Grundsätzliches
Nachrichten können von einer Quelle an viele Empfänger gerichtet sein, siehe Radio, Fernsehen usw., sie können aber natürlich auch nur an eine Person gesandt werden. Dabei ist es dann oft von Interesse, dass wirklich nur diese eine Person die Nachricht lesen kann, dass nicht auf dem Weg zum Empfänger Dritte vom Inhalt der Nachricht Kenntnis erlangen.
Zur Einstimmung
https://www.youtube.com/watch?v=SbZXiDE6GO4
Postkarte – unverschlüsselt
Ein paar kurze Zeilen aus dem Urlaub mit einem hübschen Foto, der Klassiker der Unverschlüsselung, jedem der die Karte in die Hand nimmt, ist es freigestellt, nach der Betrachtung des Bildes den Text auf der Rückseite kurz zu überfliegen. Zugegeben, der Kreis derer ist begrenzt, aber immerhin.
Brief – unverschlüsselt
Die alten Briefumschläge zum Anlecken der Gummierung können recht leicht über Wasserdampf geöffnet werden, hat bestimmt schon jeder mal in einem Krimi gesehen.
Bei den „neuen“ Briefumschlägen mit Adhäsionskleber ist das schon deutlich schwieriger, wenn nicht gar unmöglich, ich hab’s noch nicht ausprobiert.
Früher wurde der verschlossene Brief gelegentlich zusätzlich mit einem Siegel versehen, zum einen um den Absender „unfälschbar“ darzustellen, zum anderen natürlich, um den Überbringer bei gebrochenem Siegel einen Kopf kürzer zu machen.
Text
Hier beginnt die Geschichte der Verschlüsselung, beim geschriebenen Wort, beim Satz, beim Text. Um es dem Überbringer eines Textes unmöglich zu machen, den Text zu verstehen und ihn somit in die Lage zu versetzen, Dritten von seinem Inhalt zu berichten, musste man sich etwas einfallen lassen. Der Schreiber muss den Text leicht verschlüsseln können, der Empfänger ihn leicht entschlüsseln können. Es wird also eine Methode, ein Schlüssel benötigt, der nur dem Sender und dem Empfänger bekannt ist und schon sind alle anderen Personen ausgesperrt.
Beispiele
- Die simple Buchstabenverschiebung um eine Stelle nach rechts aus dem Film 2001 Odyssee im Weltraum: Der Bordcomputer HAL 9000. Das HAL um einen Buchstaben nach rechts verschoben = IBM.
ABCDEFGHIJKLMNOPQRSTUVWXYZ → ABCDEFGHIJKLMNOPQRSTUVWXYZ - Die sogenannte Caesar-Verschlüsselung: Alles um drei Zeichen nach rechts verschoben.
Ursprungstext: Wir treffen uns am Vollmond im Monat Dezember genau um Mitternacht am Osttor der Stadt.
Verschlüsselter Text: Zlu wuhiihq xqv dp Yrooprqg lp Prqdw GhChpehu jhqdx xp Plwwhuqdfkw dp Rvwwru ghu Vwdgw.
Das könnte jetzt seitenweise so weiter gehen. Immer wenn eine Verschlüsselungsmethode erfunden wurde, dauerte es eine Weile und die Verschlüsselung wurde geknackt, somit für den Absender wertlos und eine neue, noch raffiniertere Methode musste her. Ein ständiger Wettlauf, der noch lange nicht beendet ist.
Telefonat
An dieser Stelle wollen wir nicht mehr die analoge bzw. ISDN Telefonie thematisieren, sondern nur noch die heute gängigen Arten der Telefonie.
VoIP (Voice over IP) Telefonie
- TLS (Transport Layer Security) zur Verschlüsselung der Signalisierungsebene
- SRTP (Secure Real Time Protocol) zur Verschlüsselung der Sprachdaten
- SIPS (Session Initiation Protocol Secure)
VoLTE (Voice over LTE) Telefonie
Der für ein Mobilfunkgespräch im 4G Netz (LTE) benötigte Sicherheitsdatensatz besteht aus:
- Authentication Token
- RAND (eine Zufallszahl)
- XRES (Expected Response)
- CK (Ciphering Key)
- IK ( Integrity Key)
Bei jedem Gesprächsaufbau wird diese Kombination neu erstellt.
Bei der E-Mail-Verschlüsselung unterscheiden wir zwischen der Transportverschlüsselung und Ende-zu-Ende-Verschlüsselung als Möglichkeiten der Geheimhaltung. Weiterhin kann eine Digitale Signatur für mehr Sicherheit sorgen, sprich die Authentizität des Absenders wird dadurch sichergestellt.
- STARTTLS (veraltet, da im Verbindungsaufbau unverschlüsselt)
- TLS (Transport Layer Security) früher SSL genannt (Secure Socket Layer)
- IMAPS (Internet Message Access Protocol Secure)
- POP3S (Post Office (Version 3) Protokoll Secure)
- S/MIME (Secure / Multipurpose Internet Mail Extensions) Zertifikat für Ende-zu-Ende-Verschlüsselung
- PGP (Pretty Good Privacy) selbst generiertes Schlüsselpaar für Ende-zu-Ende-Verschlüsselung (mit dem Public-Key-Verfahren)
Datenübertragung – FTPS (File Transport Protokoll Secure)
Die FTP-Datenübertragung ist über TLS abgesichert. FTP ist ein sehr altes Protokoll von 1971 (noch vor dem eigentlich Internet von Abhay Bhushan entwickelt) und von Haus nicht verschlüsselt. Als FTPS oder SFTP (siehe unten) erhält es die heutzutage notwendige Sicherheit und wird nach wie vor gerade im Bereich der Website-Entwicklung genutzt.
Zur Datenübertragung gehört eine FTP-Clientsoftware auf dem Arbeitsplatz oder es wird direkt auf der Shell-Ebene gearbeitet. Auf dem Host läuft ein FTP-Server. In dem FTP-Server sollte dann FTP deaktiviert und nur FTPS in der Konfiguration zugelassen sein, um den unverschlüsselten Datenverkehr von vornherein auszuschalten.
Datenübertragung – SFTP (SSH File Transfer Protokoll)
SSH (Secure Shell) File Transfer Protokoll ist Bestandteil von SSH 2.
SSH dient dem verschlüsselten Konsolen-Remote-Zugriff auf Unix Systeme und wird über eine Client-/Server-Technik realisiert, d. h. auf einem Arbeitsplatz ist ein SSH-Client installiert oder es wird direkt von der Shell aus gearbeitet. Auf dem Unix Host läuft dann ein SSH-Server, welcher es zusätzlich zur Remote Shell ermöglicht, per sftp Daten zu übertragen.
Webseite – HTTPS (Hyper Text Transfer Protokoll Secure)
Die Datenübertragung ist über TLS abgesichert. Es wird ein TLS-Zertifikat benötigt und auf dem Webserver eingespielt. Somit erkennt der Client, also der Internet-Browser, dass es sich um eine gesicherte Seite handelt. Dies wird im Browser meist durch ein geschlossenes Schlosssymbol vor der URL, also Internetadresse, dargestellt.
TLS (die Weiterentwicklung von SSL)
Die TLS (Transport Layer Security) in der Version 1.3 ist die derzeit gültige Version.
Der Grund, warum ältere Browser, sprich auch ältere Betriebssystemversionen (egal, ob Linux, Windows, Mac OS X) mit ausgelaufenem Update-Support und den dazugehörigen Browsern oftmals nicht mehr mit https klarkommen, ist, dass sie maximal TLS 1.1 beherrschen. Die aktuellen Internet-Seiten bzw. deren aktuelle Zertifikaten werden dadurch nicht automatisch vertraut.
Hier einmal die Versionshistorie:
- 1994 – SSL 1.0
- 1995 – SSL 2.0
- 1996 – SSL 3.0
- 1999 – TLS 1.0
- 2006 – TLS 1.1
- 2009 – TLS 1.2
- 2018 – TLS 1.3
Für die Absicherung von Internet-Domains werden an eben diese gebundene TLS-Zertifikate (auch wenn immer noch alle von SSL-Zertifikaten sprechen) in zwei unterschiedlichen Ausprägungen benutzt:
- Domainvalidiertes Zertifikat (DV-TLS)
- Organisationsvalidiertes Zertifikat (Extended-Validation-TLS-Zertifikate / EV-TLS)
Diese beiden Zertifikatstypen sind von der Verschlüsselung her identisch, unterscheiden sich nur in der Art der Eigentümer-Verifizierung, praktisch einmal für Unternehmen und einmal eher für Personen. Weitere Informationen zu TLS-Zertifikaten finden Sie auch hier bei uns.
Sei September 2020 dürfen SSL-/TLS-Zertifikate nur noch für 1 Jahr (397 Tage, 13 Monate) gültig sein. Seit 2015 wurde die Gültigkeit schrittweise von bis zu 5 Jahren, über drei Jahre (2018) und später zwei Jahre auf 1 Jahr verkürzt. Dafür haben sich Google und Apple starkgemacht, dadurch versprechen sich die Unternehmen, die auch Browser entwickeln, mehr Sicherheit.
Empfehlenswerte Links
- Codes: Die Kunst der Verschlüsselung. Geschichte – Geheimnisse – Tricks, Buch des Autors Simon Singh 2021 (bei Amazon)
- Cryptoportal: Zum selber ausprobieren verschiedenster Verschlüsselungen gibt es eine sehr schöne Software, in der man sich eingehend mit dem Thema befassen kann, zum Herunterladen und Installieren oder aber auch online im Browser, um spontan damit zu arbeiten.
Mehr Basiswissen
- Den ersten Teil der Reihe Digitale Kommunikation mit dem Titel Wie alles begann finden Sie hier.
- Den zweiten Teil der Reihe mit dem Titel Online-Zusammenarbeit finden Sie hier.
- Unsere anderen Basiswissen-Artikel finden Sie hier.
Danke
Wir danken unserem langjährigen Kollegen Norbert Kielmann für die Erstellung dieser Beiträge der Reihe Digitale Kommunikation!
