Verschlüsselung in der beruflichen und privaten Praxis. Группа авторов

Чтение книги онлайн.

СКАЧАТЬ A S I S T E I N T E S T

      Moderne symmetrische Verschlüsselungsverfahren sind natürlich sehr viel komplexer.⁴

      Symmetrische Verschlüsselungsverfahren eignen sich hervorragend, um eigene Daten zu sichern. Solange man sich an das Passwort erinnert bzw. über den Schlüssel verfügt, kommt man an die Daten heran. Unproblematisch ist ein solches Verfahren außerdem, wenn man das Passwort und / oder den Schlüssel sicher austauschen kann. Wer etwa in einer sicheren Umgebung – also einer solchen, in der man nicht damit rechnen muss, abgehört oder beobachtet zu werden – ein Passwort / einen Schlüssel austauschen kann, muss sich über die komplizierte asymmetrische Verschlüsselung keinen Gedanken machen … Das kann etwa sinnvoll sein, wenn man mit einem Mandanten / Patienten / Klienten in den eigenen Kanzlei- / Praxis- / Büroräumen besprechen kann, wie man die weitere Kommunikation per E-Mail absichert. Bei dieser Gelegenheit kann man dann auch ein gemeinsames Passwort vereinbaren.

      Häufig besteht eine solche Möglichkeit aber nicht. Dann stellt sich das grundsätzliche Problem, wie man das Passwort so austauscht, dass es nicht abgefangen werden kann. Hier muss man wieder sehr genau das eigene Bedrohungsszenario analysieren. Will man lediglich sicherstellen, dass eine E-Mail während des Transports nicht gelesen werden kann und vertrauliche Informationen nicht ungesichert auf dem Mailserver lagern, kann es vertretbar sein, das Passwort über eine SMS oder einen Brief auszutauschen. Das ist selbstverständlich keine Option, wenn man damit rechnen muss, dass das Telefon abgehört und Briefe überwacht werden.

      Ein weiteres praktisches Problem bei einer symmetrischen Verschlüsselung ist, dass man sinnvollerweise für jeden Mandanten / Klienten / Patienten ein eigenes Passwort vereinbaren sollte. Damit stellt sich das Problem, eine Vielzahl von Passwörtern verwalten zu müssen. Das gleiche Problem stellt sich für den Kommunikationspartner. Dieser mag zwar noch in der Lage sein, sich seine eigenen wichtigsten Passwörter zu merken. Bei dem Passwort für die Kommunikation mit dem Anwalt / Arzt / Pfarrer muss man aber fast damit rechnen, dass dieses auf irgendeinem Zettel landen wird.

Asymmetrische Verschlüsselung

      Asymmetrische Verschlüsselungsverfahren arbeiten mit unterschiedlichen Schlüsseln: Der öffentliche Schlüssel dient nur zum Verschlüsseln und kann beliebig verteilt werden. Zum Entschlüsseln benötigt man den geheimen / privaten Schlüssel.

      Das Problem, ein Passwort / einen Schlüssel sicher austauschen zu müssen, stellt sich bei asymmetrischen Verschlüsselungsverfahren nicht. Diese arbeiten grundsätzlich mit einem Schlüsselpaar. Der öffentliche Schlüssel dient nur zum Verschlüsseln (und zum Kontrollieren von digitalen Signaturen) und kann – wie der Name schon andeutet – veröffentlicht werden. Man kann ihn auf die WWW-Seite stellen, auf sog. Schlüsselserver hochladen oder auf sonstigen Wegen verteilen. Will man mit einem Mandanten sicher kommunizieren, muss man also zunächst nur die öffentlichen Schlüssel austauschen.

      Asymmetrische Verschlüsselungsverfahren basieren auf mathematischen Problemen. So ist es etwa sehr einfach möglich, zwei sehr (SEHR) große Primzahlen zu multiplizieren; es ist aber sehr aufwändig, eine solche Zahl wieder in ihre Primfaktoren zu zerlegen.

      76.333 x 80.149 = 6.118.013.617 lässt sich auch ohne weitere Hilfsmittel „schriftlich“ einfach berechnen. Um 4.634.629.529 ohne Hilfsmittel in ihre Primfaktoren (58.417 und 79.337) zu zerlegen, müsste man aber eine ganze Weile knobeln.

      Die Sicherheit asymmetrischer Verschlüsselungsverfahren basiert auf der Annahme, dass die zugrunde liegenden mathematischen Probleme tatsächlich ungelöst sind. Sollte ein Geheimdienst eine der übrigen Menschheit unbekannte Möglichkeit finden (oder bereits gefunden haben), Zahlen in ihre Primfaktoren zu zerlegen, wären die entsprechenden Verschlüsselungsmethoden nicht mehr sicher. Allerdings spricht derzeit nichts dafür, dass Geheimdienste über mathematische Erkenntnisse verfügen, die dem Rest der Menschheit in den letzten paar tausend Jahren verborgen geblieben sind.

      Bildlich gesehen kann man sich asymmetrische Verschlüsselungsverfahren so vorstellen, dass man sich zunächst einen Schlüssel anfertigt. Zu diesem Schlüssel erstellt man nun mehrere Schlösser, die man frei verteilt (wobei der Vergleich hier schon hinkt, weil man aus dem Schloss regelmäßig auf den Schlüssel zurückschließen kann – was bei asymmetrischen Verschlüsselungsverfahren gerade nicht der Fall ist [oder jedenfalls nicht sein sollte]). Will ein Mandant seinem Anwalt nun ein vertrauliches Schreiben zukommen lassen, beschafft er sich zunächst ein Schloss. Nun kann er seine Nachricht in eine Kiste packen und mit dem Schloss verschließen. Öffnen kann man die Kiste jetzt nur noch mit dem (Anwalts-) Schlüssel.

      Der entscheidende Vorteil einer asymmetrischen Verschlüsselung ist, dass man keinen vertraulichen Kanal benötigt, um ein Passwort / einen Schlüssel auszutauschen. Bietet man seinen öffentlichen Schlüssel über die eigene WWW-Seite an, kann auch ein potentieller Mandant / Patient / Kunde / Klient, mit dem man zuvor noch keinen Kontakt hatte, eine sicher verschlüsselte Anfrage per E-Mail verschicken.

      Der praktisch größte Hemmschuh ist allerdings, dass asymmetrische Verschlüsselung zunächst komplizierter ist als symmetrische. Während man den meisten Mandanten noch erklären kann, dass man ihnen Schriftsatzentwürfe als verschlüsselte ZIP-Datei zukommen lässt und sie nach dem Doppelklick ein Passwort in das dann erscheinende Feld eingeben müssen, wird man häufig auf Unverständnis stoßen, wenn man nach dem GnuPG- oder S/MIME-Schlüssel fragt. Auch hier kommt es wieder auf das individuelle Bedrohungsszenario an. Jedenfalls wenn damit gerechnet werden muss, dass ernsthafte Versuche unternommen werden könnten, die Kommunikation zu belauschen – sei dies nun ein Geheimdienst, der Industriespionage betreibt, ein ermittelnder Staatsanwalt oder ein technisch versierter Ehepartner –, sollten dem Mandanten / Patienten / Klienten / Kunden eindrücklich die entsprechenden Risiken erläutert werden und es sollten Hilfestellungen beim Einrichten der benötigten Programme gegeben werden.

Hybride Verschlüsselungsverfahren

      Hybride Verschlüsselungsverfahren kombinieren die jeweilen Vorteile symmetrischer und asymmetrischer Verschlüsselung.

      Asymmetrische Verschlüsselungsverfahren sind regelmäßig (seeeehr viel) langsamer als symmetrische. Deshalb kommen in der Praxis hybride Verfahren zum Einsatz, die beide Systeme kombinieren: Zunächst wird ein zufälliges Passwort erzeugt, mit dem die Nachricht dann mit einem symmetrischen Verfahren verschlüsselt wird. In einem weiteren Schritt wird das Passwort mit dem öffentlichen Schlüssel des Empfängers verschlüsselt. Beides wird zusammen verschickt. Der Empfänger entschlüsselt dann zunächst mit seinem privaten Schlüssel das zufällige Passwort und kann hiermit die symmetrisch verschlüsselte Nachricht entschlüsseln. Von dieser doppelten Verschlüsselung bekommt der Anwender üblicherweise nichts mit.

      E-Mail

      Dichtung und Wahrheit

      Häufig liest man, wer E-Mails verschicke, könne auch gleich zur Postkarte greifen. Teilweise wird sogar diskutiert, ob man als Anwalt überhaupt unverschlüsselte E-Mails nutzen dürfe. Hinter solchen Befürchtungen stehen mitunter diffuse Ängste und häufig Unkenntnis der technischen und rechtlichen Rahmenbedingungen.

Technik

      Bei СКАЧАТЬ