Kryptografie / Kryptographie
Kryptologie ist die Kunst und Wissenschaft, Methoden zur Verheimlichung von Nachrichten zu entwickeln. Die Kryptografie oder Kryptographie ist ein Teil der Krytologie und die Wissenschaft zur Entwicklung von Kryptosystemen, die die Geheimhaltung von Nachrichten zum Ziel haben. Auch ein Teil der Krytologie ist die Kryptoanalyse, bei der es um ist die Wissenschaft zum Brechen von Kryptosystemen handelt.
Kryptografie ist gleichzeitig auch ein Teilgebiet der Informatik. Meist spricht man von Computersicherheit oder IT-Sicherheit. Ein wichtiges Hilfsmittel der Kryptografie ist die Mathematik.
Bei der Kryptografie und den daraus entwickelten Kryptosystemen geht es im wesentlichen darum Daten, Nachrichten und die Kommunikation zu verschlüsseln, um sie vor der Einsicht und Manipulation Dritter zu schützen.
Kryptografie und die Geheimdienste
Kryptografie war ursprünglich eine Domäne der Geheimdienste und des Militärs. Denn bei der Übermittlung von Befehlen in elektronischer Form muss sichergestellt sein, dass der Gegner die Nachricht nicht abfängt oder sogar manipulieren kann.
Da sich die elektronische und digitale Verarbeitung, Übertragung und Speicherung von Daten und Informationen in der Wirtschaft und im Privatleben durchgesetzt hat, fand auch hier die Verbreitung von kryptografischen Verfahren statt.
Bis heute ist es jedoch so, dass die fähigsten Menschen, die sich mit Kryptografie und Kryptoanalyse auskennen den Geheimdiensten angehören. Besonders heikel ist, dass Geheimdienste die Ausarbeitung von Verschlüsselungstechniken unterwandert und Fehler einbauen, die sich wie Hintertüren auswirken und für die Überwachung genutzt werden.
Ziele der Kryptografie
- Zusicherung der Vertraulichkeit: Die Daten oder die Nachricht unterliegen der Geheimhaltung und können nur von den Personen gelesen werden, die den Schlüssel zum Entschlüsseln besitzen.
- Zusicherung der Integrität: Erbringt den Nachweis, dass Daten oder eine Nachricht auf dem Weg vom Sender zum Empfänger nicht verändert wurde.
- Zusicherung der Authentizität: Damit man erkennen kann, dass die Daten oder die Nachricht auch tatsächlich von demjenigen kommt, für den er sich ausgibt.
- Zusicherung der Verbindlichkeit: Der Urheber von Daten oder Absender einer Nachricht muss eindeutig nachweisbar sein (Nichtabstreitbarkeit).
Kryptografische Verfahren und Systeme müssen nicht zwangsläufig alle genannten Ziele unterstützen. Oft ist es so, dass in einem bestimmten Anwendungsfall drei oder auch nur zwei Ziele erreicht werden müssen.
Geschichte der Kryptographie
- Monoalphabetische und polyalphabetische Verfahren (bis etwa 1900)
- Mechanische und maschinelle Verfahren (ab etwa 1900 bis 1970)
- Kryptografische Verfahren (ab etwa 1970)
Die Geschichte der Kryptografie beginnt mit einfachen Verfahren aus der Antike, um Nachrichten in eine unlesbare Form zu bekommen. Nur der Empfänger kennt den Trick, der angewendet werden muss, um die Nachricht wieder in eine lesbar Form zu bekommen. Zum Beispiel indem jeder Buchstabe einem festen Symbol zugeordnet ist (monoalphabetische Verfahren). Ein erweitertes Verfahren davon ist, dass Buchstaben mehreren Symbolen entsprechen (polyalphabetische Verfahren). Hier ist es so, dass man mit ein wenig Erfahrung (Häufigkeitsbetrachtungen) und herumprobieren relativ schnell auf den geheimen Text schließen kann. Im zweiten Weltkrieg wurden erstmals spezielle mechanische Maschinen verwendet.
Mit der Einführung von Computern wurde der Grundstein der heutigen Kryptografie gelegt. Mit der Bedeutung des Datenschutzes hat auch die Bedeutung der Kryptografie zugenommen und die Anwendung der Verfahren vereinfacht. Auf der anderen Seite bietet der Computer auch die Möglichkeit große Datenmengen zu analysieren und Schlüssel zu brechen.
Mit dem Aufkommen des Internets wurde die Kryptografie immer wichtiger. Früher hat man große Datenmengen noch auf externen Datenträgern ausgetauscht. Zum Beispiel auf Diskette, CD-ROM, später DVD. Hier war der Bedarf für Kryptografie gering, weil die Datenträger von Personen beaufsichtigt und nur selten per Post oder in einem Paket verschickt wurden. Doch im Internet werden Daten auf einem unbekannten Weg übertragen. Das heißt, alles kann jederzeit abgehört werden.
Die moderne Kryptografie ist allerdings noch eine relativ junge Technik, die sich im Vergleich mit alltäglicher Technik noch im "Dampfmaschinenzeitalter" befindet.
Gute und schlechte Kryptografie
Was Wissen und Erkenntnisse um gute Kryptografie angehen stehen wir noch ganz am Anfang. Momentan müssen "harte" kryptografische Verfahren folgende Anforderungen erfüllen:
- kein Zusammenhang zwischen Verschlüsselung und Inhalt
- keine erkennbaren Abhängigkeiten zwischen dem Klartext und dem verschlüsselten Text
- Einsatz erprobter und über einen längeren Zeitraum getesteter Verfahren und Implementierungen
Harte und damit sichere Kryptografie braucht oft viel Rechenleistung, bedeutet erheblichen Aufwand bei der Entwicklung und kostet deshalb auch viel Geld.
Kryptografie ist in den Details so kompliziert, dass man sie nicht selber implementieren sollte, sondern auf weit verbreitete und geprüfte Bibliotheken zurückgreifen sollte.
Eine nicht zu unterschätzende Gefahr geht von Krypto-Systemen und -Infrastrukturen aus, die schlecht oder nicht wirklich funktionieren. Denn viele Anwendungen vertrauen darauf, dass sie funktionieren. Wenn zum Beispiel die Funktionen in einem Kryptosystem die Authentizität der Kommunikationspartner nicht ausreichend überprüft, dann kann der Übertragungsweg zwischen den Kommunikationspartnern kompromittierter und somit abgehört und manipuliert werden.
Usability als Sicherheitsfeature / Sicherheit vs. Einfachheit
In der Regel ist es so, dass Sicherheitssysteme oft komplex und schwierig zu bedienen sind. Die Nutzung einer Sache ist dann mit Hürden verbunden, die im Sinne der Sicherheit und des Datenschutzes akzeptiert und anerkannt werden wollen.
Unter Experten wird die Meinung vertreten: "Kryptografie muss umständlich sein, sonst ist es nicht sicher." Leider hat diese Einschätzung einen Haken. Scheitert eine verschlüsselten Verbindung, dann wechseln viele Benutzer ihre Programme und verschicken die Nachrichten und Daten einfach ungeschützt.
Kryptografische Verfahren
Der Begriff Kryptografie wird oft mit Verschlüsselung gleichgesetzt. Allerdings gibt es viele unterschiedliche kryptografische Verfahren, die auf komplizierte mathematische Verfahren beruhen und für die Durchsetzung der Ziele der Kryptografie entwickelt und verwendet werden. In der Literatur wird Kryptografie mit Verschlüsselung gleichgesetzt und alles andere als einheitlich und teilweise ungenau verwendet. So wird ganz allgemein von Verschlüsselungsverfahren gesprochen, wobei diese Verfahren nicht nur verschlüsseln, sondern zum Beispiel auch Authentifizierung und Integritätsprüfung enthalten.
- Symmetrische Kryptografie
- Asymmetrische Kryptografie
- Kryptografische Hash-Funktionen
- Kryptografische Zufallsgeneratoren
- Kryptografische Protokolle / Verschlüsselungsverfahren
Übersicht: Der Versuch einer Einteilung
- Kryptologie
- Kryptoanalyse
- Kryptografie
- Authentifizierungsverfahren
- Integritätssicherungsverfahren
- Verschlüsselungsverfahren
- Kryptosysteme
- Verschlüsselung
- Verschlüsselungsprotokoll
- Schlüsselaustausch
- Schlüsselaustauschprotokoll
- Authentifizierung
- Authentifizierungsprotokoll
- Verschlüsselung
Kryptosysteme sind die Gesamtheit aller notwendigen Elemente, wie Klartext, Schlüssel, Verschlüsselungsalgorithmus, Geheimtext und auch den Verfahren zum Schlüsselaustausch und der Authentifizierung, sofern diese Aufgaben durch das Kryptosystem übernommen werden sollen.
Verschlüsselung / Chiffrierung
Unter Verschlüsselung versteht man Verfahren, die Daten mittels digitaler bzw. elektronischer Codes oder Schlüssel inhaltlich verändern, damit die Daten unlesbar werden. Gleichzeitig wird dafür gesorgt, dass nur mit dem Wissen des Schlüssels die geheimen Daten wieder entschlüsselt werden können.
Anstatt von Verschlüsselung spricht man auch von Chiffrierung, was das gleiche meint.
Kryptoanalyse
Die Kryptoanalyse gehört wie die Kryptografie zur Kryptologie. Zur Kryptoanalyse gehören Methoden um kryptografische Verfahren zu analysieren oder zu brechen. Das Brechen einer Verschlüsselung kommt einem ungewollten Entschlüsseln gleich. Hierzu wendet man oft mathematische und statistische Verfahren an, die auf Schwächen eines bestimmten kryptografischen Verfahrens beruhen.
Ein Problem und damit eine Schwachstelle für jedes Verschlüsselungsverfahren ist die endliche Zahl von verschiedenen Codes zum Verschlüsseln. In der Vergangenheit kam es immer wieder vor, dass nicht immer wieder neue Codes verwendet wurden, sondern nach einiger Zeit alte nochmals eingesetzt. Durch diese Wiederholung wurden Ansatzpunkte geschaffen, die Verschlüsselung zu entziffern.
Durch die stetige Verbesserung der Kryptoanalyse werden auch die Angriffe auf Verschlüsselungsverfahren mit der Zeit immer besser. Ist man den Schwächen eines Verschlüsselungsverfahrens auf der Spur, dann dauert es nur noch wenige Jahre, bis jemand einen weiteren Trick findet oder genug Rechenleistung zur Verfügung steht, um ein Verschlüsselungsverfahren zu knacken.
Wie sicher ist Kryptografie?
Die Kryptografie basiert auf mathematischen Verfahren. Die Sicherheit eines Kryptosystems lässt sich also mathematisch beweisen und berechnen. Die mathematische Beweisführung einer gewissen Sicherheit beruht jedoch oft nur auf Annahmen. Zum Beispiel: "Solange diese Bedingung erfüllt ist, ist diese Verschlüsselung sicher."
Das hat Konsequenzen. Denn ein ungeschickt implementiertes Kryptosystem kann eine eigentlich sichere Verschlüsselung unsicher machen.
Kryptografie ist die hohe Kunst der Informatik. Doch nur derjenige, der die kryptografischen Algorithmen korrekt implementieren und in der Praxis sicher anwenden kann, der ist der wahre Meister.
Wie sicher ein Verschlüsselungsverfahren ist, ist zu allen Zeiten immer zu optimistisch gewesen. Prinzipiell neigen wir zur Selbstüberschätzung, was die Sicherheit einer Technik angeht. Dabei zeigt die Erfahrung, dass kein Aufwand zu groß ist, um ein Verfahren zu brechen. Die Fragestellung ist nur, ob sich der Aufwand, in Erwartung des Inhalts verschlüsselter Daten, lohnt.