Symmetrisch oder Asymmetrisch

Die Mechanismen hinter Verschlüsselung

02.05.2014 von Hermann Apfelböck
Das Motiv der Geheimschrift ist fast so alt wie die Schrift selbst: Ein Text soll nur für den Eigentümer oder für genau einen Empfänger lesbar sein. Aber wie genau funktioniert das eigentlich?

Vor 2000 Jahren reichte eine Cäsar-Verschlüsselung für militärische Geheimbotschaften: Dabei wurde jeder Buchstabe um eine bestimmte Stellenanzahl im Alphabet vorgerückt - aus A wird dann etwa D, aus B wird E und so fort. Heute durchschaut diesen Code jeder clevere Grundschüler. Demgegenüber gehört inzwischen eine hochkomplexe Verschlüsselung zum Alltag, die gar nicht oder jedenfalls nicht mit vertretbarem Aufwand zu knacken ist. Ermöglicht wird dies durch schnelle Computer und passende Software. Was da eigentlich passiert, ist allerdings den wenigsten PC-Benutzern transparent. Dieser Beitrag erläutert die Grundmechanismen

Die Mechanismen hinter Verschlüsselung
Foto: ra2 studio, Fotolia.com

Symmetrische Verschlüsselung

Wer im PC-Alltag Daten verschlüsselt, nutzt in der Regel eine symmetrische Verschlüsselung. Diese zeichnet sich dadurch aus, dass beim Verschlüsseln wie beim Entschlüsseln derselbe Schlüssel benutzt wird. Die angesprochene Cäsar-Substitution ist ein extrem einfaches Beispiel für symmetrische Verschlüsselung. Der Schlüssel lautet "Alphabetposition plus / minus n", wobei für "n" lediglich 26 Möglichkeiten bestehen. Je nach Richtung - Chiffrierung oder De-Chiffrierung - werden die Einzelbuchstaben dann ersetzt.


Rar-, 7-Zip oder auch speziellere Kryptographie- Werkzeuge wie Bitlocker oder Truecrypt verwenden ebenfalls symmetrische Verschlüsselung, doch ist der Zugangsschlüssel hier ein variables, frei wählbares Kennwort. Dadurch gibt es theoretisch beliebig viele Schlüssel, und die Sicherheit der codierten Daten hängt wesentlich von der Länge und Komplexität des gewählten Kennworts ab.

Guter Schutz auf mobilen Geräten und für Daten in der Cloud: Packer wie 7-Zip oder Winrar mit Kennwortoption verschlüsseln zuverlässig, sofern Sie lange und komplexe Kennwörter verwenden.

Exkurs: Um genau zu sein, ist das Kennwort zwar für den Benutzer der Schlüssel zum Decodieren, technisch handelt es sich jedoch um einen hexadezimalen Schlüssel definierter Länge (etwa 256 Bit = 32 Byte). Diesen tatsächlichen Schlüssel kann das jeweilige Programm eindeutig aus dem Kennwort errechnen.


Um nun zu skizzieren, was bei der symmetrischen Verschlüsselung unter der Haube geschieht, verwenden wir ein vereinfachtes Beispiel. Die zu verschlüsselnde Datei enthält nur das Wort "PCWELT", und das Kennwort lautet "geheim". Die jeweilige Software - immer noch Rar, 7-Zip, Truecrypt, Bitlocker und Co. - kann nun zur Erhöhung der Sicherheit verschiedene Methoden einsetzen: etwa Transposition, also das Verschieben von Bytes innerhalb eines definierten Blocks oder auch Ersetzungen nach dem logischen Vorbild der Cäsar-Verschlüsselung. Bei diesen kryptographischen Umwandlungen spielt der Schlüssel (Kennwort) immer eine wesentliche Rolle.

Verschlüsselungs-Tools -
Intellicomp IndependenceKey
Der IndependenceKey verschlüsselt Daten für Mail, Skype, Dropbox oder andere Cloud-Speicher.
LaCie Wuala
Cloud-Speicherdienste wie Wuala bieten eine integrierte Verschlüsselung an. Alle Daten, die in bestimmte Nutzerverzeichnisse abgelegt werden, werden automatisch verschlüsselt, bevor sie in die Cloud übertragen werden.
Kaspersky Mobile Security
Mobile Sicherheitssoftware wie Kaspersky Mobile Security hat neben dem Virenschutz auch Verschlüsselungsfunktionen an Bord.
DataLocker EncryptDisc
Bei DataLocker EncryptDisc handelt es sich um optische Speichermedien, die die Verschlüsselungslösung bereits in sich tragen.
NCP Secure Entry Client
Damit VPN-Verbindungen bei Bedarf eines verschlüsselten Netzwerkzugriffs möglichst allen Nutzern zur Verfügung stehen, sollten VPN-Clients gewählt werden, die zum Beispiel auch für Apple-Systeme bereit stehen, wie der NCP Secure Entry Client.
PhoneCrypt
Bei mobilen Endgeräten sollten nicht nur die gespeicherten Daten, sondern auch die vertraulichen Telefonate verschlüsselt werden, zum Beispiel mit PhoneCrypt.
Secusmart SecuVoice Q10
SecuVoice verschlüsselt mobile Telefonate und bildet einen Teil der SecuSuite, die zusätzlich unter anderem SMS und E-Mails verschlüsselt.
Sophos SafeGuard Enterprise
Eine Lösung wie Sophos SafeGuard Enterprise unterstützt die Verschlüsselung von Datenträgern genauso wie von Daten, die in eine Cloud übertragen werden sollen.
Mozilla Thunderbird S/MIME
E-Mail-Clients wie Mozilla Thunderbird ermöglichen eine E-Mail-Verschlüsselung nach S/MIME, doch nur wenige Nutzer machen davon Gebrauch, da vielen die Zertifikatsverwaltung zu aufwändig erscheint.
Z1 SecureMail Gateway Appliance Platform
Appliances mit dem Z1 SecureMail Gateway unterstützen die Verschlüsselung von E-Mail auf mehreren Wegen und erleichtern so die Anbindung von Partnern, die keine Public Key Infrastructure (PKI) betreiben.

Die verbreitete und bewährte symmetrische Verschlüsselung nach AES (Advanced Encryption Standard) sieht mehrere Umwandlungen innerhalb von 8-Byte-Blöcken unter Berücksichtigung des Schlüssels vor. Wie viel Aufwand eine Software im Einzelnen treibt, ist immer eine pragmatische Entscheidung zwischen höchstmöglicher Sicherheit und vertretbarem Rechenaufwand. Anders als bei der simplen Cäsar-Rotation geschehen solche Codierungen aber nicht auf der Zeichen-, also der Byte-Ebene, sondern auf Bit-Ebene, also auf der untersten Informationsebene der Nullen und Einsen. Dabei spielt das selbstinverse XOR in moderner Kryptographie eine entscheidende Rolle.

Um Ihnen diese XOR-Funktion zu verdeutlichen, kommen wir wieder zum Klartext "PCWELT" und zum einfachen Kennwort "geheim" zurück: Ausgangstext und Schlüssel (hier der Einfachheit halber mit dem Kennwort gleichgesetzt) werden im einfachsten Fall Byte für Byte verglichen und XOR-verknüpft. Beginnen wir beim ersten Byte: Das Byte in "PCWELT" ist das "P". Wie alles bei der digita - len Datenverarbeitung wird dieses "P" intern durch eine Zahl dargestellt, nämlich mit dem (Ascii-) Wert 80, "g" in "geheim" mit dem Wert 103. In der Binärschreibweise im Rechner mit Nullen und Einsen sieht das dann so aus:

P = 80 (dez) = 01010000 (Bin)
g = 103 (dez) = 01100111 (Bin)
XOR -------------------------
7 = 55 (dez) = 00110111 (Bin)

XOR vergleicht Bit für Bit von Position 1 bis 8: Sind zwei Bits an der jeweiligen Position identisch, also "0 und 0" oder "1 und 1", so ergibt sich die "0". Sind die zwei Bits unterschiedlich, also einmal die "0" und einmal die "1", so ergibt sich die "1" als Ergebnis. In diesem Beispiel kommt XOR zu dem Bitmuster 00110111. Das entspricht dezimal 55 und das verschlüsselte Resultat ist am Ende die "7" (Ascii 55).

Nach analogem Vorgehen für die weiteren Bytes wird aus "PCWELT" der Text "7&? %9". Das Erfreuliche an der XOR-Verknüpfung: Bei der Dechiffrierung des Codes mit dem richtigen Kennwort kommt dann wieder der Klartext zum Vorschein. Auch hier soll uns das erste Byte als Beispiel genügen:

7 = 55 (dez) = 00110111 (Bin)
g = 103 (dez) = 01100111 (Bin)
XOR -------------------------
P = 80 (dez) = 01010000 (Bin)

Aus der "7" wird also wieder das "P" von "PCWELT". Was kompliziert aussieht und oben nur für ein einziges Byte beschrieben ist, erledigen Packer oder Verschlüsselungsprogramme selbst bei großen Dateien in Sekunden.

Asymmetrische Mailverschlüsselung: Thunderbird, Enigmail und Gnu PG machen sichere Mails relativ komfortabel. Der öffentliche Schlüssel eines Partners kann manuell gesendet werden oder ist auf einem Key-Server zu finden.

Einsatzgebiete symmetrischer Verschlüsselung

Truecrypt-Container oder 7-Zip-Archive mit einem komplexen Passwort als Schlüssel bieten zuverlässigen Schutz für persönliche Daten auf Cloud-Speichern oder mobilen Datenträgern - also bei Daten ohne Empfänger, die Sie nur selbst nutzen und geschützt wissen wollen. Muss jedoch ein Empfänger den Kennwortschlüssel erhalten, ist dies nur sicher, wenn der Schlüssel auf einem zweiten Kanal übermittelt wird - etwa telefonisch. Dies macht die symmetrische Verschlüsselung entweder unbequem oder unsicher, wenn Sie aus Bequemlichkeit denselben Schlüssel dauerhaft nutzen und an viele Empfänger weitergeben.

22 Tools für mehr Sicherheit am PC -
20 Tools für mehr Sicherheit am PC
Hat ein Virus Ihren Rechner infiziert und Ihr Antiviren-Tool mundtot gemacht? Mit einem Zweit-Scanner überprüfen Sie den Sicherheitsstatus Ihres Computers.
Avira Bootsektor-Repairtool
Spezialtool, das Bootsektor nach Viren durchleuchtet. Bootsektor-Viren verursachen oft Probleme beim Hochfahren und führen zu einem instabilem Rechner.
The Cleaner 9
The Cleaner 9 spürt für Sie Schädlinge aller Art auf, die dann auch noch komfortabel entfernt werden können.
Kaspersky Security Scan
Kaspersky Security Scan untersucht Ihren Computer nach Schädlingen jeder Art. Egal ob Viren, Malware oder Trojaner, Kaspersky Security Scan verspricht alle schädlichen Inhalte aufzuspüren.
Zonealarm Firewall
Wenn Sie kein Komplett-Paket mit integrierter Firewall nutzen und der Windows-Firewall nicht trauen, sollten Sie ein Programm wie Zonealarm Firewall Free installieren.
F-Secure Online Scanner
Der F-Secure Online Scanner ist ein kleines kostenloses Sicherheits-Tool, welches Ihren PC nach Schädlingen durchsucht und entfernt. Lobenswert: Sie müssen diesen Scanner nicht installieren.
Malwarebytes Anti-Malware
Malwarebytes Anti-Malware durchsucht Ihren PC gezielt nach bösartiger Software wie Spyware, Trojaner und Viren, um diese dann zu entfernen.
McAfee AVERT Stinger
McAfee Avert Stinger können Sie immer dann einsetzen, wenn schon eine Vireninfektion Ihres Rechners vorliegt und Sie schnell Ihr System überprüfen möchten.
Avira AntiVir Removal Tool
Viren-Entferner haben sich auf die Säuberung nach der Infektion spezialisiert. Das Antivir Removal-Tool räuchert Würmer aus.
Windows-Tool zum Entfernen bösartiger Software
Anti-Malware-Tool von Microsoft, dass bösartige Software aufspürt.
Trojan Remover
Trojan Remover sucht nach eingedrungenen Schädlingen und befreit ihren Rechner von Würmern, Trojanern, Ad- und Spyware.
Avira AntiVir Rescue System 2014
Wenn Ihr System gar nicht mehr gestartet werden kann, hilft vielleicht eine Rettungs-Disc weiter.
F-Secure Rescue CD
F-Secure Rescue CD kann ein durch Malware beschädigtes System nach Viren durchsuchen. Potenzielle Bedrohungen werden in Quarantäne verschoben.
AVG Rescue CD
Auch die AVG Rescue CD hilft Ihrem Rechner wieder auf die Beine, wenn dieser durch starken Virenbefall nicht mehr starten will.
Sophos Anti-Rootkit
Sophos Anti-Rootkit hilft Ihnen versteckte Rootkits zu entdecken.
Trojancheck
Das Abwehr-Tool Trojancheck findet Trojaner auf Ihrem PC. Dazu überwacht die Software die neuralgischen Angriffspunkte Registry, Windows-Autostart-Einstellungen und offene Ports.
TrojanHunter
TrojanHunter überprüft Ihren Rechner auf eingeschleuste Trojaner und beseitigt die Schädlinge. Dabei erkennt das Programm auch veränderte Trojaner.
AppRemover
Kein zweites Antiviren-Programm - aber ein Programm, dass Ihr erstes Virenprogramm restlos entfernen soll, wenn Sie wechseln wollen.
ClamWin Free Antivirus
Der Open-Source Virenscanner ClamWin überprüft Ihren Rechner auf Computerviren und andere Schädlinge, wobei er sich auf eine Update-fähige Datenbank stützt.
Microsoft Malware Prevention Troubleshooter
Microsofts Malware Prevention Troubleshooter durchleuchtet Ihren Computer. Das Tool sucht nach fehlerhaften Systemkonfigurationen und Sicherheits-Problemen. Zudem werden Sicherheits-Einstellungen verändert, sodass Ihr System präventiv gegen Schadsoftware-Befall geschützt sein soll.
Ashampoo Anti Virus 2014
shampoo Anti-Virus 2014 schützt Sie per Echtzeitschutz und zwei Scan-Engines vor Viren, Spyware und Trojanern. Ashampoo verspricht außerdem, dass Ihr PC nicht ausgebremst wird.

Asymmetrische Verschlüsselung

Das entscheidende Merkmal der asymmetrischen Verschlüsselung sind zwei unabhängige Schlüssel: der öffentliche zum Verschlüsseln und der private zum Entschlüsseln. Die beiden komplementären Schlüssel generiert die Software - etwa PGP (Pretty Good Privacy) und Abkömmling Open PGP - auf Ihrem PC. Beide Schlüssel stehen zwar in eindeutigem Verhältnis zueinander, jedoch ist die Berechnung des privaten Schlüssels aus dem öffentlichen durch den Einsatz mathematischer Einwegfunktionen extrem aufwendig bis unmöglich.


Der öffentliche Schlüssel (public key) zum Verschlüsseln kann daher ohne Geheimniskrämerei an alle Kommunikationspartner oder zu einem öffentlichen Key-Server im Web geschickt werden. Nun chiffrieren alle Partner Nachrichten an Sie mit diesem öffentlichen Schlüssel - Sie sind die einzige Person, die diese Nachrichten mit dem passenden privaten Schlüssel (private key) lesbar machen kann.

Umgekehrt codieren Sie Ihre Nachrichten mit den öffentlichen Schlüsseln Ihrer Partner und haben die Sicherheit, dass nur der Empfänger mit dem komplementären privaten Schlüssel die Nachricht lesen können wird.

Das nicht ganz triviale Prinzip behebt das Problem symmetrischer Codierung: die sichere Übermittlung des Schlüssels. Open-Source-Initiativen haben außerdem Bedienungshürden abgebaut: Key-Server, Open PGP, Thunderbird mit Enigmail-Erweiterung machen sichere Mailkommunikation relativ komfortabel. Trotzdem haben sich PGP und Nachfolger vor allem in der Windows-Welt nie durchsetzen können. (PC-Welt)