• IT-Karriere:
  • Services:

Wenn verschlüsseln, dann richtig

Also hat der Effekt des Verschlüsselns gewisse Grenzen. Dabei gibt es aber auch einiges zu beachten. Genau diese Hürden wollen die Cryptoparty-Macher abbauen. Je mehr nicht versierte Anwender über Verschlüsselung wissen, desto mehr kann sie sich verbreiten. Unter "nicht versierten Anwendern" verstünden Cryptoparty-Macher auch Journalisten, die beispielsweise mit Aktivisten in Kontakt stehen, so das Konzept.

Stellenmarkt
  1. karriere tutor GmbH, deutschlandweit (Home-Office)
  2. über grinnberg GmbH, Bruchsal

Zunächst gilt es aber, die richtige Software zu verwenden. Sie sollte Open Source sein, denn dann lässt sich immerhin überprüfen, ob nicht versteckte Funktionen eine Hintertür in der Software bereitstellen. Allerdings muss die Software auch wirklich sicher sein. Das Beispiel von Cryptocat zeigt, wie auch vermeintlich sichere Open-Source-Software durch Programmierfehler fast unbrauchbar wird und möglicherweise Menschen in Gefahr bringt.

Aktuelle Verschüsselungstechniken nutzen

Gute Verschlüsselung setzt einige Faktoren voraus. Der wichtigste: Sie sollte aktuell sein. Ältere Verschlüsselungstechniken wie RSA 1024 sind längst mit genügend Rechenleistung zu knacken. Dennoch wird RSA 1024 weiterhin vielfach eingesetzt, ob gewollt oder ungewollt.

Manche Programme setzen noch heute auf RSA-Schlüssel mit einer Länge von 1024 Bit. Das ist gefährlich, denn Fachleute gehen schon lange davon aus, dass derartige Schlüssel sich mit Spezialhardware, die einige Millionen Euro kostet, entschlüsseln lassen. Sicherheitshalber sollte man daher bei Verfahren wie RSA, DSA oder ElGamal auf Schlüssel mit einer Länge von 2048 oder 4096 Bit setzen.

Elliptische Kurven für mehr Sicherheit

Golem Akademie
  1. Microsoft 365 Security Workshop
    9.-11. Juni 2021, Online
Weitere IT-Trainings

Inzwischen nutzen einige Programme nicht mehr auf klassische Public-Key-Verfahren wie RSA, sondern auf Verfahren wie ECDSA, die auf sogenannten elliptischen Kurven basieren. Hierbei gelten auch deutlich kürzere Schlüssel ab circa 120 Bit bereits als sicher.

Bei den symmetrischen Verfahren ist der Advanced Encryption Standard (AES) heute das Maß der Dinge. Der 2001 verabschiedete Standard gilt nach wie vor als sehr sicher. Problematisch sind einige ältere Verfahren wie RC4 und auf keinen Fall sollte man heute noch den alten Data Encryption Standard (DES) einsetzen. Als mögliche moderne Alternative zur symmetrischen Verschlüsselung wurde zuletzt das Verfahren Salsa20 von vielen Kryptografen gelobt. Der Vorteil: Salsa20 ist sehr schnell und gilt trotzdem als sehr sicher.

Wem vertraue ich?

Ein weitere Frage, die oft auftaucht: Wie tausche ich Schlüssel und wie überprüfe ich die Echtheit des öffentlichen Schlüssels meines Kommunikationspartners? Ein gängiges Verfahren ist die Überprüfung des Fingerprints - einer Buchstaben-Zahlen-Folge, die jedem Schlüssel zugewiesen ist und die sich etwa am Telefon überprüfen lässt. Andere Verfahren setzen auf zentralisierte Zertifizierungsstellen. Das ist etwa bei HTTPS der Fall, doch dabei muss man der Zertifizierungsstelle vertrauen - und es gab in der Vergangenheit genügend Beispiele dafür, dass diese sich als wenig vertrauenswürdig erwiesen haben.

Eine weitere Alternative ist ein sogenanntes Web of Trust. Dabei unterschreiben Schlüsselinhaber die Schlüssel von Personen, deren Identität sie überprüft haben. Über Umwege kann man so die Echtheit eines Schlüssels von anderen überprüfen. Das Web of Trust ist ein sehr ausgefeiltes Konzept, es hat aber auch einige Nachteile. Der größte: Es ist für unbedarfte Anwender oft schwer verständlich, wie ein Web of Trust funktioniert.

Auch aus Datenschutzgründen ist ein Web of Trust nicht optimal. Die Schlüsselunterschriften, die öffentlich verfügbar sein müssen, lassen Rückschlüsse auf die Kontakte der Personen zu.

Generell gilt jedoch: Die Überprüfung der Schlüsselechtheit wird oft überschätzt, Angriffe auf die Schlüsselinfrastruktur erfordern vom Angreifer einen hohen Aufwand und fast vollständige Kontrolle über die Kommunikationsinfrastruktur. Sie kommen in der Praxis selten vor. Es ist daher immer besser, mit einem nicht überprüften Schlüssel zu kommunizieren als gänzlich auf Verschlüsselung zu verzichten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Datenschutz: Verschlüsselt gegen GeheimdiensteMit Open-Source-Software sicher surfen 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 4,99€
  2. (u. a. Angebote zu Spielen, Gaming-Monitoren, PC- und Konsolen-Zubehör, Gaming-Laptops uvm.)
  3. 7,29€
  4. Gratis

oranerd 23. Sep 2014

Über kaum eine Frage wird beim Thema Verschlüsselung leidenschaftlicher gestritten, als...

Ass Bestos 03. Aug 2013

du hast es auf den punkt gebracht!

Kasabian 23. Jul 2013

vielleicht weil die Hoffnung da beim Chef mitspielt ;) Persönlich finde ich solche...

hb 20. Jul 2013

Unsinn. De-Mail druckt nichts aus und schickts mit der Post.

Nolan ra Sinjaria 15. Jul 2013

vermutlich weil sie die Grundfunktion (Emailempfang, - versand, -verwaltung) als...


Folgen Sie uns
       


Polestar 2 Probe gefahren

Wir sind mit dem Polestar 2 eine längere Strecke gefahren und waren von dem Elektroauto von Volvo angetan.

Polestar 2 Probe gefahren Video aufrufen
Programm für IT-Jobeinstieg: Hoffen auf den Klebeeffekt
Programm für IT-Jobeinstieg
Hoffen auf den Klebeeffekt

Aktuell ist der Jobeinstieg für junge Ingenieure und Informatiker schwer. Um ihnen zu helfen, hat das Land Baden-Württemberg eine interessante Idee: Es macht sich selbst zur Zeitarbeitsfirma.
Ein Bericht von Peter Ilg

  1. Arbeitszeit Das Sechs-Stunden-Experiment bei Sipgate
  2. Neuorientierung im IT-Job Endlich mal machen!
  3. IT-Unternehmen Die richtige Software für ein Projekt finden

Weclapp-CTO Ertan Özdil: Wir dürfen nicht in Schönheit und Perfektion untergehen!
Weclapp-CTO Ertan Özdil
"Wir dürfen nicht in Schönheit und Perfektion untergehen!"

Der CTO von Weclapp träumt von smarter Software, die menschliches Eingreifen in der nächsten ERP-Generation reduziert. Deutschen Perfektionismus hält Ertan Özdil aber für gefährlich.
Ein Interview von Maja Hoock


    Fiat 500 als E-Auto im Test: Kleinstwagen mit großem Potenzial
    Fiat 500 als E-Auto im Test
    Kleinstwagen mit großem Potenzial

    Fiat hat einen neuen 500er entwickelt. Der Kleine fährt elektrisch - und zwar richtig gut.
    Ein Test von Peter Ilg

    1. Vierradlenkung Elektrischer GMC Hummer SUV fährt im Krabbengang seitwärts
    2. MG Cyberster MG B Roadster mit Lasergürtel und Union Jack
    3. Elektroauto E-Auto-Prämie übersteigt in 2021 schon Vorjahressumme

      •  /