Unter Verschlüsselung (Chiffrierung) versteht man ein Verfahren, bei dem Klartext mithilfe eines Schlüssels in eine unverständliche Zeichenfolge übersetzt wird (sog. Cipher-Text).
Dabei gibt es zwei Verfahren: Symmetrisch und asymmetrisch. Bei der symmetrischen Verschlüsselung wird derselbe Schlüssel, der zum kodieren des Textes verwendet wurde auch zum dekodieren verwendet. Das zu lösende Problem hier ist, wie der gemeinsam verwendete Schlüssel zum verschlüsseln und zum entschlüsseln ausgetauscht wird. Er sollte geheim sein.
Beispiel: Sie haben eine Box, die mit einem Schloss versehen ist. Jeder, der dort etwas hereinlegen will, braucht einen Schlüssel. Und jeder, der etwas herausnehmen braucht auch einen, den gleichen Schlüssel. In der digitalen Welt heisst das: Wir tauschen uns über den Schlüssel aus, den wir beide benutzen wollen, also zum Beispiel: Wenn ich A schreibe meine ich B, wenn ich B schreibe meine ich C usw. In der Regel ist das eine Datei. Jemand, der das nicht weisst, wird den Text erstmal für Kauderwelsch halten. Diese Schlüssel lassen sich natürlich beliebig kompliziert gestalten. Und Software übernimmt das kodieren und dekodieren.
Im Gegenzug dazu arbeitet die asymmetrische Verschlüsselung mit zwei Schlüsseln: einem privaten und einem öffentlichen Schlüssel. Ein Austausch von geheimen Schlüsseln ist nicht mehr notwendig. Um einen Brief in meinen Briefkasten zu werfen, gebe ich Ihnen meinen öffentlichen Schlüssel. Damit schliessen Sie den Briefkasten auf und können den Brief in den Schlitz einschmeissen. Es ist aber nur der Schlüssel zum Schlitz des Briefkastens. Sie können damit nicht sehen, welche andere Post im Briefkasten steckt. Um diese zu sehen, benötigen Sie meinen privaten Schlüssel, den ich Ihnen und auch sonst niemandem gebe. Den öffentlich Schlüssel kann ich verteilen und liegen lassen. Damit erlaube ich jedem, mir Post in den Briefkasten zu schmeissen. Aber lesen kann diese nur ich. In der IT sieht das so aus: Ich sende Ihnen meinen öffentlichen digitalen Schlüssen oder lade diesen auf einen sog. Keyserver, der viele öffentliche Schlüssel verwaltet, hoch. Das kann eine Datei oder auch eine wirre Buchstabenkombination sein. Wenn Verschlüsselung aktiviert ist, erkennt die Software das und weiss was zu tun ist. Damit verschlüsselt die Software zum Beispiel Ihre Email an mich mit meinem öffentlichen Schlüssel. Diese senden Sie dann an mich und mit meinem privaten Schlüssel konvertiert die Software aus Ihrem „Kauderwelsch“, dem Cipher-Text, den originalen Text. Im Idealfall ist das voll automatisch. Aber passen Sie auf Ihren privaten Schlüssel auf. Ohne diesen können Sie die Emails nicht mehr entschlüsseln. Und wenn andere ihn in die Hand bekommen, ist Ihre Verschlüsselung angreifbar und nicht mehr sicher. Dann brauchen Sie ein neues Schlüsselpaar.
Hier muss ich leider etwas erwähnen: Es hat sich eingebürgert, dass Menschen denken: Wenn es verschlüsselt ist, ist es auch sicher. Das stimmt nicht. Nur weil etwas verschlüsselt ist, ist es noch lange nicht sicher. Beispiel: Sie verschlüsseln Ihre Email aber senden den privaten Schlüssel mit. Damit kann jeder, der diesen Schlüssel hat, Emails an Sie mitlesen.
D.h., es kommt drauf an, wer die Schlüssel besitzt. Fragen Sie sich, wo die Daten verschlüsselt werden und wo die Schlüssel liegen. Wenn eine Firma sagt, sie verschlüsselt die Daten auf ihren Servern und leitet sie dann weiter, dann liegen die Schlüssel wahrscheinlich bei der Firma und sie kann alles entschlüsseln, somit lesen, auswerten oder an andere weitergeben. Ich habe einen öffentlichen Mail-Anbieter gesehen, der Verschlüsselung anbietet. Und Sie noch keine Schlüssel haben, dann generiert der Webserver das Schlüsselpaar für Sie. Also auch Ihren privaten Schlüssel. Damit ist wer wichtigste Teil der sicheren asymmetrischen Verschlüsselung unsicher. Und damit auch Ihre Verschlüsselung.
Fragen Sie sich: Wie gut ist der Schlüssel? Ist es ein Schlüssel eines Sicherheitsschlosses mit vielen Zacken, der bei keinem Masterminit kopiert werden kann oder ein Schild an der Tür: Betreten verboten, aber nichts ist abgeschlossen. Wenn Sie einen 64-Bit Schlüssel nehmen (also einen sehr einfachen für die heutige Zeit), dann kann ein normaler Rechner aus dem Mediamarkt diesen in kürzester Zeit knacken und Ihre Verschlüsselung ist nichts wert. Standard heute sind mindestens 256 Bit „grosse“ Schlüssel. Diese sind von heutigen Rechnern nur sehr schwer knackbar. Der Aufwand wird oftmals nicht betrieben, weil der Gewinn meist den Aufwand nicht rechtfertigt. Wenn Sie selber Schlüssel erzeugen wollen und können oder die Software Ihnen die Möglichkeit bietet, gehen Sie höher. Ich verwende bei meiner Mailverschlüsselung 3072 Bit. Es gehen aber auch noch mehr. Denken Sie daran, dass Rechner immer Leistungsfähiger werden und wir laut Google und Co. bald den Quantencomputer haben, der alles in Millisekunden entschlüsseln kann. Letztens habe ich die Werbung einer Software gesehen, die vor allem auf den Faktor Sicherheit angelegt war. Ich habe sie mir angesehen und war überrascht, dass Sie mit 128 Bit grossen Schlüsseln arbeitet. Viel zu wenig für heute, und ganz zu schweigen für die Leistungsfähigkeit von Rechnern in drei Jahren.
Verschlüsselung hat einen negativen Effekt: Es macht alles etwas langsamer. Wenn Ihre Emailsoftware eine Email erhält, muss sie diese erstmal dekodieren, mit Ihrem privaten Schlüssel. Je nach länge der Email, des Verschlüsselungsalgorithmusses (es gibt mehrere) und der Schlüsselgrösse, kann das auch mal dauern.
Wie wir gesehen haben, hat das symmetrische Verfahren das Problems des sicheren Schlüsselaustauschs, das asymmetrische Verfahren das Problem der benötigten Rechenleistung bei grösseren Datenmengen. Aus diesem Grund gibt es die hybride Verschlüsselung. Sie kombiniert beides. Die Daten (Email, Dokument) werden mit einem symmetrischen Schlüssel, der dynamisch jeweils neu erstellt wird, verschlüsselt. Dann wird der symmetrische Schlüssel asymmetrisch, also mit öffentlichen Schlüssel des Empfängers verschlüsselt und beides wird an den Empfänger gesendet. Dieser entschlüsselt mit seinem privaten Schlüssel den symmetrischen Schlüssel, der dann verwendet wird um das Dokument zu entschlüsseln. Beide Schwachstellen der symmetrischen und asymmetrischen Verschlüsselung sind damit behoben.
Auch ist wichtig zu wissen, was genau verschlüsselt wird. Ein deutscher Internetdienstleister warb mal mit sicherer Email. Als ich mir das Produkt genauer angesehen habe, bedeutete das: Es wurde lediglich der Transport verschlüsselt, also von deren Mailserver zum Empfänger-Mailserver. Von Ihnen zum Mailserver von Ihnen, sowie vom Mailserver des Empfängers zum Empfänger, war nichts verschlüsselt. Und die Email lag unverschlüsselt auf den Mailservern. Für eine Zeit.
Das ist besser als nichts aber auch nicht wirklich super sicher. Daher werben mehr und mehr Anbieter mit Ende-zu-Ende-Verschlüsselung. D.h. sie implizieren, dass auf Ihrem Rechner verschlüsselt wird und dem Empfängerrechner (oder Smartphone) entschlüsselt. Das ist gut, klingt gut, tut gut. Aber auch hier stellt sich die Frage, wo liegen die Schlüssel? Auf Ihrem Handy, oder sendet der Anbieter Ihnen die Schlüssel, damit Sie diese nutzen können. Dann aber hat er auch eine Kopie und kann mitlesen und seine Algorithmen verbessern. Die einfache Aussage: Wir haben eine Ende-zu-Ende-Verschlüsselung heisst noch lange nicht, dass das alles auch sicher ist. Der Begriff, nach dem Sie sich richten sollten, wenn Sie Sicherheit ernst nehmen heisst: Zero-Knowledge Encryption. D.h. für den Anbieter genau: Wir wissen nichts, wir haben nichts und wir können es nicht herstellen. Der Anbieter, egal ob bei Mail, Messenger oder anderen Diensten hat kein Wissen, keine Informationen, keine Schlüssel. Und speichert auch keine Metadaten (No-Log-Policy). Manche Anbieter von Messengern löschen die ausgetauschten Nachrichten direkt nachdem sie zugestellt wurden. Sollte die jemand hacken oder sollte dort ein Durchsuchungsbefehl auftauchen, können die Anbieter keine Daten herausgeben, sie haben sie nicht. Es werden keine Protokolle mitgeführt, die sagen: Um 13:33 Uhr hat User khikll mit User oipu eine Nachricht ausgetauscht. Der Inhalt ist verschlüsselt und auch die Metadaten sind nach ganz kurzer Zeit nicht mehr vorhanden. Das ist Zero-Knowledge. Wenn Sie Sicherheit ernst meinen, achten Sie darauf.