Direkt zum Inhalt
 
 
Die Bannergrafik des HRZ
 
  Startseite  
 
Sie sind hier:» Universität » HRZ » Account & Internet » Verschlüsselung und Datensicherheit
  • Print this page
  • Sitemap
  • create PDF file

Verschlüsselung und Datensicherheit

Die Übermittlung vertraulicher Daten über das Internet sowie die Speicherung und Verarbeitung dieser Daten auf internet-fähigen PCs erfordern angemessene Sicherungsmaßnahmen. Dazu zählen insbesondere die sachgerechte Anwendung von Daten-Verschlüsselung  zur Geheimhaltung und zur Sicherung der Datenintegrität (Schutz gegen unbemerkte Veränderungen).

Bei der Ver- und Entschlüsselung von Daten spielen individuell zu wählende Schlüssel (je nach Zusammenhang auch als Passwort, Passphrase, Key o.ä. bezeichnet) eine wesentliche Rolle. Die sinnvolle Auswahl und der Umgang mit diesen Schlüsseln und deren Geheimhaltung (nicht die Geheimhaltung des Verschlüsselungs-Verfahrens) sind die Grundlage der Datensicherheit.

Beim Austausch verschlüsselter Daten über das Internet (z.B. auf Webseiten, per E-Mail oder bei der Übertragung über eine Funkverbindung) ergibt sich augenscheinlich das Problem, den zugehörigen Schlüssel auf sichere Weise zu übermitteln. Dieses Dilemma wird meist umgangen durch die Nutzung eines asymmetrischen Verschlüsselungs-Verfahrens. Bei einem asymmetrischen Verschlüsselungs-Verfahren erfolgen Ver- und Entschlüsselung mit den zwei komplementären Bestandteilen eines Schlüsselpaares, genannt öffentlicher Schlüssel (Public Key für Verschlüsselung) und privater Schlüssel (Secret Key für Entschlüsselung). Der Public Key wird vor der Übermittlung der Daten ausgetauscht oder einem veröffentlichten Verzeichnis entnommen.

Auch die Datenintegrität kann durch asymmetrischen Verschlüsselungs-Verfahren gewährleistet werden: Die Verschlüsselung mit dem Secret Key kann mithilfe des zugehörigen Public Key rückgängig gemacht und mit den Ausgangsdaten verglichen werden. Die konsistente Manipulation von Ausgangsdaten und chiffrierten Daten ist nur mit Kenntnis des Secret Key möglich (vorausgesetzt das eingesetzte Verschlüsselungs-Verfahren ist sicher). Diese Vorgehensweise wird daher als digitale Signatur bezeichnet, der Secret Key entspricht einem Siegelring.

Wesentlich für alle asymmetrischen Verschlüsselungs-Verfahren ist die korrekte Zuordnung der jeweiligen Public Keys zu einem Kommunikationspartner (einer Person, einem Web-Server, einem Funknetz-Betreiber, ...): der Zweck der Datenverschlüsselung wird verfehlt, wenn nicht gewährleistet ist, dass der Kommunikationspartner derjenige ist, für den er sich ausgibt. Durch technisch-organisatorische Maßnahmen im Rahmen einer Public Key Infrastruktur (PKI) kann diese Zuordnung etabliert werden. Dabei werden in Zertifikaten Public Keys mit administrativen Daten (Name, Gültigkeitsdauer, Einsatzzweck ...) zusammengefasst und von einer zentralen Stelle digital signiert. Die Verfahrensrichtlinien einer derartigen Zertifizierungsstelle (CA) sind in einer sog. Policy beschrieben. Durch eine PKI kann die sichere Kommunikation über das Internet vereinfacht werden; ein gewisses Maß an Einsicht in die Zusammenhänge und gesunder Menschenverstand sind trotzdem unabdinglich für die Beurteilung von PKI-Zertifikaten und die Sicherheit der entsprechenden Kommunikationswege.

Für die verschlüsselte Übertragung von Web-Seiten hat sich die SSL-Verschlüsselung (und deren Weiterentwicklung unter dem Namen TLS) etabliert; die zugehörigen Internet-Adressen sind am Präfix https:// (anstelle von http://) erkennbar. Die Standard-Web-Browser beinhalten die SSL-Zertifikate (häufig auch als X.509-Zertifikate benannt) einer Reihe von CAs, die als vertrauenswürdig eingestuft werden. Beim SSL-verschlüsselten Verbindungsaufbau überprüft der Web-Browser automatisch die digitale Signatur des SSL-Server-Zertifikats anhand der bekannten SSL-CA-Zertifikate. Er markiert daraufhin die entsprechende Webseite mit einem Symbol (grünes Vorhängeschloss o.ä) bzw. gibt eine Warnmeldung aus oder bricht die Verbindung ab. Für SSL-Web-Server innerhalb der Universität Marburg können bei der Uni Marburg RA SSL-Zertifikate im Rahmen der PKI des DFN-Vereins (Deutsches Forschungsnetz) ausgestellt werden.

Für die verschlüsselte und digital signierte Übermittlung von E-Mails gibt es zwei verschiedene Verfahren, die größere Verbreitung gefunden haben: S/MIME und (Open)PGP. S/MIME arbeitet ähnlich wie SSL-Web-Server mit X.509-Zertifikaten und kommt häufiger in zentral verwalteten Einrichtungen zum Einsatz, die über eine eigene PKI verfügen. Über die Uni Marburg RA können Nutzerzertifikate für die Verwendung mit S/MIME ausgestellt werden. Das ältere PGP-Protokoll setzt bei der Verwaltung der Public Keys auf die wechselseitige digitale Signatur vieler Nutzer ("Web of Trust"). Jeder kann dabei für sich selbst entscheiden, welche Signaturen er für vertrauenswürdig erachtet. Die Einbeziehung von zentralen Zertifizierungsstellen ist bei PGP im Prinzip möglich, hat sich aber nicht allgemein durchsetzen können (auch an der Universität Marburg gab es zwischen 1998 und 2007 eine PGP Zertifizierungsstelle). PGP wird meist im privaten Bereich eingesetzt, meist mit Programmen, die auf der Open Source Implementation GPG (Gnu Privacy Guard) aufbauen.

Zuletzt aktualisiert: 30.01.2017 · Thomas Gebhardt

 
 
Hochschulrechenzentrum

Hochschulrechenzentrum, Hans-Meerwein-Straße, 35032 Marburg
Tel. +49 6421 28-28282, Fax +49 6421 28-26994, E-Mail: helpdesk@hrz.uni-marburg.de

Twitter-Logo

URL dieser Seite: https://www.uni-marburg.de/hrz/internet/crypto

Impressum | Datenschutz