IT-Academy Logo
Sign Up Login Help
Home - Netzwerke - Verschiedenes - Verschlüsselung & Digitale Zertifikate



Verschlüsselung & Digitale Zertifikate

Anwendungsbereiche und Funktionsweise werden näher erläuter.


Autor: Jochen Berner (jberner)
Datum: 05-10-2002, 17:12:11
Referenzen: http://www.enteract.com/~lspitz/digcerts.html (der englische Originalartikel)
Schwierigkeit: Anfänger
Ansichten: 13307x
Rating: Bisher keine Bewertung.

Hinweis:

Für den hier dargestellte Inhalt ist nicht der Betreiber der Plattform, sondern der jeweilige Autor verantwortlich.
Falls Sie Missbrauch vermuten, bitten wir Sie, uns unter missbrauch@it-academy.cc zu kontaktieren.

[Druckansicht] [Als E-Mail senden] [Kommentar verfassen]



Einleitung

Dieser Artikel beschäftigt sich mit digitalen Zertifikaten & Verschlüsselung, wie sie funktionieren und mit dem e-Commerce zusammenhängen

Der Bedarf nach Sicherheit

Information, die im Internet von einem Computer zum anderen gesendet wird, durchläuft auf ihrem Weg zahlreiche Zwischenstationen, bevor sie am Ziel ankommt. Normalerweise überwachen die Benutzer dieser Zwischenstationen nicht den Netzwerkverkehr, der über ihre Systeme läuft, aber jeder, der möchte kann ihre privaten Unterhaltungen oder Käufe per Kreditkarte abfangen und belauschen. Noch schlimmer: er kann ihre Informationen durch seine eigenen ersetzen und erneut abschicken.

Wegen des Aufbaus des Internets und von Intranets wird es immer eine Möglichkeit für skrupellose Menschen geben, Daten während der Übermittlung abzufangen und zu verändern. Ohne Sicherheitsmaßnahmen, sind Benutzer immer gefährdet wenn sie Daten über das Inter- oder Intranet senden. Diese Tatsache hat ernste Auswirkungen für den eCommerce. Damit eCommerce überhaupt existieren kann, muss eine Methode existieren, Daten sicher über das Internet zu versenden. Ohne die Möglichkeit zur sicheren Kommunikation kann eCommerce nicht existieren.

Wie schütze ich meine Daten?

Digitale Zertifikate & Verschlüsselung sind die Lösung für den eCommerce. Benutzt man sie zusammen, sichern sie ihre Daten während sie durch das Internet reisen.
Verschlüsselung ist das Anwenden eines mathematischen Algorithmus um Information in ein nicht lesbares Format umzuwandeln (dieses Format heißt cipher text). Entschlüsselung ist das Anwenden eines anderen Algorithmus um verschlüsselte Informationen in lesbaren Text zurückzuwandeln (dieses Format heißt Klartext).
Digitale Zertifikate sind wie ein digitaler Ausweis, eine Internetidentität. Sie sind die Bestätigung ihrer Identität und Beweis der Integrität ihrer Daten.
Kombiniert man Verschlüsselung und Zertifikate schützen und sichern sie Ihre Daten auf vier Arten:

Authentisierung

Die digitale Bestätigung Ihrer Identität, ganz genau so wie ihr Personalausweis Ihre Identität beweist. Es ist sehr einfach, gefälschte eMails zu verschicken. Ich kann irgend jemand auf der Welt eine eMail schicken, in der ich behaupte, der Präsident der Vereinigten Staaten zu sein. Mit Standardmailprogrammen gibt es keine Möglichkeit, zu überprüfen wer der wirkliche Absender ist. Mit digitalen Unterschriften und Zertifikaten versieht man die eMail mit überprüfbaren Beweisen seiner Identität.

Integrität

Dies ist die Bestätigung, das die verschickten Daten nicht verändert wurden. Wenn eMail oder andere Daten über das Internet verschickt werden, werden sie auf ihrem Weg über verschiedene Stationen geleitet. Es ist möglich, eine eMail abzufangen, zu verändern und sie erneut zu schicken. Ein Beispiel: ihr Boss schickt dem Firmenchef eine eMail darüber, das sie gefeuert werden sollten. Sie können diese eMail abfangen und ihren Inhalt so ändern, das sie eine 10.000 Euro Prämie bekommen sollen. Mit digitalen Zertifikaten kann die eMail nicht geändert werden, ohne das der Empfänger es bemerkt.

Verschlüsselung

Stellt sicher, das ihre Daten auf ihrem Weg von niemand gelesen oder verwendet werden können. Die Nachricht wird in unverständliches Blabla umgewandelt bevor sie ihren Computer verlässt. In diesem Zustand bleibt sie, solange sie im Internet unterwegs ist. Sie wird erst dann entschlüsselt, wenn der Empfänger sie erhält. Da public-key-Verschlüsselung (wird später behandelt) eingesetzt wurde, kann nur der Empfänger die Nachricht entschlüsseln, sonst niemand.

Tokenüberprüfung

Digitale Token ersetzen Passwörter, die man leicht erraten kann. Token bieten einen sichereren Weg, um auf sensible Daten zuzugreifen. Die übliche Methode um Daten oder eine Webseite zu sichern besteht in der Verwendung von Passwörtern. Bevor jemand auf diese Daten zugreifen kann, wird er aufgefordert, seine Benutzerkennung und das dazugehörige Passwort einzugeben. Dies lässt sich jedoch leicht mit Hilfe von Software (wie Crack 5.0 u.ä.) knacken. Passwörter lassen sich aber auch mit anderen Mitteln herausfinden, wie z.B. dem "social engineering". Passwörter sind nicht sicher! Tokenüberprüfung bietet mehr Sicherheit. Ihr digitales Zertifikat ist eine verschlüsselte Datei, die sich auf ihrer Festplatte befindet. Wenn Sie Zugriff auf ein System benötigen, werden Sie nach Ihrem Zertifikat und nicht nach Ihrem Passwort gefragt. Ihr Computer schickt ihr (verschlüsseltes) Zertifikat über das Internet um Sie für die Benutzung zu legitimieren. Um diesen Aufbau zu kompromittieren, müsste jemand die Datei von Ihrem Computer herunterkopieren UND Ihr Passwort für die Entschlüsselung kennen.

Wie funktioniert das alles?

Verschlüsselung

Um zu verstehen, wie alles funktioniert sollten wir mit den Grundlagen beginnen. Verschlüsselung gibt es seit Jahrhunderten. Julius Caesar benutzte vor tausenden von Jahren verschlüsselte Botschaften um mit Rom zu kommunizieren. Diese traditionelle Kryptographie beruht auf einem geheimen Schlüssel, den sowohl der Sender als auch der Empfänger kennen und verwenden. Der Sender benutzt diesen Schlüssel, um die Botschaft zu chiffrieren und der Empfänger benutzt den gleichen Schlüssel um die Nachricht zu dechiffrieren. Bei Caesar wurde der Buchstabe A durch ein D ersetzt, B durch E, C durch F usw. Der Empfänger kannte diese Ersetzungsvorschrift, den Schlüssel, und konnte die Nachricht lesen. Diese Methode ist bekannt als "secret-key" oder "Symmetrische Verschlüsselung". Das Hauptproblem dieser Methode besteht darin, das sich Sender und Empfänger auf einen gemeinsamen Schlüssel einigen müssen, ohne das jemand anderes ihn erfährt. Beide Seiten müssen einen sicheren Weg finden sich zu einigen oder den gemeinsamen Schlüssel auszutauschen. Da alle Schlüssel geheim bleiben müssen, ist es bei der symmetrischen Verschlüsselung oft schwer eine sichere Schlüsselverwaltung zu implementieren, ganz besonders gilt dies in offenen Systemen mit einer Vielzahl von Benutzern wie dem Internet.

Vor 21 Jahren fand aber eine Revolution statt, die das alles geändert hat: die "Public-Key-Kryptographie". Im Jahr 1976 stellten Whitfield Diffie und Martin Hellman diese neue Methode der Verschlüsselung und Schlüsselverwaltung vor. Ein "Public-Key-Kryptosystem" ist ein kryptographisches System das ein Paar von einzigartigen Schlüsseln (öffentliche und private/geheime Schlüssel) nutzt. Eine Nachricht, die mit einem dieser Schlüssel verschlüsselt wurde, kann nur durch anderen Schlüssel des Paares entschlüsselt werden.

Der öffentliche Schlüssel kann anderen zur Verfügung gestellt werden, wenn Information verschlüsselt und an ein Individuum gesendet werden soll. Beispielsweise können Leute den öffentlichen Schlüssel einer Person verwenden, um Informationen zu verschlüsseln, die sie dieser Person senden wollen. Anders herum können sie den öffentlichen Schlüssel verwenden, um Nachrichten zu entschlüsseln, die Sie von der Person erhalten haben.

Der private Schlüssel ist nur dem Individuum zugänglich, für den er erstellt wurde. Er kann damit Nachrichten entschlüsseln, die mit seinem öffentlichen Schlüssel verschlüsselt wurden oder Nachrichten verschlüsseln, die nur mit seinem zugehörigen öffentlichen Schlüssel lesbar gemacht werden können.

Was heißt das?

Der Schlüsselaustausch ist nicht länger ein Sicherheitsproblem. Ich habe meinen öffentlichen und meinen privaten Schlüssel. Den öffentlichen kann ich jedermann im Internet schicken. Mit diesem werden dann die eMails an mich verschlüsselt. Da zur Verschlüsselung mein öffentlicher Schlüssel genutzt wurde, kann auch NUR ich mit meinem privaten Schlüssel die Nachrichten wieder lesbar machen. Wenn ich Nachrichten an jemand anderen im Internet verschlüsseln möchte, benötige ich deren öffentlichen Schlüssel. Jedes Individuum, das sich beteiligt, benötigt sein eigenes Schlüsselpaar.

Die große Frage ist jetzt: wenn ich von jemandem seinen öffentlichen Schlüssel erhalte, woher weiß ich, das er wirklich von dieser Person stammt? Wenn es so einfach ist eine falsche Identität vorzugeben, wie kann man dann jemandem VERTRAUEN, das er der ist, der er vorgibt zu sein? Man verwendet sein digitales Zertifikat. Ein Zertifikat ist ein digitales Dokument, das die Identität und den Schlüsselbesitz eines Individuums, eines Computersystems (oder eines einzelnen Servers aus diesem System) oder einer Organisation bestätigt. Beispielsweise kann das Zertifikat eines Nutzers bestätigen, das derjenige tatsächlich der rechtmäßige Besitzer dieses speziellen öffentlichen Schlüssels ist. Zertifikate werden von Zertifizierungsstellen (certificate authorities oder CAs) ausgestellt. Diese Stellen sind dafür verantwortlich die Identität und den Schlüsselbesitz eines Individuums vor dem Ausstellen des Zertifikates zu überprüfen.

Authentifizierung & Integrität

Wir haben jetzt eine sichere Methode, Daten zu verschlüsseln, eine der vier Arten Daten im Internet zu sichern. Zwei andere, Authentifizierung und Datenintegrität, werden in einer digitalen Unterschrift zusammengefasst. Solch eine Unterschrift arbeitet wie folgt:

Authentifizierung: eine spezielle Person hat die Nachricht gesandt (mit anderen Worten: kein Nachahmer, der vorgibt siese Person zu sein, hat sie geschickt).
Integrität: die Nachricht wurde genau so verschickt, wie sie empfangen wurde (mit anderen Worten: niemand hat die Nachricht vor ihrem Empfang verändert).
Wenn sie jemandem eine eMail schicken, erzeugt ihre private/geheime Schlüsselkombination die digitale Signatur. Sie macht dies auf folgende Weise:

1) der Absender nutzt einen "message-digest" Algorithmus um eine kürzere Version der Nachricht zu erzeugen, die verschlüsselt werden kann. Diese kürzere Version heißt "message digest" (etwa: Nachrichtenextrakt). Nachrichtenextrakte und die Algorithmen, die sie erzeugen werden im nächsten Abschnitt erklärt.
2) der Absender verwendet seinen privaten Schlüssel um den Nachrichtenextrakt zu verschlüsseln
3) der Absender schickt die Nachricht und den verschlüsselten Extrakt an den Empfänger
4) beim Empfang entschlüsselt der Adressat den Extrakt
5) der Empfänger erzeugt seinerseits einen Extrakt der Nachricht
6) der Empfänger vergleicht den selbst erzeugten Extrakt mit dem empfangenen
Sind die beiden identisch, weiß der Empfänger, das die Nachricht von der angegebenen Person stammt und während der Übermittlung nicht verändert wurde
Sind sie nicht identisch, weiß der Empfänger, das der Absender nicht der ist, der er behauptet zu sein oder das die Nachricht während der Übermittlung verändert oder beschädigt wurde.

Der verschlüsselte Nachrichtenextrakt dient als digitale Signatur der eigentlichen Nachricht. Diese garantiert für die Identität des Absenders und für den unveränderten Inhalt der Nachricht.
Wird die Nachricht durch jemanden verschickt, der vorgibt jemand anderes zu sein, so hat diese Person keinen Zugriff auf den privaten Schlüssel des Absenders, den er vorgeben will zu sein. Er muss also einen anderen privaten Schlüssel verwenden, um den Nachrichtenextrakt zu verschlüsseln.
Da der Empfänger den öffentlichen Schlüssel des Absenders nutzt, um den Nachrichtenextrakt zu entschlüsseln (und nicht den eigentlichen öffentlichen Schlüssel der zu dem privaten Schlüssel gehört der benutzt wurde um den Nachrichtenextrakt zu verschlüsseln) werden die beiden Extrakte die der Empfänger erzeugt, nicht übereinstimmen.
Wurde die Nachricht während deren Übermittlung verändert oder beschädigt, wird der Algorithmus beim Empfang einen anderen Nachrichtenextrakt erzeugen als beim Versenden.

Tokens

Tokens sind die vierte Möglichkeit die Sicherheit zu verbessern, indem sie Passworte ersetzen. Sie sind einfach Ihr digitales Zertifikat, das auf ihrer Festplatte liegt. Wenn ein Computer sie nach Ihrem Passwort fragt, schickt Ihr Computer statt dessen das Zertifikat über das Internet. Dieses bestätigt dann anstelle des Passwortes Ihre Identität. Dies ist eine wesentlich einfachere (und sicherere) Methode der Überprüfung.

Wie sicher ist das Ganze?

Ihre Stärke wird in bits angegeben, oder wie groß der Schlüssel ist. Je größer der Schlüssel, desto stärker die Verschlüsselung. Momentan gibt es drei weitverbreitete Schlüssellängen, die wirtschaftlich genutzt werden: 40, 56 und 128 Bit. Anfangs erlaubte die Regierung nur den Export von 40-Bit Schlüsseln. Allerdings hat sich das als viel zu schwach herausgestellt. Im Februar 1997 schaffte es ein Student innerhalb von vier Stunden, mit 40-Bit verschlüsselte Daten zu knacken (http://www2.ecst.csuchico.edu/~atman).

Im Juni 1997, schaffte es eine Gruppe von Leuten, die 56-Bit DES Verschlüsselung in 140 Tagen zu knacken. Diese Gruppe teilte sich ihre Rechenzeit über das Internet mit Hilfe der Software DESCHALL (http://www.rsa.com/des)

Manche glauben, diese Sicherheit wäre gut genug. Bis Ihre Daten entschlüsselt werden können (drei Monate), sind sie wertlos weil veraltet. Um die Sicherheit von Daten zu gewährleisten, nutzen die meisten Internetshops die 128-Bit Verschlüsselung. Denken Sie daran, die Schlüsselstärke nimmt exponentiell zu und macht die 128-Bit Verschlüsselung damit tausendfach schwieriger zu knacken. Aus diesem Grunde hat die amerikanische Regierung den Export von Software, die solche Schlüssellängen verwendet verboten. Bis heute hat niemand diese Verschlüsselung gebrochen. Man hält 128-Bit Verchlüsselung bis weit nach dem Jahr 2000 für sicher.

Zusammenfassung

Durch die Verwendung von digitalen Zertifikaten und Verschlüsselung können Benutzer einfach und sicher über das Internet kommunizieren. Diese einfache und sichere Kommunikation stellt die Grundlage für den Handel dar. Sobald Benutzer Zutrauen fassen und erfahrener werden, werden Verschlüsselung und eCommerce exponentiell wachsen.

Anm. des Übersetzers

Wie man beim Lesen feststellen kann, ist dieser Artikel schon älter. Inzwischen ist der Export von 128-Bit Verschlüsselung legal und hat dem eCommerce irgendwie doch nicht recht helfen können.
Ich bin kein professioneller Übersetzer, von daher ist es möglich (wahrscheinlich) das man an einigen Stellen besser hätte schreiben können. Verbesserungsvorschläge oder Korrekturen können Sie an jochen_berner@hotmail.com schicken.


[back to top]



Userdaten
User nicht eingeloggt

Gesamtranking
Werbung
Datenbankstand
Autoren:04511
Artikel:00815
Glossar:04116
News:13565
Userbeiträge:16552
Queueeinträge:06248
News Umfrage
Ihre Anforderungen an ein Online-Zeiterfassungs-Produkt?
Mobile Nutzung möglich (Ipone, Android)
Externe API Schnittstelle/Plugins dritter
Zeiterfassung meiner Mitarbeiter
Exportieren in CSV/XLS
Siehe Kommentar



[Results] | [Archiv] Votes: 1158
Comments: 0