Inhalt
I. Einführung
II. Einige Grundbegriffe der Kryptologie
III. Warum Kryptographie im Internet?
IV. Die rechtliche Situation
V. Staatliche Kontrolle - Pro und Kontra
VI. Kryptologie in der Schule?
VII. Literatur
|
III. Warum Kryptographie im Internet?
Liest man heutzutage einen Zeitungsartikel oder sieht man einen Fernsehbeitrag, in dem es in
irgendeiner Form um das Internet geht, so wird darin oftmals nur ein Thema angesprochen: Die
negativen Seiten des Internet. Der Laie gewinnt den Eindruck, im Internet trieben nahezu
ausschließlich nur Kriminelle, Rechts- und Linksextremisten ihr Unwesen, jede zweite
WWW-Seite sei voll von gewaltverherrlichendem und/oder pornographischem Material. Hört oder
liest er dann noch über die neuesten Forderungen nach der Kontrolle und Überwachung
des Internet und der in ihm fließenden Informations- und Datenströme, so scheint ihm
das durchaus plausibel. Schließlich müssen kriminelle oder extremistische
Machenschaften verhindert werden, und wer dann privat Kryptographie einsetzt, kann ja eigentlich
nur etwas zu verbergen haben.
Doch wie sieht es tatsächlich aus? In Wirklichkeit ist das Internet ein Medium, das
der Kommunikation und dem Datenaustausch dient. War es früher vorrangig ein
Wissenschaftsnetz, welches Wissenschaftlern und Studenten die Möglichkeit gab, miteinander
zu kommunizieren und Forschungsergebnisse auszutauschen, so erlebte es mit der Entwicklung des
World Wide Web einen nie gekannten Aufschwung. Innerhalb kürzester Zeit entwickelte es sich
zu einem Netzwerk, in dem Menschen in aller Welt miteinander reden, Firmen sich und ihre
Produkte anpreisen und verkaufen, mit Geschäftspartnern kommunizieren und und und. Das
Internet ist heute ein Informations- und Kommunikationsmedium für nahezu jedermann.
Das Internet wird heute für Dinge genutzt, die zu Zeiten seiner Entstehung zum Teil
gar nicht denkbar oder aber gar nicht beabsichtigt waren. Das hat jedoch zur Folge, daß
die technische Realisierung des Internet auf diese Dinge gar nicht vorbereitet ist.
Kommunikationen und Datentransfer im Internet basieren meist auf dem sogenannten
TCP/IP-Protokoll. Alles, was zu übertragen ist, wird in Pakete aufgeteilt (sogenannte
IP-Packages), die dann ihren Weg zum Empfänger nehmen. Da sie numeriert sind, lassen sie
sich dort leicht wieder zusammensetzen. Nun besteht zwischen zwei Rechnern, die miteinander
kommunizieren, meist keine direkte Verbindung über eine feste Leitung. Stattdessen ist
das Internet ein Netzwerk von verschiedensten Rechnern, über die die zu übertragenden
Daten geleitet werden, bis sie auf dem Rechner des Empfängers ankommen. Das erhöht die
Flexibilität bei der Datenübertragung, da damit immer irgendeine Verbindung zum
Zielrechner gefunden werden kann, hat aber auch den Nachteil, daß Daten an den
Zwischenstationen abgefangen und gelesen, verändert oder gar unterschlagen werden
können.
Nun ist gerade letzteres jedoch ein großes Problem, wenn man vorhat, vertrauliche
Informationen über das Internet zu versenden. Und Anwendungen, die das erfordern und die
weit jenseits jeder kriminellen Aktivität liegen, gibt es genügend. Ein paar
Beispiele:
- Bankgeschäfte (Internet-Banking):
Hier kommt es darauf an, daß niemand die vertraulichen Kontodaten unbefugt zu Gesicht
bekommen kann. Geschützt werden müssen die Daten des Kontoinhabers, sowohl seine
Person als auch seine Konten betreffend. Darüberhinaus muß gewährleistet werden,
daß sämtliche Informationen, mit denen er sich gegenüber der Bank identifiziert,
wie beispielsweise PIN-Nummern o. ä., geheim bleiben, obwohl sie über das Netz
übertragen werden. Und letztendlich ist es natürlich unerläßlich, daß
sämtliche getätigten Transaktionen fälschungssicher ablaufen. Auch dürfen
Transaktionen, die in Auftrag gegeben wurden, nicht abgestritten werden können.
- Bestellsysteme:
Im Internet öffnen beinahe täglich neue Online-Shops oder gar ganze
Online-Warenhäuser. Mittlerweile finden sich sogar mehr als genügend Firmen in aller
Welt, die ihre Waren ausschließlich über das Internet vertreiben. Hierbei ist es nun
zum einen wichtig, Daten über die getätigte Bestellung nicht öffentlich werden
zu lassen, viel wichtiger ist zum anderen aber, daß Daten, die die Zahlungsweise
betreffen, geheim bleiben. Kreditkarteninformationen beispielsweise dürfen niemand anderem
zugänglich sein als dem Kunden und dem Betreiber des Shops. Bestellungen, die abgeschickt
werden, haben letztlich den Status eines Kaufvertrages, d.h. sie dürfen nicht abstreitbar
sein.
- Remote-Zugriff auf andere Rechner:
Einen Remote-Zugriff auf einen anderen Rechner durchzuführen, bedeutet nichts anderes, als
sich über ein Netzwerk auf diesem Rechner anzumelden und dort Prozesse zu starten und
Kommandos auszuführen, während man an seinem eigenen Rechner sitzt und diesen
gewissermaßen als Terminal des Remote-Rechners nutzt. Wenn dieser Zugriff nicht innerhalb
des lokalen Netzwerks stattfindet, sondern auf einen geographisch entfernten Rechner gehen soll,
muß dafür beispielsweise das Internet genutzt werden. Dieses stellt dafür
entsprechende Dienste wie beispielsweise den Telnet-Dienst zur Verfügung. Dabei
können ebenfalls sicherheitsrelevante Daten übertragen werden. Genaugenommen ist das
bereits beim Anmelden auf dem anderen Rechner der Fall: Wer möchte schon, daß das
verwendete Paßwort im Klartext, für alle, die es interessiert, lesbar, über das
Netz übertragen wird? Tatsächlich ist jedoch genau das der Fall! Die Daten, die man
dann während der Sitzung überträgt, beispielsweise der gesamte Bildschirminhalt,
den man von dem anderen Rechner auf seinem eigenen übertragen bekommt, können
ebenfalls vertraulicher Natur sein. Welche Firma möchte schon auf diese Weise Firmendaten
preisgeben?
- Private Kommunikation:
Nicht zuletzt ist auch die private Kommunikation unter den Nutzern des Internet
schützenswert. Kaum einer mag sich bisher darum Gedanken machen, da das Schreiben und
Versenden einer Email am heimischen oder am Firmenrechner so anonym abläuft wie kaum
irgendetwas sonst. Doch im Gegensatz zum Telefon besteht keine Direktverbindung zum
Kommunikationspartner, so daß die verschickte Nachricht über die verschiedensten
Zwischenstationen geleitet wird, wo auf sie natürlich zugegriffen werden kann. Beim
Telefon geht man stillschweigend davon aus, daß der Telekommunikationsanbieter, den man
für seine Gespräche nutzt, nicht heimlich mithört. Und doch werden die
Gespräche meist verschlüsselt übertragen. Einen Brief, den man mit der Post
schickt, steckt man in einen Umschlag, damit er nicht so ohne weiteres zu lesen ist. Doch bei
einer Email macht sich merkwürdigerweise niemand Gedanken darüber, wie er sie
entsprechend vor den Augen Anderer, die es nichts angeht, verbergen könnte. Und gerade
hier haben unter Umständen viel mehr Unbefugte die Möglichkeit, darauf zuzugreifen,
als das bei Telefon oder Post der Fall ist. Und oftmals geht es gerade im Emailverkehr
um nicht ganz unwichtige Dinge, die es durchaus wert wären, dafür zu sorgen, daß
Andere sie nicht ohne weiteres lesen.
Diese und andere Beispiele zeigen, daß es unerläßlich ist, Kommunikation
und Datenübertragung im Internet zu schützen. Das hat nichts mit Paranoia
zu tun, sondern sind durchaus legitime Anforderungen. Es kommt dabei auf zwei Dinge an: Zum
einen müssen Informationen abhörsicher übertragen werden, zum anderen muß
gewährleistet werden, daß die Informationen und Daten authentisch sind, also nicht
verfälscht werden können, und natürlich nicht abstreitbar.
Um das zu erreichen, setzt man heute mehr und mehr kryptographische Verfahren in der
Internetkommunikation ein. Einige Beispiele dafür seien hier kurz angerissen:
- Kommunikation über Email:
Für das Verschlüsseln von Emails stehen einige Standards bzw. Protokolle und Tools
zur Verfügung:
- PEM
- Bei PEM handelt es sich um einen Vorschlag für einen Standard, der Spezifikationen
für sichere Email-Übertragung über das Internet festschreiben soll. Er wurde
jedoch noch nicht offiziell als Standard bestätigt. PEM steht für
Privacy-Enhanced Mail.
- S/MIME
- S/MIME, das für Secure/Multipurpose Internet Mail
Extensions steht, ist ein Protokoll, das sowohl digitale Signaturen als auch die
Verschlüsselung von Emails unterstützt. Es setzt auf dem MIME-Standard auf, bei dem
es sich um ein offiziell vorgeschlagenes Standardformat für Email handelt, das es
ermöglicht, Dateien anderer Formate (Bilder, Videos, andere Textformate, ...) per Email
zu versenden.
- PGP
- PGP (Pretty Good Privacy) wurde von Philip Zimmermann
entwickelt. Die erste Version erschien bereits 1991. Es ist ein Verschlüsselungsprogramm,
das auf der Grundlage von anerkannt sicheren Verfahren Chiffrierung mit öffentlichen
Schlüsseln, digitale Unterschriften und eine dezentrale Schlüsselverwaltung bietet.
Es eignet sich zum Chiffrieren von Texten und kann daher für Emails ebenso eingesetzt
werden. Es gibt mittlerweile zahlreiche Frontends für die unterschiedlichsten Plattformen,
und viele Mailprogramme verfügen über eine bereits eingebaute PGP-Unterstützung.
PGP hat sich mittlerweile als Quasi-Standard im Email-Bereich durchgesetzt.
- Kommunikation über WWW:
Man möchte meinen, über das World Wide Web finde eigentlich gar keine richtige
Kommunikation statt. Doch auch hier kommt man um die Verwendung kryptographischer Methoden
spätestens seit dem Zeitpunkt nicht mehr herum, zu dem es möglich wurde, Daten auch
vom Browser zum Webserver hin zu übertragen, und zwar über die Webforms.
Sämtliche Online-Bestellsysteme, Banken usw. machen sich das zunutze, indem sie diese
Möglichkeit nutzen, um Paßwörter, PINs, Kreditkartennummern etc. abzufragen.
Um diese Daten sicher zu übertragen, wurden verschiedene Zusätze zum HTTP-Protokoll,
das den Datentransfer von multimedialen Dokumenten über das WWW beschreibt, entwickelt.
- SSL
- Das sogenannte SSL (Secure Socket Layer) Handshake Protocol wurde
von der Netscape Communications Corporation entwickelt. Es unterstützt die
Authentisierung und Authentifizierung sowohl von Clients als auch von Servern. Es ist
unabhängig von konkreten Applikationen und kann auf verschiedene Internetprotokolle wie
beispielsweise HTTP, FTP (File Transfer Protocol, dient der
Übertragung von Dateien) und Telnet aufgesetzt werden, um die Kommunikation zu sichern.
Das SSL Protokoll verwendet eine Reihe von kryptographischen Verfahren, darunter
RSA, RC2, RC4, DES und
IDEA.
- S-HTTP
- Das S-HTTP (Secure Hypertext Transfer Protocol) ist eine
Erweiterung des HTTP-Protokolls, um verschiedene Dienste für die Datensicherheit
anzubieten. Ursprünglich entwickelt wurde es durch die Firma Enterprise Integration
Technologies. S-HTTP wurde entworfen, um Sicherheit, Authentizität, Integrität
und Nicht-Abstreitbarkeit von Daten zu gewährleisten. Dabei soll das Management vieler
verschiedener Schlüssel und verschiedener kryptographischer Algorithmen möglich sein,
so daß sich die Kommunikationspartner auf die verwendeten Algorithmen und Schlüssel
vor der eigentlichen Transaktion einigen können. Verfahren, die unterstützt werden,
sind RSA, DES,
RC2, IDEA, DESX und CDMF. Im Gegensatz zu SSL hängt
S-HTTP von der spezifischen Software ab, die es benutzt. Das heißt, soll eine Software
S-HTTP nutzen, muß sie die Verwendung des Protokolls selbst implementieren.
Zwischen den beiden Protokollen gibt es einen bedeutenden Unterschied: Während SSL den
gesamten Kommunikationskanal verschlüsselt, chiffriert S-HTTP jede Nachricht separat.
S-HTTP ist darüber hinaus an das HTTP-Protokoll gebunden, ist dafür aber in der Lage,
digitale Signaturen für jede Nachricht zu erzeugen.
Mittlerweile gibt es auch einige Protokolle, die speziell die gesicherte Abwicklung des
Zahlungsverkehrs über das Internet unterstützen. Auf diese und andere Verfahren und
Protokolle an dieser Stelle detaillierter einzugehen, würde jedoch den Rahmen dieser
Arbeit sprengen. Der Leser sei hier auf die weiterführende
Literatur verwiesen.
Die Ausführungen in diesem Abschnitt lassen sich abschließend wie folgt
zusammenfassen:
Kommunikation, die über das Internet abgewickelt wird, ist potentiell unsicher. Es gibt
jedoch zahlreiche Anwendungen, die eine gesicherte, authentifizierbare Kommunikation und
einen entsprechenden Datenaustausch erfordern und bei weitem nichts mit kriminellen
Aktivitäten zu tun haben. Um die Datensicherheit und Authentizität zu
gewährleisten, kommen mittlerweile verschiedene Verfahren in den unterschiedlichsten
Kommunikationsbereichen (Email, WWW, Telnet, FTP, ...) zum Einsatz, die wiederum diverse
Algorithmen der Kryptographie verwenden. Die Kryptographie hat in der Internetkommunikation
einen rechtmäßigen Platz gefunden. |