» Home » Signieren und Verschlüsseln » Verschlüsseln und Signieren

Verschlüsseln und Signieren

So schön ein einfach der Versand von Nachrichten im Internet ist, so unsicher ist diese Übertragungsart, die mehr einer Postkarte denn einem verschlossenen Brief entspricht. Folgende Funktionen sind normalerweise nicht vorhanden aber erwünscht.

• Unveränderlichkeit
  Eine Mail sollte beim Empfänger so ankommen, wie diese beim Absender auch erstellt wurde. Eine Konsistenzprüfung ist bei normalen Nachrichten aber nicht vorhanden. Wenn Sie eine Postkarte versenden, kann der Empfänger nicht sicher sein, dass der Briefträger nicht etwas hinzu geschrieben hat.
• Absenderprüfung (Signierung)
  Als Empfänger möchten Sie gerne sicherstellen, dass der Absender auf einem Brief an Sie auch wirklich der Absender ist. Beim klassischen Briefverkehr ist dies der Fall, weil ein Fälschen mehr Aufwand (=Kosten) bedeutet, als dies bei einer Mail der Fall ist (Siehe Phishing) Aber es ist auch bei einem Brief niemals sichergestellt, dass der Absender wirklich korrekt ist. Heutige Laserdrucker und Farbdrucker erlauben eine sehr gute Fälschung offizieller Schreiben. Auch die "Unterschrift" ist kein Garant, da Sie diese schwer prüfen können. Im Mittelalter wurden wichtige Schreiben noch mit Siegelring und Wachs signiert.
• Verschlüsselung
  Die dritte Forderung ist die Verschlüsselung der Daten, so dass der Inhalt nur vom Empfänger zu lesen ist. Auch dieses Forderung ist beim klassischen Postbrief nicht umsetzbar. Allerdings ist eine Mail sehr viel einfacher zu speichern, zu kopieren und zu finden als ein Papierdokument in einem verschlossenen Briefumschlag.

Da die Signatur und die Verschlüsselung einer Mail all diese Probleme löst, möchten Sie nun wissen wie das funktioniert.

Mathematik - RSA und 3DES stark vereinfacht

Alles beginnt mit den Herren Ronald L. Rivest, Adi Shamir und Leonard Adleman im Jahre 1977. Sie entwickeln eine mathematischen Funktion, bei der große Primzahlen erforderlich sind um zueinander passende Schlüsselpaare zu erstellen. Das besondere an so einem Schlüsselpaar ist die Tatsache, dass Sie eine Information mit einem Schlüssel verschlüsseln können und diese codierte Information noch mit dem anderen Schlüssel wieder decodiert werden kann. Daher nennt man diese beiden zueinander passenden Schüssel auf "Public Key" und "Private Key". Den einen Schlüssel können und müssen sie veröffentlichen während Sie das dazu passende Paar "privat" halten müssen. Wer ihnen nun was senden möchte, der nutzt einfach ihren öffentlichen Schlüssel, um die Information zu verschlüsseln und Sie können die Information als einzige Person mit dem privaten Schlüssel wieder decodieren. Daher spricht man hier auch von asymmetrischen Schlüsseln. Damit ist die erste Forderung erfüllt: Die Information ist verschlüsselt.

Allerdings gibt es zwei Dinge, die dieses System noch etwas komplizierter machen:

• Geschwindigkeit
  Die Verschlüsselung und Entschlüsselung nach dem RSA-Verfahren ist nicht sehr schnell. Daher werden heute die Nutzdaten nicht per RSA verschlüsselt. mit DES, 3DES und AES gibt es viel schnellere Verfahren, die allerdings mit symmetrischen Schlüsseln arbeiten. Das ist aber kein Problem: Die Software generiert einfach eine Zufallszahl, mit der die Inhalte z.B.: per 3DES verschlüsselt  werden und verschlüsselt nur diesen Key per RSA. Die Information bleibt verschlüsselt und kann weiterhin nur vom Empfänger gelesen werden.
• Public Key
  Wenn sie mir nun eine Mail verschlüsselt senden wollen, dann benötigen Sie nur meinen öffentlichen Schlüssel. Damit kommen wir zum zweiten wichtigen Aspekt: Wie kommen Sie an meinen öffentlichen Schlüssel und können sicher sein, dass der Schlüssel wirklich zu meiner Mailadresse gehört ?. Das ist dann die Aufgabe von Zertifikaten. Ein Zertifikat enthält neben meiner Mailadresse und meinen öffentlichen Schlüssel auch noch eine Gültigkeit und die Bestätigung einer "vertrauenswürdigen Stelle", dass die Daten korrekt sind.

Verschlüsseln und Signieren.

Damit sie nun ihre Nachrichten gegen Veränderungen und Fälschungen schützen können (= signieren) und diese geheimen Informationen nur vom gewünschten Empfänger zu lesen sind (=verschlüsseln), müssen beide Kommunikationspartner mitspielen. In den folgenden Beispielen werden vier Schlüssel beschrieben:

	öffentlicher Schlüssel	private Schlüssel
Sender	Sender Public Key	Sender privater Schlüssel
Empfänger	Empfänger Public Key	Empfänger privater Schlüssel

Eine Nachricht kann nun mit einem dieser vier Schlüssel "codiert" werden. Damit ist aber auch klar, mit welchem anderen Schlüssel diese Nachricht wieder gelesen werden kann und für welche Anwendung dies geeignet ist

Codiert mit	Decodierung	Einsatzbereich
Sender Private Key	Sender Public Key	Signierung Der Sender kann damit die eigene Mail gegen Veränderungen schützen. Der Empfänger kann über den öffentlichen Schlüssel des Senders die Gültigkeit der Signatur und damit der Unveränderbarkeit und die Gültigkeit des Absenders prüfen
Sender Public Key	Sender Private Key	Eigene Verschlüsselung Diese Paarung kommt bei der Übertragung nicht vor. Aber der Besitzer der Nachricht kann diese in seinem Postfach damit verschlüsselt speichern. Damit kann ein Stellvertreter oder Administrator diese Mail nicht lesen.
Empfänger Public Key	Empfänger Private Key	Verschlüsselung Wenn ich als Sender mit den öffentlichen Schlüssel des Empfängers besorge, dann kann ich damit sicherstellen, dass nur der Empfänger (Nur dieser hat den passenden private Key) die Mail lesen kann.
Empfänger Private Key	Empfänger Public Key	Diese Paarung kann es nicht geben, da der Sender niemals in den Besitz des privaten Schlüssels des Empfängers kommen sollte
+ Sender Private Key UND Empfänger Public Key	+ Sender Public Key UND Empfänger Private Key	Verschlüsselt und signiert Erst bei der Nutzung beider Paare ist sichergestellt, dass die Mail nur vom Empfänger gelesen werden kann und dieser auch über den Absender Gewissheit erhält.

In der Tabelle kommt ein wichtiger Aspekt nicht deutlich heraus. Daher sei dies hier noch mal wiederholt:

Wenn Sie verschlüsseln wollen, benötigen Sie den öffentlichen Schlüssel des Empfängers

Es reicht demnach nicht aus, wenn Sie selbst etwas für die Sicherheit tun wollen. Es müssen immer beide Parteien mitspielen. Das ist aber im Postbriefverkehr nicht anders. Wenn Sie ihre Dokumente schützen wollen, müssen Sie dieses in einer Sprache verfassen, die nur der gewünschte Empfänger versteht.

Sie können natürlich auch ohne Mitarbeit des Empfängers ihre Dokumente mit Hilfe ihres private Schlüssels digital signieren. Nur haben Sie nichts davon, wenn der Empfänger die Signatur nicht prüfen kann oder will.

Weitere Links

• SSL-Grundlagen
• Vertrauenswürdigkeit von Mails
• Sichere Mails mit S/Mime und PGP
• SMTP und die Sicherheit
• CA installieren
• Clientzertifikat/SMIME
• OWA und SMIME - Verschlüsseln und Signieren mit Outlook Web Access
• RSA
  http://de.wikipedia.org/wiki/RSA-Kryptosystem
• RFC 3850 Secure/Multipurpose Internet Mail Extensions (S/MIME) Version 3.1 Certificate Handling
  http://www.ietf.org/rfc/rfc3850.txt
  "..Receiving agents MUST recognize and accept certificates that contain no email address. .."
• Trustworthy Messaging Get Started
  http://www.microsoft.com/downloads/details.aspx?familyid=f7a20ed4-3cd9-4d31-8447-754a33712597&displaylang=en
• http://de.wikipedia.org/wiki/S/MIME
• http://de.wikipedia.org/wiki/PGP
• S-Trust Zertifikate
  Startseite: http://www.s-trust.de
  Qualifiziertes Zertifikat http://www.s-trust.de/kartenbasierte_zertifikate/qualifizierte_zertifikate/index.htm
  20 Euro/Jahr. Ausgestellt von der Bundesnetzagentur als RootCA.
• MD5 Hash
  http://en.wikipedia.org/wiki/MD5 MD5
  http://www.cits.rub.de/MD5Collisions/ Attacking Hash Functions by Poisoned Messages "The Story of Alice and her Boss
  http://www.mathstat.dal.ca/~selinger/md5collision/ MD5 Collision Demo
• General PKI Planning Considerations
  http://technet.microsoft.com/en-us/library/aa996408(EXCHG.65).aspx
  Beschreibung des Feld "UserCertificate" zur Ablage von Zertifikaten im Active Directory
• Private (kostenfreie) Zertifikate
  Einige Zeit lang haben verschiedene Zertifizierungsstellen sogar kostenfreie Zertifikate angeboten. Dies ist wohl aktuell nicht mehr der Fall. Die Links hier sind nur noch als Archiv zu sehen
  http://www.trustcenter.de/products/tc_internet_id.htm
  www.thawte.com/secure-email/personal-email-certificates/index.html

Keywords:

Vertrauen Sicherheit SMIME PGP

Impressum und Datenschutzerklärung. Anmerkungen, Anregungen oder Fragen siehe "Kontakt". Alle Angaben ohne Gewähr! Namen und Produktbezeichnungen können Eigentum der jeweiligen Hersteller sein. (c) 2000-heute Frank Carius, Jede weitere Veröffentlichung nur mit meinem vorherigen Einverständnis.

• NOTFALL
• Grundlagen
• Konzepte
• Signieren und Verschlüsseln
  • Grundlagen
  • Vertrauen
  • Verschlüsseln und Signieren
  • Schlüssel
  • SMTP Sicherheit
  • SMime oder PGP
  • Rolle der CA
  • Zertifikatarten
  • Firmen CA
  • Clientzertifikat/SMIME
  • OpenSSL
  • Verbindungen
  • Gateway
  • enQsig - Verschlüsseln und Signieren
  • Schlüsseltausch
  • SMIME mit Outlook
  • SMIME mit OWA2003
  • SMIME mit OWA2007
  • SMIME mit OWA2010
  • Benutzerzertifikate im AD
  • Rights Management Server
  • SSL-Grundlagen
  • Comodo EvalSSL
  • GoDaddy
  • StartSSL CA
  • IIS6 SSL einrichten
  • IIS7 SSL einrichten
• Verfügbarkeit
• Admin und Betrieb
• Ex 2000/2003
• Ex 2007/2010
• Unified Communication
• Mobile Clients
• Clients
• Connectoren
• Internet
• Spam und UCE
• Migration/Koexistenz
• Tools
• How-To
• Programmieren
• Produkte
• Events
• Buch
• Verschiedenes
• Ideen
• Sonstiges
• Net at Work
• Newsletter
• Archiv
• English pages