Glossar

Kryptologie entschlüsselt

Gelingt es Unbefugten, geschäftliche Kommunikation abzuhören, kann das für Unternehmen teuer werden. Kryptologische Verfahren schützen, sind jedoch oft schwer verständlich. AMPERE hat daher fünf wichtige Fragen von Kryptologie-Experten beantworten lassen.

1. WELCHE SCHLÜSSEL PASSEN WO?


Wer sich mit IT-Sicherheit auseinandersetzt, wird mit Begriffen aus der Kryptografie wie „Public Key“ und „Private Key“ konfrontiert, die in asymmetrischen Verschlüsselungsverfahren vorkommen. Welcher Schlüssel wo passt, erläutert Ralf Küsters, Leiter des Instituts für Informationssicherheit an der Universität Stuttgart: „Jeder Kommunikationspartner, in der Kryptografie nennen wir sie Alice und Bob, besitzt einen öffentlichen und einen privaten Schlüssel. Nehmen wir als Beispiel Bob und nennen seinen Public Key „pubB“ und seinen Private Key „privB“. Beide Schlüssel erzeugt Bob selbst, wobei er privB geheim hält; pubB hingegen darf jeder kennen. Er lässt sich wie ein geöffnetes Schnappschloss vorstellen, „privB“ als der Schlüssel dazu. Wenn nun Alice eine geheime Nachricht an Bob schicken möchte, nimmt sie pubB und verschlüsselt damit die Nachricht. Die so verschlüsselte Nachricht kann nur Bob mit seinem privB entschlüsseln.“ Allgemein gilt: Aus Kenntnis des öffentlichen Schlüssels ist der private nicht zu erschließen.

2. IST ENDE-ZU-ENDEVERSCHLÜSSELUNG SICHER?


Kryptografen sind skeptisch, wenn der Verschlüsselungsalgorithmus keine Open Source ist. So auch bei der Ende-zu-Ende-Verschlüsselung, deren Code WhatsApp nicht offenlegt. Ist der Messenger-Dienst dennoch sicher? Joachim Selzer vom Chaos Computer Club (CCC) sagt: „Der von Whisper Systems veröffentlichte Algorithmus, der von WhatsApp verwendet wird, gilt nach heutigem Wissensstand als schwer angreifbar. Ob der Algorithmus jedoch korrekt implementiert wurde, wissen wir nicht, weil wir den Quellcode nicht einsehen können.“ Paul Rösler vom Horst Görtz Institut für IT-Sicherheit, der mit seinem Team vor zwei Jahren eine Sicherheitslücke gefunden hat, hebt hervor:„WhatsApp hat zu keinem Zeitpunkt das Ziel gehabt, maximale Sicherheit für jedes Individuum zu bieten, verhindert aber mit der Ende-zu-Ende-Verschlüsselung ein massenhaftes Absaugen von Daten.“ Für wirklich vertrauliche Kommunikation sei WhatsApp nicht zu empfehlen.

3. GIBT ES SCHLÜSSEL, DIE NICHT ZU KNACKEN SIND? 


In den über 2.000 Jahren der Kryptografie gilt der Austausch des geheimen Schlüssels als wunder Punkt. Früher mussten sich Sender und Empfänger dafür persönlich treffen. Selbst heute sei im Prinzip kein Verfahren dafür absolut sicher, bis auf den quantenkryptografischen Schlüsselaustausch, der angeblich nicht geknackt werden kann. „In der Theorie ist das richtig“, sagt Jörn Müller-Quade, Experte für Kryptografie und Softwaresicherheit am Forschungszentrum Informationstechnik in Karlsruhe. „Stellt man sich Geräte perfekt und fehlerfrei vor, ist Quantenkryptografie nicht angreifbar. Aber durch imperfekte Implementierung können Seitenkanäle entstehen, die einen Angriff ermöglichen.“ Wie sicher Quantenkryptografie in der realen Welt wirklich ist, sei noch gar nicht genau genug erforscht. „Ich rate zurzeit, Quantenkryptografie immer mit einem klassischen Verfahren zu kombinieren, sodass für einen erfolgreichen Angriff beide geknackt werden müssen“, ergänzt Müller-Quade.

4. WELCHE ROLLE SPIELT DIE HARDWARE?


Ein wirksamer Cyberschutz beruht auf dem kombinierten Einsatz von Abwehrmechanismen wie gesicherter Kommunikation, gesicherter Einschaltsequenz für alle vernetzten Geräte und gesicherten Prozessen für Firmware-Updates. Hierfür braucht es kryptografische Schlüssel, etwa um die Authentizität des Gerätes zu prüfen oder Daten zu verschlüsseln. Den Schutz geheimer Schlüssel im Gerätespeicher allein durch Sicherheitssoftware zu erreichen, gilt als schwierig, ineffizient und unpraktisch. „Gesicherte Hardware, die speziell zur Isolierung und Speicherung kryptografischer Schlüssel und anderer sensibler Informationen entwickelt wurde, kann Schwachstellen sowohl in softwarebasierten Sicherheitssystemen als auch in Systemen mit Standardprozessoren eliminieren“, sagt Detlef Houdeau, Senior Director der Infineon Technologies AG.

5. WO BEKOMMT MAN DIE BESTEN KRYPTO-EXPERTEN? 


Auch wenn sich die Frage nach den besten Krypto-Experten laut Joachim Selzer vom CCC nicht seriös beantworten lässt, da es keine allgemein anerkannte Metrik für die Güte gibt, gibt es Indikatoren: Bezogen auf die Gesamtbevölkerung, ist die Zahl der Kryptografen in Israel und der Schweiz besonders hoch. Deutschland muss sich aber nicht verstecken: „Es gibt zahlreiche hochrangige internationale Konferenzen, bei denen sich führende Kryptografen aus aller Welt treffen. Deutschland ist dabei immer sehr gut vertreten“, sagt Ralf Küsters. Und Georg Sigl von der TU München ergänzt: „Im Bereich der Hardwaresicherheit nimmt Deutschland mit seinen europäischen Nachbarn Frankreich, Belgien und den Niederlanden eine herausragende Position ein.“

Text: Carmen Klingler-Deiseroth | Graphiken: bloomua/Design Cuts, PinkCoffie/DesignCuts, Barbara Geising

Dieser Artikel ist in der Ausgabe 4.2020 am 17. November erschienen.


ampere

Das Magazin der Elektro- und Digitalindustrie

Mit dem Magazin der Elektro- und Digitalindustrie ampere, das zwei Mal im Jahr erscheint, schaut der Verband über den Tellerrand der Branche hinaus.

Jede Ausgabe von ampere setzt sich kontrovers und informativ mit Themenschwerpunkten der Elektroindustrie auseinander, die aus unterschiedlichen Perspektiven beleuchtet werden. Der Verband will mit dem Magazin den Dialog mit Entscheidungsträgern aus Politik, Wirtschaft, Wissenschaft und Gesellschaft stärken.