Inhalt

• Wie funktioniert die Verschlüsselung
  • Was kann man sich darunter vorstellen?
  • Das Verfahren
  • Die Gefahr
  • Wie Sie sich dagegen schützen können
• Unterschied zwischen PGP und Zertifikaten (X.509 / S/MIME)
  • PGP
    • Web of Trust
    • Gefahren
  • Philosophie von Zertifikaten

Wie funktioniert die Verschlüsselung

Zertifikate (X.509) undd PGP gehören zu der sogenannten Öffentlicher-Schlüssel-Infrastruktur, besser bekannt unter "Public-Key-Infrastructure" (PKI) .

Die Erklärung wird am Beispiel von PGP verdeutlicht, kann aber grundlegend auch auf Zertifikate übertragen werden.

Was kann man sich darunter vorstellen?

Das PKI Verfahren ist ein asymmetisches Verfahren. Hierbei werden zwei Schlüssel benutzt:

• ein öffentlicher Schlüssel (public key) und der dazugehörige
• private Schlüssel (private or secret key)

Der öffentliche Schlüssel (public key) wird zum Verschlüsseln (encryption) genutzt während der private Schlüssel (privat or secret key) zum Entschlüsseln (decryption) genutzt wird.

Asymmetrisch bedeutet in dem Fall, dass nicht ein und derselbe Schlüssel zum Verschlüsseln und Entschlüsseln genutzt wird.

Das Verfahren

Möchten Sie an Person A eine Nachricht verschlüsselt senden,z.B. eine E-Mail, brauchen Sie deren öffentlichen Schlüssel (public key). Dieser versetzt Sie in die Lage, eine Nachricht an die Person A zu verschlüsseln.

Da die Person A das passende Gegenstück, den privaten Schlüssel (private or secret key) besitzt, ist nur Person A in der Lage, die verschlüsselte Nachricht zu entschlüseln.

Die Gefahr

Da sich jeder einen eigenen Schlüssel, mit seinem Namen und seiner E-Mail Adresse erstellen kann, besteht die Gefahr, dass ein Schlüssel erzeugt wird, der den Namen und die E-Mail eines anderen widergibt.

So kann Person B zum Beispiel  den Namen und die E-Mail von Person A angeben.

Sollten Sie nun den öffentlichen Schlüssel von Person A verlangen, und bekommen ausversehen (oder bewusst) den falschen Schlüssel von Person B geschickt, mit falschen Namen und E-Mail, laufen Sie Gefahr, wichtige oder vertrauliche Informationen unbewusst an Person B zu verschlüsseln, also an einen Fremden.

Wie Sie sich dagegen schützen können

Sie werden wohl nicht bei der Erzeugung des Schlüssels dabei sein, um zu bestätigen, dass der Schlüssel direkt von Person A kommt. Dies ist auch nicht notwendig.

Jeder Schlüssel der erzeugt wird, enthält, wie der Mensch auch, einen eindeutigen Fingerabdruck (fingerprint).

Zwar besteht theoretisch die Möglichkeit, eine Fingerabdruck ein zweites Mal zu erhalten, dies ist aber eher theoretischer Natur, da jedes Berechnungsprogramm auf einer gewissen Grundmenge besteht, die endlich ist.

Wir nehmen daher an, dass die Wahrscheinlichkeit, dass jemand einen Schlüssel erzeugt, der genau die gleichen Daten wie Name und E-Mail Adresse hat und zudem auch noch einen identischen Fingerabdruck, gegen 0 läuft.

Durch diesen Fingerabdruck (fingerprint) sind Sie nun in der Lage, den Schlüssel zu vergleichen und zu verifizieren, ob der Schlüssel wirklich zu Person A gehört.

Zum Beispiel können Sie Person A anrufen und sich den Fingerabdruck (fingerprint) vorlesen lassen oder aber Sie haben die Möglichkeit den Fingerabdruck (fingerprint) im Internet auf dessen Homepage oder gedruckt auf der Visitenkarte zu vergleichen.

Unterschied zwischen PGP und Zertifikaten (X.509 / S/MIME)

Oben hatte wir geschrieben, dass zwischen PGP und Zertifikaten ein grundsätzlich ähnliches Vorgehen besteht. Beide System vervolgen aber eine unterschiedliche Philosohpie.

Philosophie von PGP

PGP baut auf das sogenannte "Web of Trust". Das heißt, dass jede Person oder Firma sich seinen eigenen Schlüssel erstellen kann. Bis hierher besteht also keine Gewissheit, dass der Schlüssel wirklich von der Person ist, die im Namen des Schlüssels erwähnt ist.

Web of Trust

Die Gewissheit wird durch die Signierung von anderen Personen sichergestellt. Erhält man den Schlüssel von einer Person und ist sich sicher, dass der Schlüssel zu der Person gehört, sollte man diesen Schlüssel mit seinem eigenen Schlüssel signieren. Stellt man nun den so signierten Schlüssel der Person der Allgemeinheit zur Verfügung, können andere Personen den Schlüssel und die Signatur erkennen. Vertraut eine Dritte Person nun Ihnen, so kann die Dritte Person auf Grund Ihrer Signatur auch sehr sicher sein, dass der Schlüssel, den Sie signiert haben, auch von der Person ist, die im Namen des Schlüssel genannt wird.

Somit entsteht eine Kette von Vertrauen. Kurz ausgedrückt:

Person A vertraut Person B. Person B kennt und vertraut Person C. Somit kann Person A auch dem Schlüssel von Person C vertrauen.

Gefahren beim Web of Trust

Die Gefahr liegt in der leichtfertigen Signierung von Schlüsseln. Wenn nicht ausreichend geprüft wird, ob ein Schlüssel wirklich zu der betreffenden Person gehört, können Lücken und erhebliche Sicherheitsrisiken entstehen.

Daher sollten Sie darauf achten, wem Sie uneingeschränkt vertrauen.

Philosophie von Zertifikaten

Bei Zertifikaten existiert das Web of Trust in einer anderen Form. Hierbei werden die von den Personen erzeugten Zertifikate von einer Zertifizierungsstelle bestätigt. Auch hier gibt es Abstufungen. Hey nachdem wie sicher sein Zertifikat sein soll, muss man persönlich vorstellig werden und das Zertifikat bestätigen.

Hierbei tritt eine zentrale Stelle für die Echtheit jedes Zertifikates ein. Ähnlich dem PostIdent von der Post, das bei der Beantragung von Konten bei einer Bank Anwendung findet. Hierbei prüft die Post ihre Identität und bestätigt diese gegenüber der Bank.

Zusätzlich zu der Bestätigung durch eine zentrale Stelle, der Sie natürlich auch Vertrauen müssen, haben Zertifikate meist eine begrenzte Laufzeit, so dass hier eine regelmäßige Erneuerung stattfinden muss. In der Regel 2 Jahre.