Rechnernetze
Home Nach oben E-Mail VPN DSA Firewalls Stichworte

Kryptographische Systeme und Protokolle

Sicherheit kann in der Regel nicht nur mittels eines kryptographischen Verfahrens erreicht werden, sondern nur mit sorgfältiger Kombination verschiedener Verfahren, wobei meist verschiedene Verschlüsselungstechniken eingesetzt werden, sowie eine sorgfältige Verwaltung zusätzlicher Information, wie geheimer oder privater Schlüssel oder Listen von Kommunikationspartnern, Kontonummern oder ähnlichem. Eine Kombination kryptographischer Verfahren zur Erreichung eines oder mehrerer sicherheitstechnischer Ziele wird als kryptographisches System (crypto system) bezeichnet, bzw. soweit ein Standard vorliegt auch als kryptographische Protokolle.

Ehe eine Sicherheitstechnik eingeführt wird, sollte das zu erreichende Ziel genau definiert werden, um sowohl überprüfen zu können, ob das gewünschte Ziel erreicht wurde und zum anderen die teilweise aufwendigen Sicherheitsmaßnahmen auf das Notwendige beschränken zu können. Gegebenenfalls ist zu berücksichtigen, dass Sicherheitsverfahren mehrere Teilprobleme gleichzeitig lösen. So kann eine gute Verschlüsselung zur Geheimhaltung auch eine vorsätzliche Verfälschung von Daten verhindern, also Vertraulichkeit und Datenintegrität gleichzeitig bewirken. 

Wir betrachten hier mehrere Sicherheitsziele, die mit den vorgestellten Techniken erreicht werden können. Der Aufwand besteht jeweils zum einen in zusätzlichem Rechenaufwand, der u.U. auch die Übertragung von Information verzögert, und in zusätzlichem Speicherbedarf für entsprechende Datenbanken, z.B. die Security Policy Database in IPsec. Der Aufwand kann aber auch in der Verringerung des Bedienungskomforts bestehen, was jedoch nur schwer quantitativ zu bewerten ist.

Die sichere Kommunikation zwischen Rechensystemen kann auf verschiedenen Schichten unabhängig oder aufeinander aufbauend unterstützt werden. Sie wird in der Praxis somit auf der Anwendungsschicht, der Vermittlungsschicht oder der Transportschicht realisiert, gegebenenfalls auch auf der Sicherungsschicht. Man kann hier die bilaterale Kommunikation zwischen zwei Systemen von der multilateralen Kommunikation zwischen mehreren Rechensystemen unterscheiden. Zusätzlich ist zu berücksichtigen, dass sich die Rechensysteme nicht notwendigerweise im gleichen lokalen Netz befinden müssen. Durch Verschlüsselung sämtlicher Information zwischen verschiedenen Netzen, die u.U. über unsichere öffentliche Netze wie das Internet geführt werden, lassen sich virtuelle private Netzwerke (VPN; virtual private networks) aufbauen, die dem Nutzer die Gewissheit geben, eine sichere Kommunikation zwischen prinzipiell beliebig weit entfernten Systemen durchzuführen.

Werden lokale Netze an andere Netze, z.B. das Internet, angeschlossen, so sind die lokalen Netze selbst zu sichern, also nicht nur die Kommunikation zwischen Rechensystemen. Die hier eingesetzten Verfahren werden als Firewalltechnik bezeichnet. Eine Firewall soll es einem Anwender ermöglichen, aus einer lokalen, gesicherten Umgebung heraus fremde Dienste aus einer unsicheren Umgebung zu nutzen, ohne dass Gefahren aus der unsicheren Umgebung in die gesicherte Umgebung eindringen. Die Firewalltechnik überprüft in der Regel die übertragene Information und entscheidet entweder für jedes Datenpaket oder auf Basis der jeweiligen Anwendung, ob es durch die Firewall in die gesicherte Umgebung weitergeleitet werden darf.

Ein weiterer spezieller Dienst, der geschützte Datenübertragung benötigt, ist der Austausch elektronischer Nachrichten oder E-Mails. Hier sind zum einen die Daten zu verschlüsseln, es soll aber auch in dem Sinne Vertraulichkeit erreicht werden, dass der Empfänger einer Nachricht den Urheber zweifelsfrei authentisieren kann. Letzteres ist ein an sich nicht triviales Problem, welches sich relativ einfach nur durch eine zentrale Zertifizierung erreichen lässt, die jedoch eine entsprechende vertrauenswürdige zentrale Instanz voraussetzt. Dieses erfordert einen erheblichen organisatorischen Aufwand, der nicht ganz preiswert ist, so dass andere Methoden zur dezentralen Zertifizierung entwickelt wurden.

Eine relativ neue Anwendung des Internets ist E-Commerce, d.h. der Kauf und Verkauf von Waren im Internet. Man kann hier das Abrufen von kostenpflichtiger Information (Tageszeitung, Literatur, Software, Musik) unterscheiden von dem Bestellen von physischen Waren wie Lebensmitteln oder Möbeln, mit denen dann noch das Problem des Transports von Waren durch Zustelldienste verbunden ist, was uns hier jedoch nicht näher interessieren soll. In diesem Zusammenhang spielt die Sicherheit von Web-Servern gegen Sabotage (Denial-of-Service) oder absichtliche Verfälschung von Information eine ebenso wichtige Rolle wie die Bezahlung der jeweiligen Leistung über das Internet (z.B. durch E-Cash). Eine weitere Anwendung solcher Techniken sind Dienstleistungen verschiedener Art wie Homebanking, Aktienhandel oder auch Beratung (Rechtsauskunft, medizinische Beratung) oder der Support zur Wartung von Netzwerken, Maschinen oder Software.