|
|
|
|
Der Schlüssel zur Sicherheit
PC Online Oktober 1997 und PC Online Tops Januar 1998
Von Michael Pietroforte*
Jede Aktion im Internet, egal ob eine E-Mail oder ein Kreditkarten-Geschäft, kann theoretisch von anderen eingesehen oder sogar manipuliert werden. Es sei denn, Sie verwenden die möglichen Verschlüsselungs-Techniken, die Sie als Angriffsziel im Web ausschließen.
Ein Hacker kann durch einen erfolgreichen Angriff unterschiedliche Schäden hervorrufen. Zunächst kann es für den Sender oder Empfänger alleine schon von Nachteil sein, wenn Informationen in die Hände der falschen Leute gelangen: Die neuesten Konstruktionspläne will man etwa gerne vertraulich behandelt wissen. Bei der Bestellung in einem Internet-Shop müssen Authentizität und Verbindlichkeit gewährleistet sein. Der Kunde muß also eindeutig identifizierbar sein und darf andererseits auch nicht abstreiten können, daß er die Ware bestellt hat. Schließlich muß noch sichergestellt werden, daß die Daten nicht durch Dritte manipuliert wurden, also integer sind. Für all diese Forderungen gibt es geeignete Schutzmaßnahmen.
Zwei Methoden
Es läßt sich nicht verhindern, daß die Daten auf ihrer Reise durchs Netz durch die Hände Dritter gehen. Daher muß dafür Sorge getragen werden, daß die Informationen in einer Form verreisen, die sie für potentielle Bösewichte nutzlos macht. Hier gibt es grundsätzlich zwei Möglichkeiten: Man versteckt die wichtigen Inhalte, oder man verschlüsselt sie. Im ersten Fall spricht man von Steganographie, während letzteres unter den Begriff der Kryptographie fällt. Der Unterschied zwischen den beiden Methoden betrifft vor allem die Art, wie ein Angreifer vorgehen muß, um an die geheime Information zu kommen. Bei einem steganographisch behandelten Inhalt muß er zunächst aus der Menge von Bytes, die an seinem Rechner vorbeifließen, jene herausfinden, die überhaupt als Träger für die ihn interessierenden Informationen in Frage kommen. Verschlüsselte Informationen sind dagegen leicht als solche zu erkennen. Hier besteht das Problem darin, die Verschlüsselung zu "knacken".
Der Weg Steganographie
Eine geheime Nachricht läßt sich am besten verstecken, indem man sie durch eine unauffällige zweite Nachricht, die "Trägernachricht", tarnt. So kann man jeden ersten Buchstaben eines Wortes der Trägernachricht für den Text der Geheimnachricht verwenden. Die Trägernachricht "Sie offenbarte sich" enthält dann die Geheimnachricht "SOS". Unzählige Variationen sind hier denkbar: Die Position des Buchstabens wird von Wort zu Wort variiert, man verwendet nur jedes dritte Wort, und so weiter. Hier ergibt sich das Problem, einen sinnvollen Trägertext um den Geheimtext zu konstruieren. Je länger der Geheimtext, um so komplizierter wird die Angelegenheit. Einfacher ist es, wenn die Trägerinformation gewisse Redundanzen enthält, die durch die Geheimbotschaft ersetzt werden können. Typischerweise enthalten Grafiken, Audio und Video redundante Informationen. Diese Tatsache machen sich ja auch Kompressionsverfahren zunutze, indem sie die überflüssigen oder unwichtigen Bits einfach entfernen. Mehr zu Steganographie und einen Workshop zum Programm Steganos finden Sie in PCO 8/97 auf Seite 104.
Das steganographische Verfahren wenden Sie zum Beispiel an, um Copyrightrechte urheberrechtlicher geschützter Bilder zu wahren. Durch Einarbeitung von unsichtbaren Bitmustern kann später der Mißbrauch leicht nachgewiesen werden. Die Steganographie findet aber vor allem in Kombination mit kryptographischen Methoden Verwendung, zum Beispiel um keinen Verdacht mit verschlüsselten Nachrichten zu erregen. Durch das vorherige Verschlüsseln der Botschaft verhindert man außerdem, daß Regelmäßigkeiten, die durch die Geheimbotschaft in die Trägergrafik gelangten, die Aufmerksamkeit erregen.
Der Weg Kryptographie
Die Sicherheit eines kryptographischen Verfahrens hängt vor allem von der Länge des verwendeten Schlüssels ab. Die Länge des Schlüssels wird in Bit angegeben und ergibt sich aus der Anzahl der möglichen Schlüssel, die man ausprobieren müßte, um den passenden herauszufinden: Ist x die Schlüssellänge, so ergibt sich die Zahl der möglichen Schlüssel mit 2^x.Die Kryptologie unterscheidet zwischen symmetrischen und asymmetrischen Verfahren. Bei der symmetrischen Kryptographie wird zum Verschlüsseln und Entschlüsseln jeweils derselbe Schlüssel verwendet, während bei asymmetrischen Verfahren Sender und Empfänger unterschiedliche Schlüssel benutzen. Derzeit gelten symmetrische Kryptoverfahren ab einer Schlüssellänge von 128 Bit und asymmetrische ab 1024 Bit als ziemlich sicher. Ein recht simples Beispiel für eine symmetrische Verschlüsselung stellt die Umwandlung eines Textes in eine Zahlenfolge dar, zum Beispiel, indem man jedem Buchstaben eine Zahl zuordnet. Kennt man den zugrundeliegenden Algorithmus, benötigt man nur noch den Schlüssel, um wieder an den ursprünglichen Text zu gelangen: die Tabelle, die jedem Buchstaben eine Zahl zuordnet. Läßt man alle ASCII-Zeichen zu und setzt voraus, daß die Reihenfolge des ASCII-Alphabets erhalten bleiben soll, so gibt es hierfür 256 mögliche Tabellen und man erhält eine Schlüssellänge von 8 Bit. Will man den Schlüssel bei bekanntem Algorithmus übermitteln, benötigt man somit eine Binärzahl mit mindestens acht Stellen.
Symmetrische Methoden zeichnen sich vor allem durch einfache Implementierbarkeit und höhere Verarbeitungsgeschwindigkeit beim Codieren und Decodieren aus. Sie besitzen aber einen gravierenden Nachteil: Vor der Übertragung der Geheimbotschaft muß der Schlüssel auf einem sicheren Kanal ausgetauscht werden. Um dieses Problem zu umgehen, wurden asymmetrische Kryptomethoden entwickelt, die häufig auch als Public-Key-Verfahren bezeichnet werden.
Asymmetrische Verfahren
Die Information wird hier mit einem öffentlich zugänglichen Schlüssel, dem Public Key, des Empfängers verschlüsselt. Entschlüsselt werden kann die Nachricht dann nur noch mit dem privaten Schlüssel (Private Key) des Empfängers. Stellen Sie sich eine Truhe mit zwei unterschiedlichen Schlössern vor. Ein interner Mechanismus bewirkt, daß beim Verschließen des eines Schlosses auch das zweite Schloß einschnappt. Da der Public Key öffentlich zugänglich ist, kann jeder die Truhe verschließen und auf die Reise schicken. Öffnen kann die Truhe nur derjenige, der den passenden zweiten – den privaten – Schlüssel hat. Nun kann man es so einrichten, daß beide Schlüssel voneinander abhängig sind. Damit erhält jeder Benutzer des Verfahrens ein eigenes Schlüsselpaar. Man muß nur darauf achten, daß der Benutzer bei der Wahl seines privaten Schlüssels nicht zufällig genau den gleichen Schlüssel erwischt wie ein anderer, der dasselbe Verfahren verwendet. Das erreicht man, indem man bei der Wahl eine Zufallskomponente ins Spiel springt. Computer können aber prinzipiell nur Pseudozufallszahlen erzeugen, Zahlenkolonnen, die zwar auf den ersten Blick rein zufällig aussehen, aber doch eine gewisse, wenn auch große Periodizität aufweisen und damit vorhersagbar sind. Wenn man jedoch den Input vollkommen zufällig wählt, kann man auch davon ausgehen, daß es sich auch beim Output um eine echte Zufallszahl handelt. Einige Implementierungen von Kryptoverfahren nutzen deshalb Mausbewegungen oder Tastaturbetätigungen des Benutzers, um an diesen wirklich zufälligen Input zu gelangen. Auf diese Weise erhält jeder Benutzer ein einmaliges Schlüsselpaar.
Dieses Verfahren garantiert, daß es nahezu unmöglich ist, aus einer mit dem privaten Schlüssel codierten Nachricht und dem öffentlich zugänglichen Schlüssel den privaten zu errechnen. Man kann die Methode also dazu benutzen, Nachrichten zu signieren, denn jeder kann mit Hilfe des öffentlichen Schlüssels, und nur mit diesem, die Nachricht dann decodieren. Er weiß also, daß die Nachricht nur von dem ihm bekannten Absender sein kann. Damit bekommt man das anfangs angesprochene Problem der Verbindlichkeit in den Griff. Ein weiterer Vorteil dieses Verfahrens gegenüber der symmetrischen Methode ist nun, daß Ihnen auch Unbekannte vertrauliche Nachrichten schicken können. Es muß nur gewährleistet werden, daß Ihr öffentlich hinterlegter Schlüssel auch wirklich Ihrer Person zuzuordnen ist. Diese Aufgabe übernehmen verschiedene Organisationen, die natürlich sicherstellen müssen, daß Unbefugten die Manipulation des Verzeichnisses verwehrt wird. Da es für den Anwender aber ziemlich umständlich wäre, die Korrektheit jeder Signatur zunächst zu überprüfen, vergeben diese Zertifizierungsstellen sogenannte digitale Zertifikate. Dem öffentlichen Schlüssel wird dann zum Beispiel der Name des Schlüsselbesitzers, der Name und die digitale Signatur der Zertifizierungsstelle, der Gültigkeitszeitraum und eine Seriennummer hinzugefügt. Vertraut man der Zertifizierungsstelle, kann man sich auch darauf verlassen, daß das Zertifikat gültig ist und somit auch die Authentizität des Briefpartners.
Sieben Kryptoverfahren
Es wurden viele Methoden entwickelt, um Daten zu verschlüsseln:
o DES (Data Encryption Standard), ein von IBM entwickeltes symmetrisches Verfahren, läßt sich einfach in Hardware implementieren, was eine hohe Verarbeitungsgeschwindigkeit garantiert. Bei der ersten Version kam ein Schlüssel mit einer Länge von nur 56 Bit zum Einsatz. Triple-DES dagegen bietet bereits eine maximale Schlüssellänge von 168 Bit.
o Bei IDEA (International Data Encryption Algorithm) handelt es sich ebenfalls um ein symmetrisches Verschlüsselungsverfahren mit einer Schlüssellänge von 128 Bit. Die nichtkommerzielle Nutzung von IDEA ist frei.
o RC4 wurde nach seinem Entwickler Ron Rivest benannt (Rons Code). Das symmetrische Kryptoverfahren läßt sich mit Schlüsseln verschiedener Bitlänge einsetzen.
o Erwähnenswert ist auch noch OTP (One-Time-Pad), das einzige bekannte symmetrische Verfahren, bei dem sich mathematisch beweisen läßt, daß es nicht zu knacken ist. Da der Schlüssel mindestens genauso lang sein muß wie der zu verschlüsselnde Text und außerdem nur einmal verwendet werden darf, ist der OTP in erster Linie von akademischem Interesse.
o Ron Rivest, Adi Shamir und Leonrad Adelman haben das nach ihnen bezeichnete prominente asymmetrische Kryptoverfahren RSA entwickelt. Die Sicherheit des Systems wurzelt in der Schwierigkeit, große natürliche Zahlen in ihre Primfaktoren zu zerlegen, dem Faktorisierungsproblem. Bei einer möglichen Schlüssellänge von 2048 Bit kann man derzeit ohne Bedenken auch die geheimste Nachricht durchs Internet schicken.
o Als ebenfalls sehr sicher gilt der Diffie-Hellmann-Algorithmus, ein asymmetrisches Verfahren, das auf dem diskreten Logarithmusproblem beruht und bereits mit einer Schlüssellänge von 3072 Bit implementiert wurde.
o Im Gegensatz hierzu vertraut man dem reinen Signaturverfahren DSS (Digital Signature Standard), welches die US-amerikanische Regierung entwickelt hat, nicht in diesem Maße. Zum einen, weil sich die Sicherheit nur schlecht beurteilen läßt, da es nie veröffentlicht wurde, zum anderen wurden bereits einige mögliche Schwächen aufgezeigt.
Mögliche Angriffsvarianten
Absolute Sicherheit erreicht man mit keinem auch noch so raffinierten Verfahren. Auch dann nicht, wenn nicht einmal die gesamte Materie des Universums ausreichen würde, um einen Computer zu bauen, der einfach alle Schlüssel durchprobiert, oder wenn, wie beim OTP, sogar mathematisch beweisbar ist, daß es so einen Computer gar nicht geben kann.
Hacker verschaffen sich nur in den seltensten Fällen mit einer sogenannten Brute-Force-Attack Zugang zu geheimen Nachrichten. Meist nutzen sie einfach die Tatsache aus, daß Menschen sowohl bei der Implementierung als auch bei der Benutzung der Kryptoverfahren involviert sind. Und diese machen bekanntlich Fehler und sind zuweilen auch recht leichtsinnig im Umgang mit ihren Kennwörtern. Ein weitere Möglichkeit, an die Geheimnisse anderer zu kommen, bietet die Man-in-the-Middle-Attack. Der Angreifer positioniert sich hier zwischen den beiden Parteien und simuliert jeweils Empfänger und Sender. Ähnlich funktioniert die Replay-Attack. Der Hacker fängt hier verschlüsselten Code ab. Um Schäden anzurichten, sendet er ihn einfach erneut an den Empfänger.
Gegner der Verschlüsselung
Leider gibt es noch andere Unzulänglichkeiten, die Datenspionen das Handwerk vereinfachen. Politiker melden militärische und kriminologische Sicherheitsbedenken an. Denn sichere Verschlüsselungsverfahren erschweren auch staatlichen Organen mit der "Lizenz zum Schnüffeln" den Zugriff auf die Vertraulichkeiten der Bürger. Hinlänglich bekannt sind die US-amerikanischen Exportbeschränkungen auf Kryptoverfahren mit einer maximalen Länge von 40 Bit bei symmetrischen Verfahren und 512 Bit bei asymmetrischen. Für Anwendungen aus dem Banksektor sind auch schon Genehmigungen für Anwendungen mit Schlüssellängen von 128 oder 1024 Bit erteilt worden. Auch in Deutschland, wo man sich vor allem vor einer "digitalen Mafia" fürchtet, gibt es Überlegungen zu einer staatlich verordneten Amputation kryptographischer Verfahren. Die Zukunft wird zeigen, ob sich wirtschaftliche Interessen gegenüber sicherheitspolitischen Bedenken durchsetzen werden.
Sicheres WWW
Wirtschaftliche Kräfte sind es vor allem, die eine sichere Übertragung im Web fordern. Schließlich erwartet man in den virtuellen Shopping-Malls gigantische Umsätze. Eine Kreditkartennummer dem Internet anzuvertrauen, ist nach wie vor eine riskante Angelegenheit. Klar, auch dem Kellner im Restaurant überläßt man das gute Stück. Der Unterschied besteht nur darin, daß die Aufklärung des Betrugs durch die Anonymität des Internet erheblich erschwert wird. Die Browser-Hersteller haben sich deshalb daran gemacht, sichere Übertragungsprotokolle für das WWW zu entwickeln. Der Marktführer Netscape setzt auf SSL (Secure Socket Layer), derzeit in der Version 3.0 verfügbar. Das Protokoll schiebt sich zwischen die TCP-Ebene und das jeweilige Applikationsprotokoll, was den Vorteil hat, das es nicht nur bei HTTP, sondern etwa auch bei FTP und Telnet zum Einsatz kommen kann. Hierbei kommen symmetrische (z.B. DES, RC4) und asymmetrische (z.B. RSA, DSS) Kryptoverfahren zur Anwendung.
Um Vertraulichkeit und Integrität der übertragenen Seiten zu gewährleisten, werden die symmetrischen Verfahren verwendet, da die Codierung und Decodierung wesentlich schneller abläuft. Der hierzu benötigte Sitzungsschlüssel wird vorher mit einem Public-Key-Verfahren ausgetauscht. Der WWW-Server sendet zunächst sein Zertifikat an den Client, welcher daraufhin den Sitzungsschlüssel generiert, ihn mit dem öffentlichen Schlüssel des Servers codiert und ihn dann dem Server übermittelt. Der sicherheitsbewußte Internet-Surfer steht immer häufiger vor der Entscheidung, ob er den in WWW-Seiten integrierten Applets und Scripts den Zugang zum eigenen PC gewähren soll. Hier können die Public-Key-Verfahren wertvolle Dienste leisten: Der Browser wird so konfiguriert, daß nur den über ihren öffentlichen Schlüssel identifizierbaren und gleichzeitig vertrauenswürdigen WWW-Servern gestattet wird, Anwendungen auf den heimischen Computer zu übertragen.
Asymmetrische Verfahren sind auch dann von Nutzen, wenn der Client sich beim Server authentifizieren muß. Auf diese Weise erspart sich der Anwender, der nur für ihn bestimmte Informationen auf dem Server abholen möchte, eine Kennworteingabe und die damit verbundenen Sicherheitsrisiken. Voraussetzung hierfür ist natürlich, daß der Client über ein entsprechendes Zertifikat verfügt. Auch der neue Internet-Explorer 4.0 von Microsoft unterstützt SSL V3.0. Zusätzlich bietet er noch PCT (Private Communications Technology) in der Version 1.0, eine Entwicklung von Microsoft, die aber viele Ähnlichkeiten mit SSL aufweist. In Zukunft wird man in Microsoft-Produkten aber TLS (Transport Layer Security) finden – im wesentlichen eine Zusammenführung von SSL und PCT.S/MIME sorgt für eine sichere Übertragung von E-Mails bei Outlook Express, dem Mail-Client des Internet-Explorers 4.0. Das Protokoll setzt auf MIME (Multipurpose Internet Mail Extensions) auf und erweitert es um ein kryptographisches Hybridverfahren. Dieses besteht aus den symmetrischen Verfahren DES, Triple-DES und RC2 sowie dem asymmetrischen Verfahren RSA.
Die notwendigen Schlüssel erhält man von einer Zertifizierungsorganisation:
o Die Zertifikate werden über die Optionen im Register Sicherheit verwaltet. Ein Klick auf Digitale ID erhalten... bewirkt den Start des Internet-Explorers und den Verbindungsaufbau zum Microsoft-Server.
o Hier erhält man eine Übersicht der Organisationen, über die man sich für Outlook Express zertifizierte Schlüssel besorgen kann. Bei VeriSign etwa kann man sich für 10 Dollar das Zertifikat für ein Jahr kaufen. Die halbjährige Testphase ist kostenlos.
o Kurze Zeit später erhält man eine E-Mail im HTML-Format. Ein Klick auf Next setzt erneut den Internet-Explorer in Aktion, das Zertifikat wird installiert.
o Mit einem Mausklick auf das entsprechende Symbol kann man nun Mails signieren. Um einen Brief zu verschlüsseln, muß man zunächst in den Besitz des öffentlichen Schlüssels des Empfängers gelangen. Meist werden sie automatisch dem entsprechenden Adreßbucheintrag hinzugefügt. Insgesamt ist die Handhabung, wenn man erst mal seine eigenen Schlüssel in Empfang genommen hat, recht einfach und komfortabel.
Die neue PGP-Version
Angesichts der Tatsache, daß auch Netscape und einige andere Hersteller von E-Mail-Programmen sich für S/MIME entschieden haben, scheint das lange von vielen favorisierte Freeware-Programm PGP (Pretty Good Privacy) in Bedrängnis zu geraten. Erst die seit kurzem verfügbare Version 5.0 bietet von Haus aus für Windows 95, Windows NT und Macintosh eine graphische Benutzeroberfläche. Die bis dahin erhältlichen GUI-Erweiterungen waren eigentlich nur halbherzige Lösungen, und auch die neue Version bietet lange nicht den Funktionsumfang wie die DOS- und Unix-Varianten. Gelungen ist die Integration von PGP 5.0 in Microsofts Exchange und Outlook sowie Qualcoms Eudora. Über ein zusätzliches Menü und einige Icons lassen sich direkt aus dem Mail-Client heraus E-Mails ver- und entschlüsseln. Microsofts eigene Lösung mit Outlook Express und S/MIME ist allerdings komfortabler. So ist keine direkte Übernahme der Schlüssel in das Adreßverzeichnis von Outlook möglich.
Da man mit PGP 5.0 die Zwischenablage von Windows verschlüsseln kann, läßt sich im Prinzip auch ein relativ einfaches Zusammenspiel mit anderen Mail-Programmen realisieren.Gegenüber S/MIME bietet PGP vor allem mehr Sicherheit. In der US-amerikanischen Freeware-Version, die auch in Europa im Umlauf ist, kommt etwa der Diffie-Hellman-Algorithmus mit einer maximalen Schlüssellänge von 3072 Bit zum Einsatz, während S/MIME, zumindest außerhalb der USA und Kanada, nur mit 512-Bit-RSA-Schlüssel zu haben ist. Ein Plus für PGP ist sicher auch die Tatsache, daß eine Reihe von Zertifizierungsstellen kostenlos Zertifikate ausstellen. Außer der Freeware-Version von PGP für den privaten Gebrauch gibt es auch noch eine kommerzielle Variante, die aus Kompatibilitätsgründen außer Diffie-Hellman auch noch RSA unterstützt.
Die Kryptographie erfährt derzeit einen regelrechten Boom. Eine Vielzahl von Entwicklungen überschwemmt den Markt. Kryptographische Verfahren werden nicht nur für E-Mail benötigt, sondern auch für einige andere sicherheitskritische elektronische Transaktionen wie Homebanking oder elektronisches Geld. Bleibt zu hoffen, daß man sich bald auf Standards einigt und die demnächst zu erwartenden staatlichen Reglementierungen sichere Transaktionen im Internet ermöglichen.
*Michael Pietroforte ist freier Autor in München.
|
|
|
|
|
|
|
|
|
|
|
|
|
