Sichere kryptographische Verfahren

Hintergrund

Die Digitalisierung hat unsere Geschäftswelt in den letzten 15 Jahren stark verändert. Während des Internetzeitalters haben sich die IT-Systeme von Firmen, Staaten und Privathaushalten miteinander vernetzt. In der digitalen Welt gibt es keine Grenzen oder Zollbeamten, die das Eindringen von nichtautorisierten Personen und Waren zu verhindern versuchen. Diese Entwicklung erleichtert nicht nur für die Geschäftswelt die Abwicklung der Geschäfte, sondern auch für kriminelle Kräfte und Organisationen. Diese können durch Spionage oder mittels Malware ohne in eine Organisation einzudringen an wertvolle Informationen/Assets gelangen und umgehend die Spuren ihrer Machenschaften verwischen. Sie können falsche Nachrichten (fake news) verbreiten und so die zivilen Gesellschaften destabilisieren oder die Steuerung von kritischer Infrastruktur wie Atomkräfte, Wasserversorgung oder Verkehrssysteme manipulieren, und so erheblichen Schaden anrichten.

Schutzziele

Die kryptographischen Verfahren unterstützen uns bei der Gewährleistung von Vertraulichkeit, Integrität und Echtheit der wertvollen Informationen. Ich berichte kurz über die bekannten kryptographischen Verfahren und ihre Einsatzbereiche:

• Durch eine geeignete Verschlüsselungstechnologie die Vertraulichkeit, Integrität, Authentisierung und Nichtabstreitbarkeit von sensiblen Informationen gewährleisten
• Unbefugte Manipulation einer Nachricht/Information verhindern
• Nachweise der Identität von Kommunikationspartnern, die Herkunft und die Echtheit der ausgetauschten Information gewährleisten
• Verhindern des nachträglichen Abstreitens des Versands/Empfangs einer Nachricht

Abgeleitet aus Quelle BSI-Grundschutz

Bekannte kryptographische Verfahren

Die kryptographischen Verfahren basieren auf komplexen mathematischen Berechnungen. Diese nennt man Logarithmen. Die üblichen kryptographische Verfahren sind:

Symmetrische oder Private-Key-Verschlüsselung (Quelle Wikipedia)

Bei symmetrischen Verfahren werden Ver- und Entschlüsselung mit demselben Schlüssel (private key) durchgeführt. Das heisst, Sender und Empfänger müssen vorab diesen geheimen Schlüssel vereinbart haben und der Schlüssel muss natürlich geheim gehalten werden, um die Information zu schützen. Das Verfahren ist wenig komplex, braucht wenig Rechenleistung, jedoch der Geheimschlüssel (private key) muss zwischen den Teilnehmenden ausgetauscht werden. Es besteht das Risiko, dass Geheimschlüssel gestohlen werden können.

Asymmetrische Verschlüsselung (Quelle Wikipedia)

Das „asymmetrische Kryptosystem“ oder „Public-Key-Kryptosystem“ ist ein kryptographisches Verfahren, bei dem im Gegensatz zu einem symmetrischen Kryptosystem die kommunizierenden Parteien keinen gemeinsamen geheimen Schlüssel zu kennen brauchen. Jeder Benutzer erzeugt sein eigenes Schlüsselpaar, das aus einem geheimen Teil (privater Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) besteht. Der öffentliche Schlüssel ermöglicht es jedem, Daten für den Besitzer des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Besitzer, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentisieren. Er ist komplex und braucht erhebliche Rechenleistung.

Hybrid-Verschlüsselung

In der Praxis werden die beiden Verfahren kombiniert eingesetzt. Das Ziel ist, die Vorteile von beiden symmetrischen und asymmetrischen kryptographischen Verfahren zu nutzen.

Hashfunktion

Eine Hashfunktion berechnet zu einer binärwertigen Folge einen binärwertigen Block fester Länge (den sog. Hashwert; derzeit übliche Längen sind 128 und 160 Bit). Dieser wird für die Verschlüsselung von Dokumenten und Passwörtern verwendet.

Anwendungsgebiete kryptographische Verfahren

• Sichere E-Mails (S/Mime, PGP)
• Sichere Internetverbindungen (SSL/TLS, HTTPS)
• Sicherer Datentransport bei Mobilegeräten wie Festplattenspeicher, USB
• Die Erfüllung von Schriftformerfordernissen mittels qualifizierter elektronischer Signaturen/Zertifikate (Asymmetrische Verfahren)
• Die sichere Anbindung von Aussenstellen über VPN
• Files/Folder-Verschlüsselung (WINZIP –> symmetrische Schlüssel und Passwort)
• Schutz von Passwörtern, Protokollen und Speichermedien (Hashwerte)

Autor: Sukhwant Singh

Blogpost wurde erstellt
im Rahmen vom CAS Cybersecurity & Information Risk Management.

Dozenten in diesem sehr praxisorientierten Lehrgang sind:
Martina Dalla Vecchia (FHNW, Programmleitung)
Lukas Fässler (FSDZ Rechtsanwälte & Notariat AG)
Rainer Kessler (PwC)
Cristian Manganiello (PwC)
Andreas Wisler (goSecurity GmbH)

Beim nächsten CAS live dabei sein?

Hier der Link zur Ausschreibung:
CAS Cybersecurity & Information Risk Management
Starttermin ist jeweils im Frühjahr.

Persönliche Beratung für den Lehrgang gewünscht?

Einfach Prof. Martina Dalla Vecchia ein E-Mail schreiben und einen Termin vorschlagen.