced Encraption Standard) ist seit 2000 das Standard-Verschlüsselungsverfahren in den USA.

Anwendungsfelder

Kryptografie spielt vor allem eine Rolle beim Austausch von Daten zwischen Rechnern im Internet, die nicht von Dritten gelesen werden sollten. Am bekanntesten ist die SSL (Secure-Socket-Layer) Technik, aber auch beim Aufbau "virtueller Netze" (Virtual Private Networks) und der Verschlüsselung von E-Mails ist die Wahl eines Kryptografie-Standards von entscheidender Bedeutung. Auch die virtuelle Unterschrift, die "Digitale Signatur" beruht auf Public-Key-Infrastrukturen.

In der politischen Diskussion ist die Kryptografie bereits seit den Zeiten des kalten Krieges - seit den 70er Jahren hatten die USA den Export von starken Verschlüsselungsmethoden verboten, erst 1999 wurde die Weitergabe freigegeben. Allerdings wird immer wieder gefordert, dass etwa bei der Verschlüsselung von E-Mails ein Schlüssel für Sicherheitsbehörden zu hinterlegen sei, damit Polizei und/oder Geheimdienste weiterhin Kommunikation überwachen können. Die Furcht vor der mitlesenden Staatsmacht oder auch vor Konkurrenten lässt regelmäßig vor allem europäische Unternehmen gegen entsprechende Vorhaben protestieren.

Eng verwandt mit der Kryptografie ist die so genannte Steganografie, die Daten nicht nur verschlüsselt sondern in anderen Daten versteckt. Mit Hilfe entsprechender Software gelingt es etwa, Texte in einer Bilddatei zu verbergen - dem unvoreingenommenen Betrachter erscheint das Bild nur als Bild, der Besitzer des entsprechenden Schlüssels vermag die ursprünglichen Informationen wieder sichtbar zu machen.

Weiterführende Links zum Thema Sicherheit im Internet:www.sicherheit-im-internet.dewww.bsi.bund.de