Kryptografie  in der eMail-Kommunikation FOM WS 2003 /  2004

Inhaltsverzeichnis

1  ABKÜRZUNGSVERZEICHNIS  4

2  ABBILDUNGSVERZEICHNIS  5

3  TABELLENVERZEICHNIS  5

4  EINLEITUNG  6

4.1  Abgrenzung der Kryptologie  6

4.2  Historischer Hintergrund der Kryptografie  6

4.3  Kommunikationsmedium eMail.  7

5  SICHERHEITSRISIKEN IN DER EMAIL-KOMMUNITKATION.  8

5.1  Sicherheitsziele der Privat-Anwender  9

5.2  Sicherheitsziele der Unternehmen.  9

5.3  Sicherheitsziele öffentlicher Einrichtungen.  9

6  VERSCHLÜSSELUNG  11

6.1  Symmetrische Verfahren  11

6.1.1  Blockchiffrierung  12

6.1.2  Stromchiffrierung.  19

6.2  Asymmetrische Verfahren  19

6.2.1  RSA.  20

6.2.2  DH.  22

6.2.3  ElGamal  22

6.3  Hybride Verfahren.  23

6.4  One-Way-Hashfunktionen.  24

6.4.1  MD5  25

6.4.2  SHA-1  26

7  INTEGRATIONSKONZEPTE  28

7.1  Sicherung der Übertragungswege  28

7.2  Gateways  28

7.3  End-to-End-Verschlüsselung  29

8  ZERTIFIZIERUNG  31

8.1  X.509.  31

8.2  Web of Trust  32

9  DIGITALE SIGNATUR.  33

9.1  Erzeugung digitaler Signaturen  33

9.1.1  Verwendung symmetrischer Kryptografie.  33

9.1.2  Verwendung asymmetrischer Kryptografie.  34

9.1.3  Verwendung von asymmetrischer Kryptografie und Hashfunktionen.  34

9.2  Rechtliche Grundlagen  35

9.2.1  Signaturgesetz und Signaturverordnung  36

9.2.2  EU-Richtlinie  36

9.2.3  DSS (Digital Signatur Standard)  36

10  AKTUELLE STANDARDVERFAHREN.  38

2

Kryptografie  in der eMail-Kommunikation FOM WS 2003 /  2004

10.1  PGP  38

10.1.1  Funktionalität.  38

10.1.2  Angewandte Algorithmen.  40

10.2  S/MIME  41

10.2.1  Funktionalität.  42

10.2.2  Angewandte Algorithmen.  42

10.3  PEM  43

10.3.1  Funktionalität.  43

10.3.2  Angewandte Algorithmen.  44

11  FAZIT.  45

12  LITERATURVERZEICHNIS.  46

3

Kryptografie in der eMail-Kommunikation FOM WS 2003 / 2004

1 Abkürzungsverzeichnis

4

Kryptografie  in der eMail-Kommunikation FOM WS 2003 /  2004

2  Abbildungsverzeichnis  

Abbildung  5-1: Hauptfunktionen eGovernment  10

Abbildung  6-1: ECB-Modus  13

Abbildung  6-2: CBC-Modus  14

Abbildung  6-3: OFB-Modus  14

Abbildung  6-4: CFB-Modus.  15

Abbildung  6-5: CAST-Algorithmus  16

Abbildung  6-6: Vereinfachter IDEA Algorithmus  18

Abbildung  6-7: RSA-Algorithmus des Senders  21

Abbildung  6-8:RSA-Algorithmus des Empfängers  21

Abbildung  6-9: Vorgehensweise MD5.  26

Abbildung  7-1: Sicherung des Übertragungsweges.  28

Abbildung  7-2: Sicherung durch Verschlüsselung auf den Mail-System.  29

Abbildung  7-3: Sicherung durch End-to-End-Verschlüsselung  30

Abbildung  8-1: Beziehungen der einzelnen Zertifikate im Vertrauensgeflecht.  32

Abbildung  9-1: Digitale Signatur mit symmetrischer Kryptografie  34

Abbildung  9-2: Digitale Signatur mit asymmetrischer Kryptografie  34

Abbildung  9-3: Digitale Signatur mit asymmetrischer Kryptografie und Hashfunktion  35

Abbildung  9-4: Signatur mit DSA  37

Abbildung  10-1: PGP- Vorgehensweise aus Sicht des Senders.  39

Abbildung  10-2: PGP - Vorgehensweise aus Sicht des Empfängers.  40

3  Tabellenverzeichnis  

Tabelle 6-1:  Parameter der RSA-Schlüssel  21

Tabelle 6-2:  Parameter der ElGamal-Schlüssel.  23

Tabelle 6-3:  Anzahl der Schlüssel bei symmetrischer und asymmetrischer  

Verschl  üsselung.  24

Tabelle 6-4:  Geschwindigkeiten von MD5/SHA-1 auf einem 486SX mit 33 MHz  27

Tabelle 7-1:  Vor- und Nachteile der Integration in den eMail-Client  29

Tabelle 8-1:  X.509-Zertifikat.  31

Tabelle 10-1:  Die Zusammengehörigkeiten der verwendeten Verfahren.  41

Tabelle 10-2:  PGP Versionen mit den verwendeten Verfahren und deren  

Schl  üssellängen.  41

5

Kryptografie in der eMail-Kommunikation FOM WS 2003 / 2004

4 Einleitung

In den letzten 15 Jahren stieg der Gebrauch der eMail-Kommunikation rasant an. Waren es vor 10 Jahren nur Firmen welche Ihre Kommunikation über den elektronischen Weg bestritten, so sind heute alle Bereiche des öffentlichen Lebens darin involviert. Fragen der Sicherheit zu diesem Kommunikationsweg sind aus diesem Grund immer mehr in den letzten Jahren diskutiert worden.

Die Sicherheit der Daten welche auf diesem Wege transportiert werden stellte in der Frühzeit der Computer ein geringes Problem dar, da nur ein kleiner Personenkreis das Wissen und die Möglichkeiten hatte die Daten abzufangen, oder gar zu verändern. Mit Zunahme der Rechnerleistungen und der Vereinfachung der Anwendungsprogramme wurde die Anzahl der User zunehmend stärker, welche Interesse für dieses Gebiet entwickelten ¹ . Um diesem Personenkreis den Zugang zu vertraulichen Daten zu erschweren, entwickelte man spezielle kryptografische Methoden welche die Sicherheit der Kommunikation erhöhen.

Abgrenzung der Kryptologie 2 4.1

Der Bereich der Kryptologie kann in zwei große Bereiche unterteilt werden. Die Kryptografie und die Kryptoanalyse. Wird bei der Kryptografie der Bereich der Verschlüsselung von Daten mittels Algorithmen beschrieben, so geht es bei der Kryptoanalyse um die Technik verschlüsselte Daten zu entschlüsseln und den semantischen Inhalt wieder zu erlangen, ohne im Vorfeld in die Verschlüsselungsgeheimnisse eingeweiht zu sein. Im Bereich der eMail-Kommunikation tritt der Bereich der Kryptografie in den Vordergrund.

4.2 Historischer Hintergrund der Kryptografie

Die Verschlüsselung von Nachrichten ist eine sehr alte Kunst, welche bereits in der Antike verwendet wurde. Als kryptografische Verfahren werden Verfahren bezeichnet, welche zwar die Existenz einer Nachricht preisgeben, jedoch diese durch eine Verschlüsselung so verändert werden, dass ein Mithörer den semantischen Inhalt der Nachricht nicht nachvollziehen kann. Bis vor wenigen Jahrzehnten wurde die Kryptografie im militärischen Bereich und der Staatssicherheit verwendet. Auf Grund der sehr schnellen Entwicklung der Computertechnologie in den siebziger Jahren

¹ Vgl. Fumy, W., Rieß, H. P. (1994), S.7

² Vgl. Fumy, W., Rieß, H.P. (1994), S13

6

Kryptografie in der eMail-Kommunikation FOM WS 2003 / 2004

bekam die Kryptografie eine neue Bedeutung und wurde zum festen Bestandteil dieses Gebietes, die so genannte moderne Kryptografie.

Für die moderne Kryptografie ist die Zeit von 1976 bis 1985 von besonderer Bedeutung. 1976 wurde durch Whitfield Diffie und Martin Hellmann das Prinzip der Public-Key-Kryptografie veröffentlicht. Mit dieser Veröffentlichung, und dem zwei Jahre später veröffentlichtem RSA-Algorithmus, wurde eine bahn brechende Entwicklung in der asymmetrischen Kryptografie gemacht ¹ .

In den folgenden Jahren wurden immer neue und individuellere Verfahren entwickelt, welche jedoch immer wieder auf die Grundlage der beiden Veröffentlichungen gestützt werden.

4.3 Kommunikationsmedium eMail

Im Zeitalter des Computers und der weltweiten Vernetzung spielen elektronische Daten eine wichtige Rolle. Heutzutage ist es einfach und effektiv möglich in die Privatsphäre von Dritten einzudringen, also Zugang zu deren vertraulichen Informationen zu erlangen. Nicht nur Privatleute, auch Firmen, Politiker und Behörden kommunizieren zunehmend per eMail. Das eMail-Aufkommen hat sich exponentiell auf 10 Milliarden eMails am Tag erhöht. Persönliche Informationen, Firmengeheimnisse, Kundendaten, Forschungsergebnisse, Patienteninformationen, Umsatzzahlen, Daten zur Abwicklung von Geschäftsvorgängen und viele andere sensible Informationen werden vermehrt über das Internet versendet. Den Weg, den diese Daten zu einer Zieladresse nehmen, kann man im Regelfall weder vorhersagen noch vorherbestimmen. Alle Daten, die unverschlüsselt verschickt werden, sind quasi öffentlich. Vergleichbar wäre der Versand unverschlüsselter eMail-Kommunikation mit dem Versenden von Postkarten. Das Problem ist jedoch vielen nicht in diesem Ausmaß bekannt, was unter anderem an falschen Analogien liegt. So wird die eMail als „elektronischer Brief“ bezeichnet, obwohl es besser „elektronische Postkarte“ heißen müsste. In vielen Programmen und auf vielen Webseiten hat sich der Briefumschlag als Symbol für das Verschicken von eMails durchgesetzt. Genau dieser Umschlag, der Sicherheit suggeriert, fehlt bei unverschlüsselter Internet-Kommunikation. Daher verwundert es nicht, dass eMails auf ihrem Weg durch das Internet mitgelesen, gelöscht, verändert oder gespeichert werden können.

¹ Beutelspacher, A., Schwenk, J., Wolfenstetter, K. (1995), S.V

7

Kryptografie in der eMail-Kommunikation FOM WS 2003 / 2004

5 Sicherheitsrisiken in der eMail-Kommunitkation

Der Inhalt, der in einer unverschlüsselten eMail verschickt wird, sollte nicht vertraulicher sein als der, den man auch per Postkarte abgeschickt hätte. Die Administratoren des eigenen Mailservers, sowie die des Empfänger, können ohne weiteres den Mailverkehr abfangen, abhören, löschen oder verändern. Auf dem Weg zum Ziel durchlaufen eMails teilweise eine Menge an Stationen. Jeder, der Zugriff auf eine dieser Zwischenstationen hat, sowie jeder Cracker, kann mühelos oben genannte Angriffe durchführen. Weiterhin ist nicht auszuschließen, dass der Datenverkehr automatisiert gefiltert und gespeichert wird. Staatliche oder private Organisationen dringen so in die Privatsphäre ein. ¹ Bewiesen gilt im Allgemeinen der in die Milliarde gehenden Verluste durch Wirtschaftsspionage. Der Bericht

„Wirtschaftsspionage und deren Auswirkungen auf den internationalen Handel“ (COMINT impact on international trade) ² von Duncan Campbell setzt sich mit vielen detaillierten Quellenangaben auseinander. Campbell kommt zu der Schlussfolgerung, dass es höchstwahrscheinlich der Fall ist, dass Europa seit 1992 bis heute signifikante Verluste an Arbeitsplätzen und finanzieller Natur erlitten hat, die auf das Ergebnis der US-Politik der „Einebnung des Spielfeldes“ zurückzuführen sind.

Verschlüsselt übertragene Daten kann ein Angreifer, selbst wenn er physikalischen Zugriff darauf hat, nicht sinnvoll lesen. Die Nicht-Authentifizierung von eMails ist ein weiteres Sicherheitsproblem. Ein Angreifer könnte nicht nur den Mail-Inhalt verändern, er könnte auch die Absenderadresse fälschen, was gerade bei offizieller oder geschäftlicher Korrespondenz, dem Austausch von Dokumenten und dem Abwickeln von Geschäftsvorgängen über das Internet, fatal wäre. Der Absender muss eindeutig zu identifizieren sein und die Integrität der Daten muss überprüft werden können. Die einzige Möglichkeit um Vertraulichkeit, Integrität und Authentizität von elektronischen Dokumenten zu gewährleisten ist die Benutzung wirkungsvoller kryptografischer Verfahren. Hierbei wird die eMail in eine Art elektronischen Briefumschlag gesteckt, der wiederum nur vom Empfänger geöffnet werden kann. Durch eine digitale Unterschrift wird darüber hinaus eine eindeutige Zuordnung zum Urheber möglich. Manipulationen können auf diese Weise festgestellt werden.

¹ http://www.heise.de/tp/deutsch/html/result.xhtml?url=/tp/deutsch/special/ech/9937/1.html,

Stand 09.01.2004

² http://www.heise.de/tp/deutsch/special/ech/7752/1.html, Stand 21.01.2004

8

Kryptografie in der eMail-Kommunikation FOM WS 2003 / 2004

Die Anzahl der eMail User kann in die drei großen Gruppen

Öffentliche Einrichtungen

unterteilt werden. Diese Gruppierungen verfolgen im öffentlichen Leben unterschiedliche Sicherheitsziele im Umgang mit der eMail-Kommunikation.

5.1 Sicherheitsziele der Privat-Anwender

Im Bereich der Privat-Anwender ist die Anzahl der zu sichernden eMails als niedrig einzustufen, da diese zum größten Teil eMails mit unkritischen Inhalten versenden oder empfangen. Der Schutz der eMail-Kommunikation liegt hierbei nur auf einer kleinen Anzahl von eMails in denen vertrauliche Daten wie Bankverbindungen oder Bestelltexte für Warenbestellungen enthalten sind. Diese eMails sind zu schützen, um eine ungewollte Veränderung oder Kenntnisnahme eines Dritten zu unterbinden.

5.2 Sicherheitsziele der Unternehmen

Im Bereich der Unternehmen erreicht das Thema Sicherheit in der eMail-Kommunikation einen immer höher werdenden Stellenrang. So gehört in jedem vierten von fünf Unternehmen die eMail-Kommunikation zum Geschäftsalltag. Die Korrespondenz der Unternehmen mit dem Medium eMail ist aber keineswegs nur intern. So werden in rund einem Drittel der Unternehmen auch rechtsverbindliche Geschäfte via eMail abgeschlossen. ¹ Ein Sicherheitsziel der Unternehmen liegt somit in der Verbindlichkeit der Übermittlung und der Sicherung vor Verfälschung des Inhaltes im rechtsverbindlichen Geschäftsverkehr. Ein zweiter Bereich ist innerhalb der Unternehmen der Bereich der Banken. Hier ist es von großer Bedeutung die Herkunft der eMail zu kennen, um nicht autorisierte Transfers im Vorfeld abzufangen bzw. abzugrenzen.

Sicherheitsziele öffentlicher Einrichtungen 2 5.3

Im Bereich der öffentlichen Einrichtungen ist die Informations- und Kommunikationstechnologie immer mehr in den Vordergrund gerückt. Die Abwicklung der Vorgänge mittels neuer Informationstechnologien wird unter dem Begriff eGovernment zusammengefasst. eGovernment bedeutet die Neugestaltung der verwaltungsinternen sowie -externen Beziehungen durch den Einsatz von

¹ http://www.ecin.de/news/2001/08/27/03056; Stand 19.01.2004

² http://www.zurichbusiness.ch/pdf/rim_fs_005_e-government_g.pdf; Stand 20.01.2004

9