Was sind Verschlüsselungsprotokolle und wie funktionieren sie?

Verschlüsselung wird täglich verwendet, um die Online-Kommunikation zwischen zwei Personen oder zwischen Clients und Servern zu sichern. Auch wenn Sie es vielleicht nicht in Aktion sehen, schützt Verschlüsselung Ihre Daten im Ruhezustand und während der Übertragung vor externen Angreifern, die Ihre Kommunikation möglicherweise überwachen. Verschlüsselung funktioniert, indem sie Klartext Daten, also unverschlüsselte Daten, werden in Geheimtext umgewandelt. Geheimtext ist eine zufällige Aneinanderreihung von Buchstaben, Zahlen und manchmal Symbolen, die sensible Daten vor unbefugtem Zugriff schützt. Geheimtext kann wieder in seine ursprüngliche Form zurückverwandelt werden, sofern entweder ein Schlüssel zur Verschlüsselung der Daten verwendet wurde oder ein Muster im Geheimtext gefunden wird. entschlüsseln Die Fähigkeit, Daten zu entschlüsseln, ist in der Online-Kommunikation unerlässlich, da der Empfänger die Daten entschlüsseln können muss. Dies geschieht üblicherweise mithilfe eines Schlüssels. Verschlüsselung ist entscheidend, um sensible Daten vor unbefugtem Zugriff zu schützen. Neben der Verschlüsselung selbst gibt es Verschlüsselungsprotokolle. 

Was ist ein Verschlüsselungsprotokoll?

Die Verschlüsselung erfolgt mithilfe von Verschlüsselungsalgorithmen. Diese Algorithmen führen alle kryptografischen Operationen mit dem Verschlüsselungsschlüssel an den Klartextdaten durch. Sie werden anschließend in Verschlüsselungsprotokollen eingesetzt, um Daten für verschiedene Zwecke zu schützen. Ein Verschlüsselungsprotokoll erfüllt eine spezifische Funktion. Die Funktionen von Verschlüsselungsprotokollen sind vielfältig und reichen von der Kommunikation mit … TLS / SSL für Remote-Verbindungen zu Computern mit SSH. Wir werden uns später in unserem Artikel einige der bekannteren Verschlüsselungsprotokolle ansehen. Bevor wir uns näher mit Verschlüsselungsprotokollen befassen, sollten wir zunächst einige Begriffe lernen, beginnend mit asymmetrisch und symmetrisch Verschlüsselung

Symmetrische und asymmetrische Verschlüsselung

Symmetrische Verschlüsselung ist eine deutlich einfachere Form der Verschlüsselung. Sie verwendet einen einzigen Schlüssel zur Verschlüsselung von Daten, unabhängig davon, ob diese übertragen werden oder gespeichert sind. Bei der Verschlüsselung von Daten während der Übertragung wird der Schlüssel erstellt und sowohl dem Absender als auch dem Empfänger der Nachricht mitgeteilt. Die Daten in der Nachricht werden mit dem symmetrischen Schlüssel verschlüsselt, sodass nur derjenige, der den Verschlüsselungsschlüssel besitzt, diese Daten lesen kann. Sobald die Nachricht den Empfänger erreicht hat, kann dieser die Daten mithilfe des symmetrischen Schlüssels entschlüsseln. Die alleinige Verwendung symmetrischer Verschlüsselung wird nicht empfohlen, da sie im Vergleich zur asymmetrischen Verschlüsselung deutlich unsicherer ist. Dies liegt daran, dass bei der symmetrischen Verschlüsselung der erstellte Schlüssel irgendwann an den Datenempfänger übermittelt werden muss. Erfolgt diese Übertragung nicht sicher, könnte der Schlüssel während der Übertragung abgefangen werden, wodurch jede mit diesem Schlüssel durchgeführte Verschlüsselung wirkungslos wird. Ein Beispiel für mit einem symmetrischen Schlüssel verschlüsselte Daten während der Übertragung finden Sie unten.

Wie bereits erwähnt, ist asymmetrische Verschlüsselung die sicherere der beiden Verschlüsselungsarten. Bei der asymmetrischen Verschlüsselung wird ein Schlüsselpaar erstellt, bestehend aus einem öffentlichen und einem privaten Schlüssel. Der öffentliche Schlüssel ist für jeden einsehbar, während der private Schlüssel nur dem Ersteller des Schlüsselpaares bekannt ist. Um Daten asymmetrisch zu verschlüsseln, verschlüsselt der Ersteller die Nachricht mit seinem privaten Schlüssel, sendet die verschlüsselte Nachricht an den Empfänger, und dieser kann sie anschließend mit dem öffentlichen Schlüssel, der üblicherweise aus einer Datenbank für öffentliche Schlüssel stammt, entschlüsseln. Durch die Entschlüsselung der Nachricht mit dem öffentlichen Schlüssel kann der Empfänger feststellen, dass die Nachricht tatsächlich vom erwarteten Absender stammt und dass die Daten in der Nachricht unverändert sind. Wären die Daten in der Nachricht verändert worden, würde die Entschlüsselung mit dem öffentlichen Schlüssel keine lesbare Nachricht ergeben, da die Daten mit einem anderen Wert verschlüsselt worden wären. Obwohl asymmetrische Verschlüsselung sicherer ist als symmetrische Verschlüsselung, werden beide Verfahren häufig gemeinsam zur Verschlüsselung der Kommunikation eingesetzt. Die erste Verbindung wird asymmetrisch verschlüsselt hergestellt, ein symmetrischer Sitzungsschlüssel wird generiert und anschließend zur Verschlüsselung der Nachrichten innerhalb der Sitzung verwendet. Nachfolgend finden Sie ein Diagramm des asymmetrischen Verschlüsselungsprozesses.

Public-Key-Infrastruktur (PKI)

Hand in Hand mit asymmetrischer Verschlüsselung und Verschlüsselungsprotokollen arbeiten ist Public-Key-Infrastrukturenoder PKI. Ein PKI-Infrastruktur die digitale Zertifikate und asymmetrische Schlüsselpaare zur Authentifizierung von Benutzern und Geräten innerhalb eines Netzwerks. Wenn jemand ein Netzwerk nutzen möchte, das eine PKI-Infrastruktur verwendet, muss er ein Zertifikat von einem PKI anfordern. Zertifizierungsstelle (CA) innerhalb der PKI. Die Anfrage, auch bekannt als Zertifikat-Signaturanforderung oder CSR, das Informationen über den Antragsteller sowie den öffentlichen Schlüssel eines asymmetrischen Schlüsselpaares enthält, dessen Inhaber er ist. Die Informationen in der Anfrage werden von der Zertifizierungsstelle (CA) überprüft. Sind sie gültig, wird dem Antragsteller ein Zertifikat ausgestellt, das seinen öffentlichen Schlüssel sowie weitere Komponenten enthält. Wenn nun eine Verbindung zwischen diesem Zertifikatsinhaber und einem Server oder einem anderen Benutzer hergestellt wird, kann dieser die Vertrauenskette seines digitalen Zertifikats überprüfen, um dessen Gültigkeit festzustellen. Vertrauenskette des Zertifikats Dies ist ein Pfad vom aktuellen Zertifikat zurück zum Zertifikat der Stammzertifizierungsstelle. Jedes Zertifikat in dieser Kette wird auf Gültigkeit geprüft, um sicherzustellen, dass der Zertifikatsinhaber kein abgelaufenes oder widerrufenes Zertifikat verwendet. Trifft dies auf alle Zertifikate in der Kette zu, wird das Zertifikat validiert und eine Verbindung hergestellt. Um PKI besser zu verstehen, werde ich im Folgenden detaillierter auf den Aufbau und die Bestandteile einer PKI eingehen.

Eine PKI enthält immer eine Root-CA. Diese bildet den Kern des Vertrauens in der PKI-Infrastruktur und stellt Zertifikate an die Issuing CAs aus, damit diese wiederum Zertifikate an Antragsteller ausstellen können. Die Kompromittierung einer Root-CA führt zur Ungültigkeit aller innerhalb dieser PKI-Infrastruktur ausgestellten Zertifikate. Daher wird die Root-CA permanent offline gehalten. Issuing CAs sind ebenfalls in jeder Art von PKI-Infrastruktur involviert, da die Root-CA offline ist und keine Zertifikate an Benutzer ausstellen kann. Issuing CAs, deren Anzahl beliebig sein kann, stellen, wie ihr Name schon sagt, Zertifikate aus. Diese CAs bilden das Bindeglied zwischen dem ausgestellten Zertifikat und der Root-CA in der Vertrauenskette. Die Kompromittierung einer Issuing CA ist zwar nicht so verheerend wie die Kompromittierung der Root-CA, hat aber dennoch schwerwiegende Folgen. Wenn eine Issuing CA kompromittiert wird, sind auch alle von ihr ausgestellten Zertifikate ungültig. Dies bedeutet, dass ein großer Teil der PKI unbrauchbar wird. Ähnlich wie eine Issuing CA gibt es eine Intermediate CA. Die Intermediate CA wird jedoch in den meisten PKIs nicht verwendet. Sie wird ausschließlich in einer dreistufigen PKI-Infrastruktur verwendet. Diese fügt dem Zertifizierungspfad bzw. der Vertrauenskette eine weitere Ebene hinzu. Sie stellen in der Regel Zertifikate für ausstellende Zertifizierungsstellen (CAs) aus und dienen als Bindeglied zwischen einer Stammzertifizierungsstelle und einer ausstellenden CA. Neben den verschiedenen CAs umfasst eine PKI auch Zertifikatssperrlisten (CRLs). Zertifikatssperrlisten (CRLs) enthalten Informationen zu Zertifikaten, die aus verschiedenen Gründen widerrufen wurden. Dies sollte ausreichen, um die Frage „Wie funktioniert eine PKI?“ zu beantworten. Betrachten wir nun die gängigsten Verschlüsselungsprotokolle und ihre Funktionsweise.

Gängige Verschlüsselungsprotokolle

• TLS/SSL: TLS/SSL ist das am weitesten verbreitete Verschlüsselungsprotokoll und wird täglich im Internet verwendet. TLS/SSL steht für Transport Layer Security/Secure Sockets Layer und ist ein Verschlüsselungsprotokoll, das die sichere Kommunikation zwischen Client und Server gewährleistet. Wenn Ihr Webbrowser eine Website aufruft und die Verbindung mit TLS/SSL gesichert ist, werden in der Adressleiste ein Schlosssymbol und „https“ angezeigt. TLS/SSL selbst verschlüsselt die Daten nicht, sondern verwendet verschiedene Verschlüsselungsalgorithmen wie RSA oder AES. Daher gilt SSL/TLS als Verschlüsselungsprotokoll. Die Verwendung von TLS/SSL zur Verschlüsselung der Kommunikation ist weit verbreitet, da es mit einer Vielzahl unterschiedlicher Verschlüsselungsalgorithmen kombiniert wird. TLS/SSL kann zur Benutzerauthentifizierung, zur Verschlüsselung des Datenverkehrs und zum Nachweis der Unversehrtheit der übertragenen Daten eingesetzt werden.
  TLS/SSL funktioniert so, dass ein asymmetrisches Schlüsselpaar im Rahmen eines „Handshake“-Prozesses verwendet wird, um die initiale Verbindung zwischen Client und Server zu sichern. Während dieses Handshakes wird die zu verwendende Protokollversion ausgewählt, die TLS/SSL-Zertifikate von Server und Client werden verifiziert, der Algorithmus für den „Record“-Prozess wird festgelegt und der gemeinsame Schlüssel wird mit symmetrischer Verschlüsselung generiert. Dieser gemeinsame Schlüssel wird dann im nächsten Kommunikationsschritt, dem „Record“-Protokoll, verwendet. Dabei werden die zwischen den beiden Benutzern ausgetauschten Pakete mit dem gemeinsamen Schlüssel verschlüsselt, um eine maximale Kommunikationssicherheit zu gewährleisten.
• IPsec: IPsec, oder Internet Protocol Security, ist ein Verschlüsselungsprotokoll, das Verschlüsselungsalgorithmen wie 3DES verwendet. AES, SHAIPsec wird häufig zur Verschlüsselung von Daten in Anwendungen, Routing-Prozessen oder virtuellen privaten Netzwerken (VPNs) eingesetzt. Mithilfe seiner zwei Modi – Tunneling- und Transportmodus – schützt IPsec Daten, die von einem Ort zum anderen übertragen werden. Der Transportmodus verschlüsselt nur die Nutzdaten der Nachricht, nicht den Header. Da aus dem Header Informationen gewonnen werden können, wird dieser Modus nur für einfache Datenübertragungen verwendet, beispielsweise für Verbindungen zu einem Server oder einer Workstation. Der Tunnelmodus hingegen verschlüsselt und authentifiziert sowohl die Nutzdaten als auch den Header. Er wird am häufigsten in VPNs verwendet. Obwohl die Verwendung von VPNs mit IPsec im Allgemeinen schneller ist, da IPsec eine Verbindung schneller herstellt, machen andere Aspekte von TLS/SSL es zur bevorzugten Methode für die Verschlüsselung und Authentifizierung von Daten während der Übertragung.
• SSH: Secure Shell, auch bekannt als SSH, ist ein weiteres Verschlüsselungsprotokoll. Die Funktionsweise von SSH ähnelt der eines VPNs. Durch die Erstellung eines verschlüsselten Tunnels können Benutzer SSH nutzen, um sicher und remote auf Computer zuzugreifen, Dateien zu übertragen, Ports weiterzuleiten und vieles mehr. SSH arbeitet auf drei Ebenen: der Transportebene, der Benutzerauthentifizierungsebene und der Verbindungsebene. Die Transportebene verbindet zwei Parteien sicher, verschlüsselt alle zwischen ihnen übertragenen Daten, authentifiziert die Benutzer gegenseitig und stellt sicher, dass die ausgetauschten Daten während der Übertragung nicht verändert werden. Zum Schlüsselaustausch werden die beiden Parteien der SSH-Verbindung verbunden, und die Schlüssel von Client und Server werden über den Diffie-Hellman-Schlüsselaustausch ausgetauscht. In dieser Phase von SSH werden der symmetrische Algorithmus, der asymmetrische Algorithmus, der Nachrichtenauthentifizierungsalgorithmus und der Hash-Algorithmus für die Datenübertragung ausgewählt. Auf der Authentifizierungsebene authentifiziert der Client seine Identität mithilfe einer vom Server auf der Transportebene festgelegten, unterstützten Authentifizierungsmethode. Die Authentifizierungsmethode kann beliebig sein, von einem Passwort bis hin zu einer digitalen Signatur. Die Verbindungsebene verwaltet alle Verbindungen zwischen Server und Client. Für jede Kommunikation zwischen Server und Client wird ein separater Kanal geöffnet. Werden beispielsweise mehrere Sitzungen auf demselben Server erstellt, wird für jede Sitzung ein eigener Kommunikationskanal geöffnet. Sowohl Client als auch Server können einen neuen Kommunikationskanal öffnen, sofern die Kanalparameter von beiden Seiten verwendet werden können. 
• PGP: OpenPGP, auch PGP genannt, ist ein Verschlüsselungsprotokoll, das es Benutzern ermöglicht, ihre Nachrichten zu verschlüsseln und digital Schild Sie bieten dem Absender eine stärkere Methode zur Authentifizierung und zum Schutz der Datenintegrität. PGP dient hauptsächlich dem Schutz vertraulicher E-Mail-Informationen. PGP wurde in den 90er Jahren entwickelt, um ein weltweit einsetzbares und interoperables System zu schaffen. PGP ist kostenlos nutzbar und in verschiedene E-Mail-Clients integrierbar. Für die Verwendung mit PGP stehen verschiedene Verschlüsselungsalgorithmen zur Verfügung, wie z. B. RSA und DSA für asymmetrische Verschlüsselung, AES, 3DES und Twofish für symmetrische Verschlüsselung und SHA für Hashing. Im Laufe der Jahre wurden verschiedene Schwachstellen bei PGP gefunden, diese wurden jedoch stets durch Updates oder Empfehlungen behoben. 
• S/MIME: Secure/Multipurpose Internet Mail Extensions (S/MIME) ist ein Konkurrenzprodukt zu OpenPGP als E-Mail-Verschlüsselungsprotokoll. Genau wie PGP ermöglicht S/MIME Nutzern, E-Mail-Daten zu verschlüsseln und zu signieren, um sie besser vor Angreifern zu schützen. Der Unterschied zu PGP besteht darin, dass S/MIME andere Verschlüsselungsalgorithmen verwendet. 
• Kerberos: Das Verschlüsselungsprotokoll Kerberos fungiert als Single-Sign-On-Authentifizierungsprotokoll. Das Protokoll authentifiziert seine Benutzer gegenüber einem zentralen Authentifizierungs- und Schlüsselverteilungsserver. Benutzer des Protokolls erhalten nach der Authentifizierung „Tickets“, die ihnen die Nutzung verschiedener Dienste im Netzwerk ermöglichen. Wenn ein Client mit einem „Ticket“ einen Server kontaktiert, überprüft dieser das „Ticket“ und gewährt dem Benutzer Zugriff. Kerberos wird hauptsächlich in lokalen Netzwerken (LANs) und zur Festlegung gemeinsamer Geheimnisse eingesetzt. Kerberos ist ein bekanntes und häufig verwendetes Verschlüsselungsprotokoll, jedoch müssen sowohl Client als auch Server Code für die Nutzung von Kerberos bereitstellen, was einige Organisationen von der Nutzung abhält. 

Obwohl es viele weitere Verschlüsselungsprotokolle gibt, sind dies die bekanntesten und am weitesten verbreiteten. Viele dieser Protokolle mögen ähnlich erscheinen, da sie denselben Zweck erfüllen, doch sie verwenden unterschiedliche Verschlüsselungsalgorithmen. Daher ist es unerlässlich, die verwendeten Algorithmen zu recherchieren, um das passende Verschlüsselungsprotokoll für Ihr Unternehmen auszuwählen.

Ist die Verwendung von Verschlüsselungsprotokollen sicher?

Sie werden vielleicht bemerkt haben, dass einige der in unserer Diskussion über verschiedene Verschlüsselungsprotokolle beschriebenen Protokolle Sicherheitslücken aufwiesen. Dies wirft die Frage auf: Sind diese Verschlüsselungsprotokolle sicher? Die Antwort lautet: Ja. Obwohl Sicherheitslücken in Verschlüsselungsprotokollen häufig vorkommen, werden nach deren Entdeckung umgehend Sicherheitspatches, Updates oder -anforderungen bereitgestellt, um Nutzer vor Angreifern zu schützen, die diese Sicherheitslücken ausnutzen wollen. Selbst vermeintlich sichere Systeme wie Betriebssysteme müssen regelmäßig aktualisiert werden, um Sicherheitslücken zu schließen. Wie Sie sehen, ist im Internet nichts hundertprozentig sicher. Verschlüsselungsprotokolle und -algorithmen werden zudem vom National Institute of Standards and Technology (NIST) unterstützt. NIST Das NIST ist eine Institution, die Empfehlungen zur Online-Sicherheit für Regierungsbehörden herausgibt. Das NIST bewertet außerdem die neuesten Verschlüsselungsalgorithmen und -protokolle. Das bedeutet: Wenn ein Verschlüsselungsprotokoll oder -algorithmus vom NIST für Regierungsbehörden empfohlen wird, bietet er höchste Sicherheitsstandards und kann daher von jedem genutzt werden.

Warum sollte Ihre Organisation Verschlüsselungsprotokolle verwenden?

Trotz aller Schwachstellen, die in Verschlüsselungsprotokollen auftreten können, zählen diese nach wie vor zu den sichersten Werkzeugen im Internet zum Schutz sensibler Daten. Anstatt sich auf eine einzige Methode zu verlassen, nutzen Verschlüsselungsprotokolle wie PGP oder Kerberos asymmetrische und symmetrische Verschlüsselung sowie digitale Signaturen, um die Sicherheit, Integrität und Authentizität von Daten und deren Verarbeitern zu gewährleisten. Diese Protokolle werden in nahezu jeder Internetinteraktion eingesetzt, um Daten zu schützen. Ob E-Mail, Remote-Desktop-Verbindungen, WLAN-Netzwerkverbindungen oder vieles mehr – Sie nutzen Verschlüsselungsprotokolle täglich. Selbst Regierungen, die deutlich größeren Bedrohungen ausgesetzt sind als der Durchschnittsbürger, verwenden Verschlüsselungsprotokolle, um ihre Kommunikation und Verbindungen zu sichern. Da die Bedrohungen stetig zunehmen, werden auch immer fortschrittlichere Methoden zum Datenschutz entwickelt, darunter sicherere Verschlüsselungsalgorithmen. Diese Algorithmen und Sicherheitsmethoden werden in bestehende und neue Verschlüsselungsprotokolle implementiert, um den Nutzern bestmöglichen Schutz zu bieten. Es ist außerdem zu beachten, dass neuere Verschlüsselungsprotokolle voraussichtlich unterschiedliche Aufgaben übernehmen werden. Die neuesten Verschlüsselungsprotokolle des nächsten Jahres könnten die Sicherheit von Datenbanken, Cloud-Systemen und sogar autonomen Fahrzeugen deutlich verbessern. Die Aktualisierung bestehender Verschlüsselungsprotokolle mit neu entwickelten Algorithmen stellt sicher, dass Nutzern im Falle einer Sicherheitslücke in einem Algorithmus eine Alternative zur Verfügung steht.

Fazit

In unserem Artikel haben wir verschiedene Fragen zu Verschlüsselungsprotokollen beantwortet, darunter die Funktionsweise einer PKI, die Aufgaben eines Verschlüsselungsprotokolls, die Sicherheit von Verschlüsselungsprotokollen und vieles mehr. Wie unschwer zu erkennen ist, durchdringen Verschlüsselungsprotokolle jeden Bereich des Internets, von E-Mails bis hin zu Website-Verbindungen. Sie sind unerlässlich für ein sicheres Internet für alle, auch für große Unternehmen und Regierungen. Verschlüsselungsprotokolle können aus Verschlüsselungsalgorithmen, digitalen Signaturalgorithmen, Hash-Algorithmen, digitalem Signaturcode und mehr bestehen. Verschlüsselungsprotokolle sind auch ein wichtiger Bestandteil von PKIs. PKIs müssen Verschlüsselungsprotokolle verwenden, um die Sicherheit von Daten, wie beispielsweise einem asymmetrischen digitalen Zertifikatsschlüssel, zu gewährleisten. Es gibt eine Vielzahl von Verschlüsselungsprotokollen zur Auswahl, die jeweils ihren eigenen Zweck und ihre eigene Methode zur Erreichung dieses Zwecks verfolgen. Protokolle wie S/MIME oder PGP konzentrieren sich auf den Schutz von E-Mail-Nachrichten, während andere Protokolle wie SSH die sichere Verbindung von Benutzern mit entfernten Computern oder externen Servern ermöglichen. Es ist wichtig zu beachten, dass Verschlüsselungsprotokolle Sicherheitslücken aufweisen können, die unbemerkt bleiben. Sobald diese Lücken jedoch entdeckt werden, stellen die Entwickler des Verschlüsselungsprotokolls eine Korrektur oder Konfigurationsoption bereit, um die Schwachstelle zu beheben. Verschlüsselungsprotokolle gehören zu den besten Werkzeugen, die Organisationen und Benutzer einsetzen können, um die Sicherheit von Kommunikation und Daten – sowohl während der Übertragung als auch im Ruhezustand – zu gewährleisten.