Sind deine Daten sicher?

Wisst ihr eigentlich, warum manche Seiten „sicher“ sind und manche nicht? Nun, das liegt an „https“. Das habt ihr vielleicht schon einmal in eurem Browser gesehen. Manchmal wird es mit einem kleinen Schloss angezeigt. „https“ steht laut Wikipedia für „sicheres Hypertext-Übertragungsprotokoll“ und bedeutet im Grunde nur, dass die Daten verschlüsselt werden. Aber wusstet ihr, dass es eigentlich nur zwei Arten von Verschlüsselungsalgorithmen gibt, und das ist spannender als es jetzt vielleicht klingt.

Die erste Art ist symmetrische Verschlüsselung. Das bedeutet, dass man einen Text mit einem Schlüssel verschlüsseln kann, den verschlüsselten Text dann dem anderem schicken kann, und dieser ihn nur mit demselben Schlüssel wieder entschlüsseln kann.

Ein klassisches Beispiel dafür ist die Cäsar-Verschlüsselung. Bei dieser Verschlüsselung wird jedem Buchstaben ein anderer zugewiesen. So kann man einen Text verschlüsseln, indem zum Beispiel jedes „A“ durch ein „B“ ersetzt wird, und so wird mit allen Buchstaben verfahren. Dieser verschlüsselte Text, man nennt ihn auch Chiffrat, kann nun verschickt werden. Jeder, der ihn abfängt, sieht nur Kauderwelsch. Doch derjenige, für den die Nachricht bestimmt ist, und der weiß, wie er die Änderung rückgängig machen kann, kann den Text dechiffrieren (so ist der Fachbegriff) und die Nachricht lesen.

Allerdings hat diese Technik einen Nachteil. Um sich zu verständigen, müssen beide Parteien sich auf einen Schlüssel einigen, und je mehr Personen an der Konversation teilnehmen, desto größer ist die Gefahr, dass einer sich verplappert und den Schlüssel verrät. Also was tun?

Nun, die Lösung ist die sogenannte asymmetrische Verschlüsselung. Hierbei existieren zwei Schlüssel, ein öffentlicher und ein privater. Beide Schlüssel können ver- und entschlüsseln und werden vom Algorithmus benötigt. Ein Schlüssel bleibt jedoch geheim und zwar der private. Das bedeutet in der Praxis, dass man nur den öffentlichen Schlüssel einer Person kennen muss, um ihr eine Nachricht zu senden. Denn wenn man eine Nachricht mit dem öffentlichen Schlüssel verschlüsselt, kann man sicher sein, dass nur die Person die Nachricht lesen kann, weil nur sie den dazugehörigen privaten Schlüssel hat. So muss man nichts mehr geheim halten, denn der öffentliche Schlüssel kann ohne Risiko online gestellt werden. Man kann sich das vorstellen, wie bei einem Briefkasten, der in der Öffentlichkeit steht. Jeder kann einen Brief hineinwerfen, aber nur der Besitzer des Briefkastens kann ihn öffnen und dann die Briefe darin lesen.

So funktioniert auch „https“. Der Briefkasten ist der Computer und die Website wirft einen Brief, den Inhalt dieser Seite, in diesen Briefkasten. Nun kann uns die Seite angezeigt werden, und das, ohne dass jemand anderes mitlesen kann.

von Conrad Klugkist

  1. Simon Schulte sagt:

    Lieber Conrad,
    das ist ein spannender Artikel! Vor allem der Vergleich mit dem Briefkasten macht das Prinzip schön deutlich.

    Der letzte Abschnitt zum gesicherten http-Protokoll hat mich nur ein wenig stutzig gemacht, da die Website an sich erst mal keinen öffentlichen Schlüssel des Empfängers kennt. Wie ich nun verstanden habe, kann der während der ersten Kontaktaufnahme vom Nutzer an die Website geschickt werden. Wobei ich mich dann schon frage, ob die vollständige Kommunikation weiterhin asymmetrisch läuft, da in dem ersten asymmetrisch verschlüsselten Kontakt auch die Schlüssel für symmetrische Verschlüsslung getauscht werden könnten … Aber das wäre sicher auch nur sinnvoll, wenn symmetrisches Verschlüsseln weniger rechenintensiv ist.

    Kurz gesagt: Das ist ein schöner Artikel, der zum Weiterdenken anregt.

    Beste Grüße
    S. Schulte

    1. Conrad Klugkist sagt:

      Lieber Herr Schulte,

      erstmal vielen Dank für Ihren Kommentar!
      In der Tat ist es so, dass der öffentliche Schlüssel des Nutzers, der also die Website abruft, bei der ersten Kontaktaufnahme übermittelt wird. Dazu muss man allerdings wissen, dass dieser auch verschlüsselt übertragen werden muss, anders als man vielleicht denken könnte. Das hat den Hintergrund, dass man so verhindert, dass eine dritte Partei diesen ändert, also zum Beispiel bei einem sogenanntem Man-in-the-Middle-Angriff. Zudem muss der öffentliche Schlüssel, den der Server senden muss, damit die Kontaktaufnahme überhaupt erst erfolgen kann, durch eine sogenannte Zertifizierungsstelle bestätigt werden. So verhindert man, dass sich eine Website für eine andere ausgibt oder der Schlüssel auf dem Weg geändert wird, damit ein Angreifer mitlesen kann.
      Zu dem weiteren Verlauf der Kommunikation, wie Sie auch andeuteten, ist noch zu erwähnen, dass die zukünftigen Nachrichten über einen symmetrischen Schlüssel verschlüsselt werden. Dieser Schlüssel wird zufällig erzeugt und dann dem anderen übermittelt, das hat den Vorteil, dass die Kommunikation erheblich beschleunigt wird. Dies ist der Fall, da die symmetrische Verschlüsselung in der Regel wesentlich schneller ist, als die asymmetrische. Aufgrund dieser Eigenschaft wurde die asymmetrische Verschlüsselung schon seit Anfang an als hybride Verschlüsselung verwendet.

      Liebe Grüße
      Conrad

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.