Kryptografie für Otto Normalverbraucher

Ein beliebiger Benutzer, der jemals einen PC und das Internet benutzt hat, soll von Anmeldungen und Passwörtern gehört haben. Die sorgenlosen Zeiten der früheren PCs sind unwiderruflich vorbei. Heutzutage werden fast überall Passwörter benötigt - auf Websites, in Foren, Chats, E-Mail-Programmen und Newsfeeds - und diese Aufzählung kann noch ewig dauern. Nehmen wir zum Beispiel Kreditkartennummern, PIN-Codes, SVN, Bankkontennummern und andere Informationen. Um sich das alles zu merken, braucht man schon ein außergewöhnliches Gedächtnis. Andernfalls müsste man sich das irgendwo notieren. Wo denn? Auf einer Serviette? Auf einem Papierfetzen? Auf der letzten Seite Ihres Monatsberichts? Was tun Sie aber, wenn Sie gleich mehrere Nummern notieren müssen, wie z.B. Sozialversicherungs- oder Bankkontennummern. Sie müssen diese Daten schützen, denn ansonsten können sie leicht gestohlen werden. Offensichtlich brauchen Sie eine Möglichkeit zum Verschlüsseln Ihrer Daten, so dass sie unter Umständen nicht von einem Hacker oder einem Betrüger entschlüsselt werden könnten, selbst wenn sie in ihre Hände geraten würden.

Alles klar, Sie brachen also ein Verschlüsselungsprogramm. Aber moderne einfache Verschlüsselungsverfahren bedeuten nichts für heutige Computerdiebe, die über alle Datenschutztricks und -finessen öfters viel besser informiert sind als ein durchschnittlicher Fachinformatiker. Damit die Verschlüsselung möglichst effizient bleibt, muss man stets komplexe Passwörter (d.h. Passwörter, die aus mehreren Buchstaben, Zeichen und Zahlen bestehen) und knacksichere Verschlüsselungsalgorithmen (d.h. Algorithmen, bei denen man mehrere hundert Jahre einen passenden Schlüssel suchen sollte) verwenden.

Gerade dafür wurde die Kryptografie entwickelt - sie hilft "guten Kerlen" ihre Geheimnisse vor "bösen Kerlen" zu schützen. Es gibt aber bei weitem nicht so viele knacksichere Verschlüsselungsalgorithmen - Blowfish, Rijndael (der neue AES), Twofish, Serpent und ein Paar andere. Diese Verschlüsselungsverfahren werden auch im US-amerikanischen Verteidigungsministerium für den Schutz vertraulicher Daten verwendet. Und diese Kerle versteht was vom Schutz ihrer Geheimnisse.

Es gelten dabei folgende Passwortanforderungen (die ursprünglich von Militärsicherheitsexperten entwickelt worden sind):

das Passwort soll aus mindestens 8 Zeichen bestehen;

es soll KEINE sinnvollen Wörter wie Vor- oder Familiennamen bzw. Ortsnamen usw. enthalten;

es soll nach Möglichkeit aus Zahlen, Groß- und Kleinbuchstaben und Sonderzeichen bestehen.

Wozu braucht man das? Die Code-Knacker verwenden in 99% der Fälle zwei Arten der Angriffe - Wörterbuchangriffe und Brute-Force-Methode. Da es in jeder Sprache insgesamt etwa 500000 Wörter gibt, würde das Ausprobieren aller denkbaren Passwörter, die ein Wort enthalten, weniger als einen Tag dauern. Brute-Force ist ein Angriffsverfahren, bei dem ein Programm zufällige Passwörter aus Zeichen und Zahlen generiert. Wenn Ihr Passwort 8 Zeichen, darunter Buchstaben UND Zahlen, enthält, würde dieses Verfahren mehrere hundert Jahre benötigen, um Ihr Passwort durch Ausprobieren herauszufinden.

Um Ihnen beim Generieren knacksicherer Passwörter zu helfen, wurden spezielle Programme, die so genannten Generatoren komplexer Passwörter, entwickelt.

Kryptologie ist eine Wissenschaft, die sich mit Codes und Passwörtern beschäftigt. Kryptologie lässt sich in zwei weitere Forschungsgebiete unterteilen: Kryptografie und Kryptoanalyse. Die erste erforscht unterschiedliche Datenschutzverfahren, die zweite "hackt" sie. Was schwieriger ist, ist schwer zu sagen. Die meisten Experten sagen, dass ein guter Kryptoanalytiker, der sich im Hacken und Knacken der Codes auskennt, auch neue stabile (d.h. knacksichere) Algorithmen unter Umständen "brechen" kann.

Da das Hauptziel der Kryptografie also Schutz vertraulicher Daten ist, befasst sie sich hauptsächlich mit vier unterschiedlichen Sicherheitsgebieten - Datenschutz, -integrität und -authentifizierung sowie Kontrolle der Interaktion zwischen verschiedenen Elementen des Datenaustauschs. In einfachen Worten ist die Verschlüsselung schlechthin die Konvertierung der Daten in eine "unleserliche" Form. Das ist der primäre Datenschutzprozessor - der Ihre Geheimnisse vor Fremden schützt.

Die Kryptografie ist bei weitem das effizienteste Datenschutzverfahren. Sie wurde bereits vor tausend Jahren erfunden, erfuhr aber besonders in den letzten 50 Jahren eine rasante Entwicklung durch neue mathematische Methoden.

Seit den 50-er Jahren wurden kryptografische Verfahren immer mehr in der Elektronik eingesetzt. Das heißt, dass EDV-Geräte (Computer) zur Erzeugung und Analyse von Verschlüsselungsalgorithmen und Datenschutzsystemen verwendet wurden. Das "elektronische Gedächtnis" führte seinerseits zur Erfindung des Blockcodes, wenn Daten blockweise ver- bzw. entschlüsselt wurden. Seit 1970 wird die Kryptografie nicht nur von Militärs sondern auch von Privatunternehmen aktiv betrieben. Als Resultat erschien im Jahr 1978 der erste 64-Bit Standard (DES). Dieser Prozess setzte sich fort und heutzutage haben fast alle entwickelten Länder ihre eigenen Verschlüsselungsstandards.

Im Grunde genommen können die meisten Verschlüsselungsverfahren in symmetrische (mit einem geheimen Schlüssel) und asymmetrische (mit einem öffentlichen Schlüssel) eingeteilt werden. Jede Art verwendet ihre eigenen Prozeduren, Schlüsselverteilungsmodi, Schlüsseltypen und Ver- bzw. Entschlüsselungsalgorithmen.

Symmetrische Verfahren benutzen identische Schlüssel für die Verschlüsselung und Entschlüsselung von Daten. Diese Schlüssel werden oft zum Speichern und Schutz vertraulicher Informationen verwendet, da sie in der Regel nicht sehr lang sind und große Datenmengen damit schnell verschlüsselt werden können. Viele Leute "komprimieren" Ihre Daten vor der Verschlüsselung, was den Prozess der Kryptoanalyse, der in der Regel auf Erkennung des kryptischen Texts basiert, erheblich erschwert. Die meisten fortgeschrittenen Programme machen das automatisch und bieten dafür eine besondere Verschlüsselungsoption.

Asymmetrische Verfahren werden hier nicht näher erläutert, da ihre Primäraufgabe sichere Datenübertragung und nicht das sichere Speichern von Daten ist.

Terminologie und Verschlüsselungsalgorithmen

Verschlüsselungsalgorithmus (Code) - eine mathematische Funktion, die Daten ver- und entschlüsselt. Für die Verschlüsselung von Daten wird in der Regel ein aus Zeichen bestehender Schlüssel benötigt.

Blockcode - die am meisten verbreiteten Algorithmen, die Daten in Blöcken mit bestimmten Größen verschlüsseln und diese Daten mit Hilfe von Schlüsseln in Blöcke mit gleicher Größe umwandeln.

Blowfish - einer der effizientesten Datenverschlüsselungsalgorithmen, der vom Guru der Kryptografie Bruce Schneier entwickelt wurde. Die Blockgröße beträgt 64 Bit, die Schlüsselgröße - bis zu 448 Bit.

CAST - ein ziemlich zuverlässiger Algorithmus mit Schlüssellänge bis zu 64 Bit. Entwickelt von C.M. Adams und S.E. Tavares, die ihn beim AES Wettbewerb vorgeschlagen haben.

DES - ein in den USA verwendeter veralteter Verschlüsselungsstandard. Wegen Sicherheitsmängel (kann von einem beliebigen modernen Computer in 2 Tagen geknackt werden) wurde er durch AES ersetzt. Entwickelt von National Institute of Standards and Technology (NIST).

GOST - sowjetischer Algorithmus, der von KGB Ende der 70-er Jahre entwickelt wurde. Arbeitet mit 64-Bit Blöcken. Schlüssellänge bis zu 256 Bit. Außer einigen entdeckten Sicherheitslücken gilt dieser Algorithmus immer noch für eher zuverlässig. GOST ist offizieller Verschlüsselungsstandard der Russischen Föderation.

Rijndael - ein von Joan Daemen und Vincent Rijmen entwickelter Verschlüsselungsalgorithmus. Entspricht dem AES Standard (Advanced Encryption Standard - Fortgeschrittener Verschlüsselungsstandard). Der Rijndael-Algorithmus verwendet variable Schlüssellängen von 128, 192 oder 256 Bit und entsprechende Blockgrößen.

Twofish - Nachfolger des Blowfish-Algorithmus, der von Bruce Schneier entwickelt wurde. Gilt für knacksicher (keine bekannten Fälle des Code-Knackens).

3DES - Verschlüsselungsalgorithmus auf Basis des DES-Verfahrens, bei welchem DES dreimal mit jeweils unterschiedlichen Schlüsseln ausgeführt wird, was die Zuverlässigkeit gegenüber DES steigert, die Situation im Allgemeinen aber radikal nicht ändert (immer noch angreifbar).

RC4 - ein Stromverschlüsselungsalgorithmus, der in vielen Netzwerksicherheitssystemen (wie z.B. SSL Protokoll in Netscape und Windows NT Passwortverschlüsselung) eingesetzt wird. Die Hauptvorteile dieses Codes sind seine sehr hohe Geschwindigkeit und einstellbare Schlüsselgröße. Dieser Algorithmus wurde in RSA von Ronald Rivest entwickelt. RC bedeutet dabei "Rons Code" oder "Rivest Cipher". RC4 war intellektuelles Eigentum von RSA bis 1995.

Serpent - Verschlüsselungsalgorithmus, der von Lars Ramkilde Knudsen, einem berühmten Kryptografen und Kryptoanalytiker, entwickelt wurde. Lars Knudsen ist für seine erfolgreichen Kryptoangriffe auf mehrere populäre Codes bekannt. Er unterrichtete an norwegischen, schwedischen, und belgischen Universitäten. Zurzeit arbeitet er als Mathematikprofessor an der Technischen Universität Dänemark.

Tea - ein komplexer Verschlüsselungsalgorithmus (Tiny Encryption Algorithm). Sein kennzeichnendes Merkmal ist sehr kleine Größe. Tea ist sehr einfach, benutzt keine Tabellenwerte und wurde extra für 32-Bit Prozessorarchitektur optimisiert, was seine Verwendung mit ASSEMBLER ermöglicht, selbst wenn die Codegröße extrem klein ist. Zu den Nachteilen gehören langsame Arbeit und die Notwendigkeit des Datenscramblings, da keine Tabellen verwendet werden.

Wörterbuchangriff - eine Art des Kryptoangriffs, bei dem ein Wörterbuch mit besonders oft als Passwort verwendeten Wörtern eingesetzt wird. Diese Angriffsmethode ist hilflos, wenn in Passwörtern "sinnlose" Wörter verwendet werden.

Brute-Force - die am meisten verwendete Art der Kryptoangriffe. Sie heißt "Brute-Force", da der Angreifer (natürlich macht das alles der Computer) verschiedene Schlüssel ausprobiert, die durch zufälliges Zusammenfügen von Sonderzeichen, Buchstaben und Zahlen erhalten werden. Um einen 128-Bit Schlüssel mit Brute-Force-Angriff zu knacken, werden im Durchschnitt mehrere Jahre benötigt. Je mehr Zeichen das Passwort und/oder der Schlüssel enthält, desto mehr Zeit braucht man, um den Code zu knacken (bis zu mehreren hundert Jahren).

Passwort vergessen? Password Manager XP ist Ihr persönlicher Passwort-Verwalter!

File Encryption XP ist Ihre Verschlüsselungssoftware für Windows!