Nachrichten verschlüsselt übertragen zu können – diese Errungenschaft verdanken wir der Wissenschaft der Kryptologie. Eine kurze Einführung, auch und gerade für Nicht-Fachleute.
Klischee vs. Realität
Eine typische Szene in vielen Kriminalfilmen und Thrillern: Der Computer eines Verdächtigen wurde sichergestellt – große Freude beim Ermittlerteam. Dann die Ernüchterung, die Daten sind natürlich verschlüsselt – ein Fall für die Kriminaltechnik. Anschließend der Auftritt einer Figur, die alle Nerd-Klischees erfüllt, sehr viel Kaffee trinkt und mit hektischem Tippen auf einer Tastatur die Daten wiederherstellt. Mehr als einen Tag lässt sich ein solcher Film-Hacker von der (vermeintlich sicheren) Verschlüsselung selten aufhalten.
Ein Bild, das Laien von IT-Sicherheit haben: Vor dem neugierigen Partner, den eigenen Kindern oder einem Einbrecher kann man sich mit Verschlüsselung vielleicht schützen, doch gegen Geheimdienste oder die Polizei hat man sowieso keine Chance. Schließlich besitzen NSA, BND, MI5 oder der Mossad Supercomputer und zusätzlich auch superschlaue Mitarbeiter. Diese können – wenn sie es wollen – mit Leichtigkeit alles entschlüsseln, was auf Computern oder im Internet generell passiert.
Dieses Misstrauen in die Verschlüsselungstechnik führt zu verhängnisvollen Fehlannahmen. Wenn man keine Chance gegen „die Autoritäten oder Behörden da oben“ habe, brauche man den Aufwand überhaupt nicht zu treiben. Verschlüsselt kommunizieren oder Daten auf der Festplatte mit einer Laufwerksverschlüsselung absichern – alles unnötig! Oder etwa nicht?!
Warum Verschlüsselung doch sinnvoll ist
Kryptografie begegnet jedem von uns, täglich. Öffnet man eine Website im Internet, kommen asymmetrische Verschlüsselung, Schlüsselaustausch und Hashfunktionen zum Einsatz.
In Wahrheit sind moderne Verschlüsselungsverfahren sicherer, als es unseren Geheimdiensten lieb ist. Sofern in den Implementierungen keine mutwilligen Schwächen versteckt sind, sind diese Verfahren nach den Erkenntnissen aus jahrzehntelanger Forschung nicht zu knacken. Angriffe gelingen Geheimdiensten vor allem über das Einschleusen von Viren / Trojanern oder über soziale Betrügereien (Social Engineering / Phishing).
Mit dem heutigen Wissen kann man davon ausgehen, dass auch die gigantischen Rechenanlagen der Geheimdienste Jahre brauchen, um sicher verschlüsselte Informationen wieder lesbar zu machen. Auch Superrechner bekommen ein Problem, wenn sie die Multiplikation von zwei großen Primzahlen umkehren sollen. Auf dieser Grundlage basiert das asymmetrische Verschlüsselungsverfahren RSA, das sich weltweit großflächig im Einsatz befindet.
Hier beispielhaft ein „Verschlüsselungszertifikat“ einer per HTTPS abgesicherten Webseite:
Digitale Identitäten
Neben dem Verschlüsseln spielt auch das Hashen von Nachrichten (ähnlich dem Bilden einer Prüfsumme) eine entscheidende Rolle. Bei digitalen Unterschriften, Kennwörtern, aber auch bei Blockchains ist es entscheidend, eine beliebig lange Zeichenkette in einem kurzen Hash abzubilden.
Eine Hashfunktion ist eine Art digitaler Fingerabdruck, der eine große Eingabemenge auf eine kleinere Zielmenge (die Fingerabdrücke oder Hashwerte) abbildet. Eine Hashfunktion ist im Allgemeinen nicht bzw. sehr schwer umkehrbar (Einwegfunkion). Die Eingabemenge kann Elemente unterschiedlicher Längen oder Größen enthalten, die Elemente der Zielmenge haben dagegen meist eine feste Länge (z. B. 256 Bit beim Algorithmus SHA256).
Einfache Verfahren sind die Gewinner
Damit ein Verfahren sicher ist, darf es nicht so gestaltet sein, dass es niemand versteht. Das wäre sogenanntes „security by obscurity“ Design – ein erwiesenermaßen erfolgloser Ansatz. Deshalb sind die gängigen Techniken schon seit Jahren bzw. Jahrzehnten erprobt und bewährt. Selbst die neuesten Quantencomputer sind noch lange nicht in der Lage, gängige und als sicher bekannte Verfahren in einer akzeptablen Zeitspanne knacken zu können.
Quellen:
https://en.wikipedia.org/wiki/Hash_function
https://www.heise.de/hintergrund/Was-Sie-ueber-Kryptografie-wissen-muessen-5074699.html
