security:verschlüsselung

Verschlüsselung (Kryptographie)

Verschlüsselung bzw. Kryptographie (vom griechischen kryptós, „verborgen“, und gráphein, „schreiben“) ist im ursprünglichen Sinne die Wissenschaft der Verschlüsselung von Informationen („Geheimschriften“). Heutzutage beschäftigt sie sich allgemein mit dem Schutz von Daten durch deren Transformation, in der Regel unter Einbeziehung von geheimen Schlüsseln.

Interessant in der Praxis sind dabei TP (Trusted Platform)-Module zum Schutz privater Schlüssel (siehe asymmetrische Verschlüsselung). TPM Module sind auf vielen neuen Computern bereits integriert.

Ebenfalls interssant ist Hardwarebeschleunigung (für bestimmte crypto-berechnungen), die neben der beschleunigten Verarbeitung (und der CPU-Entlastung) ebenfalls einen gesicherten Speicherplatz für private Schlüssel bietet. Allerdings ist CPU-Leistung immer billiger zu haben, so dass spezielle Beschleunigermodule oft nicht wirtschaftlich genug sind.

Einige Intel iCore-Prozessoren bringen AES-Beschleunigung1) bereits mit, die z. B. Truecrypt nutzen kann.

Kryptologie
Kryptografie Nachrichten werden mit Hilfe eines Schlüssels zu zu Geheimschriften chiffriert
Kryptoanalyse Untersuchung der Sicherheit von Geheimnachrichten.
Steganografie
KlassischVerwendung unsichtbarer Tinte (Zitronensaft) und Sichtbarmachen durch Wärme
ModernVerstecken der Nachricht in digitalen Bildern und Tönen durch Grauschleier und Rauschen

Die Link-Link-Verschlüsselung (Verschlüsseln der Blöcke in der Bitübertragungschicht) kann die bestehenden Verbindungen verbergen, in jedem Knoten werden jedoch die Daten wieder im Klartext dargestellt.

Eine Verschlüsselung nur der Benutzerdaten in der Vermittlungsschicht (Knoten-Knoten-Verschlüsselung). Wenig nützlich und wird daher nicht empfohlen.

Eine End-End-Verschlüsselung ist eine Verschlüsselung der Benutzerdaten in einer der Anwendungsschichten, z.B. in der Darstellungsschicht). Da häufig die Verbindung zwischen einzelnen Teilnehmern nicht verborgen zu werden braucht, ist eine End-End-Verschlüsselung die häufigste Anwendung der Kryptographie in öffentlichen Netzen. Andernfalls sollte eine Link-Link-Verschlüsselung dazu kommen.

Kurzfassung

Prinzip eines geheimen verabredeten Passwortes, das sowohl Empfänger als auch Sender einer Nachricht kennen.

Verwendung eines Schlüsselpaares, das aus dem öffentlichen- und einem privaten Schlüssel besteht. Die konventionelle, symmetrische Verschlüsselung beruht auf dem alten Prinzip eines geheimen verabredeten Wortes, das sowohl Empfänger als auch Sender einer Nachricht kennen. Dies ist auch das Problem dabei, denn das geheime Wort muß über eine sichere Verbindung überbracht werden. Für jeden zusätzlichen Partner muss man sich ein anderes Passowort/Geheimwort merken und sicher überbringen, was die Sache außerordentlich kompliziert macht.

Es gibt sie auch schon seit der Antike, interessant ist in diesem Zusammenhang ein Buch von Simon Singh: Geheime Botschaften.

  • Der Vorteil der symmetrischen Verschlüsselung ist dafür aber eine ziemlich gute Geschwindigkeit, was man von asymmetrischen Verfahren nicht behaupten kann.
  • Man sollte Schlüssellängen von :!: mindestens 128 Bit benutzen
  • gängige Verfahren (Verschlüsselungsalgorithmen) sind z.B. AES, Blowfisch, TripleDES

Kurzfassung

Verwendung eines Schlüsselpaares, das aus dem öffentlichen- und einem privaten (geheimen) Schlüssel besteht.

Bei der asymmetrischen Verschlüsselung erzeugt man sich durch geeignete Programme (wie GnuPGP) ein Schlüsselpaar, das aus dem öffentlichen- und einem privaten Schlüssel besteht.

  • Der private Schlüssel (private key) muss geheim gehalten werden. Wenn er verloren geht kann man weder eine Nachricht ver- und entschlüsseln bzw. jemand kann das nun, der das nicht sollte. Im Verlustfall sollte man seinen Schlüssel durch ein vorher erzeugten „revoke key“ ungültig machen.
  • Der öffentliche Schlüssel (public key) ist für den Rest der Welt. Man kann den öffentlichen Schlüssel jedem geben, der einem vielleicht einmal eine Nachricht zukommen lassen will, z.B. auf der eigenen Homepage. Man kann (und sollte) ihn auch auf einem Keyserver veröffentlichen.

Verschlüsselt man seine Nachricht nun mit dem öffentlichen Schlüssel des Adressaten, kann nur dieser mit seinem privaten Schlüssel die Nachricht entziffern.

  • Der Vorteil dieser Methode liegt darin, daß der Schlüssel sehr leicht zu verbreiten ist. Es ist nicht kritisch, wenn er in falsche Hände fällt. Die steigende Anzahl der Kommunikationspartner ist nun kein großes Problem mehr. Bei symmetrischer (herkömmlicher) Verschlüsselung muß zumindest ein Paßwort für JEDEN Kommunikationspartner über eine sichere Verbindung überbracht werden. Allerdings muss man drauf achten, keine falschen öffentlichen Schlüssel untergeschoben zu bekommen.

:!: Man sollte eine Schlüssellänge von mindestens 1024 Bit wählen, besser 2048 Bit. Wesentlich mehr kann auf alten Rechner aufgrund des expontiell steigenden Rechenaufwandes schon zu ordentlichen Wartezeiten führen. Außerdem ist es sinnvoll den privaten Schlüssel mit einer möglichst langen „Passphrase“ zu schützen, falls doch einmal die Datei mit dem privaten Schlüssel gestohlen wird.

Das kann allerdings bei Webservern mit SSL-Verschlüsselung dazu führen, das bei jedem Neustart des Webservers die Passphrase eingegeben werden muss.

PKI-Infrastruktur

Eine Public-Key-Infrastruktur (PKI, engl. public key infrastructure) bezeichnet in der Kryptologie und Kryptografie ein System, welches es ermöglicht

  1. digitale Zertifikate auszustellen
  2. zu verteilen
  3. und zu prüfen.

Die innerhalb einer PKI ausgestellten Zertifikate werden zur Absicherung computergestützter Kommunikation verwendet.

Building an Open Source PKI using OpenXPKI Red Hat Certificate System ist Open Source Red Hat Certificate System

Kurzfassung

Die Verwendung von symmetrischer und asymmetrischer Verschlüsselung. Über die asymmetrische Verschlüsselung wird der symmetrische (Sitzungs-) Schlüssel übermittelt.

Bei der Hybriden Verschlüsselung kombiniert man asymmetrische Verschlüsselung und symmetrische Verschlüsselung. Hybride Verschlüsselungsverfahren werden z. B. bei der Datenübertragung zwischen zwei Gegenstellen in einem Netzwerk verwendet.

Der Verbindungsaufbau geschieht dort in der Regel mit Hilfe von Schlüsselpaaren (asymmetrisch), die eigentliche Datenübertragung erfolgt zugunsten niedrigerer Anforderung an die Rechenleistung auf beiden Seiten mit demselben Schlüssel (symmetrisch). Damit werden die Vorteile beider Verfahren genutzt - die hohe Geschwindigkeit für die symmetrische Verschlüsselung der Nutzdaten und die sicherere asymmetrische Verschlüsselung für den kleinen Session Key.

Das Verfahren kommt unter anderem bei den Netzwerkprotokollen IPsec und SSL zum Einsatz.

Schema Hybride Verschlüsselung; Lizenz: GNU-FDL 1.2


1)
Intel AES-NI-Instruktionen