Was Sie über Kryptografie wissen müssen

Es ist eine typische Szene in vielen Kriminalfilmen und Thrillern der letzten Jahre: Der Computer eines Verdächtigen wurde sichergestellt, große Freude beim Ermittlerteam. Doch dann die Ernüchterung, die Daten sind natürlich verschlüsselt. Ein Fall für die Kriminaltechnik; Auftritt für eine Figur, die alle Nerd-Klischees erfüllt, in wenigen Szenen sehr viel Kaffee trinkt und mit hektischem Tippen auf einer Notebooktastatur die Daten wiederherstellt. Mehr als einen Tag lässt sich ein solcher Hacker im Film von der vermeintlich sicheren Verschlüsselung selten aufhalten.

Solche Geschichten prägen das Bild, das Laien von IT-Sicherheit haben: Vor dem neugierigen Partner, den eigenen Kindern oder einem Gelegenheitseinbrecher kann man sich mit Verschlüsselung vielleicht schützen, doch gegen Polizei und Geheimdienst hat man ohnehin keine Chance. Schließlich haben NSA, BND und Mossad doch Superhirne und -computer und können, wenn sie wollen, eh alles entschlüsseln, was auf dem Computer und im Internet passiert. Dieses Misstrauen in die Technik führt zu verhängnisvollen Fehlannahmen. Wenn man keine Chance, gegen „die da oben“ habe, brauche man den Aufwand überhaupt nicht zu treiben, zum Beispiel verschlüsselt zu kommunizieren oder Daten auf der Festplatte mit einer Laufwerksverschlüsselung zu sichern.

In Wahrheit sind moderne Verschlüsselungsverfahren sicherer, als es unseren Geheimdiensten lieb ist. Sofern in den Implementierungen keine mutwilligen Schwächen versteckt sind, sind die Verfahren nach den Erkenntnissen aus jahrzehntelanger Forschung nicht zu knacken. Angriffe gelingen Geheimdiensten vor allem über Viren und soziale Betrügereien (Phishing). In Ausgabe 3/2021 haben wir beschrieben, wie Sie möglichst viele Teile Ihrer Kommunikation verschlüsselt abwickeln [1]. Doch was passiert eigentlich genau im Hintergrund, wenn eine Software eine Sitzung mit TLS absichert, Ihr Mailprogramm mit PGP verschlüsselt? Wie werden zwischen Browser und Server Schlüssel über eine unsichere Leitung ausgetauscht? Und warum kann man mit dem heutigen Wissen davon ausgehen, dass auch gigantische Rechenanlagen der Geheimdienste Jahre brauchen, sicher verschlüsselte Informationen wieder lesbar zu machen?

Die folgenden Artikel sollen Antworten auf diese Fragen liefern und richten sich ausdrücklich nicht nur an Mathematiker, sondern an alle Computernutzer. Ab Seite 56 erfahren Sie, was symmetrische und asymmetrische Verfahren ausmacht und wie sie gemeinsam für den Schutz von Geheimnissen im Internet verantwortlich sind. Warum auch Superrechner ein Problem bekommen, wenn sie die Multiplikation von zwei Primzahlen umkehren sollen, erfahren Sie ab Seite 60 – diese Erkenntnisse sind entscheidend für das Vertrauen in asymmetrische Verschlüsselung mit RSA.

Neben dem Verschlüsseln spielt auch das Hashen von Nachrichten eine entscheidende Rolle. Bei digitalen Un­terschriften, der Sicherheit von Datei-­Downloads und Kennwörtern und spätestens bei Blockchains ist es entscheidend, eine beliebig lange Zeichenkette auf einen kurzen Hash abzubilden. Wie es Hashfunktionen schaffen, eine zufällig wirkende, aber reproduzierbare Zeichenkette zu generieren, erfahren Sie ab Seite 64.

Angst vor höherer Mathematik müssen Sie nicht haben. Viele der Beispiele können Sie sogar mit Zettel, Stift und Kenntnis der Grundrechenarten nachvollziehen. Das ist schon die wichtigste Erkenntnis rund um die Kryptografie: Damit ein Verfahren sicher ist, darf es nicht so gestaltet sein, dass es niemand versteht! Das wäre „security by obscurity“ – ein erwiesenermaßen erfolgloser Ansatz. (jam@ct.de)