Expose Digitale Verschlüsselung

anne sophie.primisser.uni-linz, 25. März 2015, 19:33

Seit der Veröffentlichung des größten Überwachungsskandals aller Zeiten durch den ehemaligen Miterbeiter eines National Security Agency (NSA) Partners Edward Snowden wurden die globalen Sicherheitsrisiken des World Wide Webs (WWW), sowie des Internets zu einem der größten Streitpunkte unserer Zeit [Greenwald et al., 2013; Richter & Dilanian, 2013]. Der Geheimdienstverbund "Five-Eyes", allen voran die US-Amerikanische NSA, nutze bekannte und unbekannte Schwachstellen von Soft- und Hardware um Millionen von Menschen zu überwachen und auszuspionieren. In der Aufarbeitung dieses orwellianischen Systems wurde immer lauter, dass es nur eine Lösung geben kann: Verschlüsselung [Pfau, 2014].

Verschlüsselungsmechanismen dienen dazu, lesbaren Text bzw. lesbare Informationen in eine unleserliche Zeichenfolge umzuwandeln [Espionage]. Damit können schützenswerte Informationen von unerwünschten Augen verborgen bleiben, jedoch für den beabsichtigten Adressaten ohne viel Aufwand lesbar sein. Dazu gibt es die unterschiedlichsten Methoden bzw. Verfahren (symmetrische und asymmetrische Verschlüsselungssysteme), mit denen die Umwandlung in eine unleserliche Zeichenfolge realisiert werden kann.

Es existieren bereits eine Vielzahl an verschiedensten Programmen, die nahezu vollautomatisch eine sichere Verschlüsselung von Informationen ermöglichen. Welches dieser Verschlüsselungstools man verwendet hängt meist davon ab, was verschlüsselt werden soll, wie sicher die Verschlüsselung sein soll und welcher Mechanismus bzw. welches Verfahren dabei angewendet wird.

Darstellung der/des ausgewählten Dienste(s)

Wie oben erwähnt, gibt es eine Vielzahl an Möglichkeiten, die eigene Kommunikation zu verschlüsseln. Im Bereich der E-Mail basierenden Kommunikation werden vor allem zwei Formen der Verschlüsselung eingesetzt: Client-basierte E-Mail-Verschlüsselung und Server-basierte E-Mail-Verschlüssellung.

Client-basierte E-Mail-Verschlüsselung

Diese Form der E-Mail-Verschlüsselung ist die älteste Form der Kommunikationssicherung und wird von führenden Experten empfohlen. Der Prozess der Verschlüsselung erfolgt bereits im genutzen E-Mail-Client (z.B. Outlook, Mac-Mail oder Thunderbird) und hat den Vorteil, dass der zu verschlüsselnde Inhalt nicht erst ins Internet geladen werden muss. Daraus resultiert, dass die auf dem Server gespeicherten Nachrichten nicht einmal für den Serverbetreiber lesbar sind - vorausgesetzt, der eingesetzte Schlüssel bleibt geheim.

Will Person A der Person B eine verschlüsselte E-Mail schicken, verschlüsselt der genutze E-Mail-Client die Nachricht mit dem öffentlichen Schlüssel von Person A; signiert durch den privaten Schlüssel dieser Person. Um die Nachricht nun lesen zu können, muss Person B den öffentlichen Schlüssel der Person A besitzen - den Rest erledigt der E-Mail-Client. Dazu entschlüsselt der Client die Nachricht mit dem öffentlichen Schlüssel der Person B; die Signatur wird durch den öffentlichen Schlüssel der Person A geprüft.

Diese so genannte "Ende-zuEnde-Verschlüsselung" hat den Vorteil, dass beide Personen die eigene Verschlüsselung in der Hand haben und es Dritten somit nahezu unmöglich gemacht wird, die Nachricht zu entschlüsseln bzw. glaubwürdig zu manipulieren. Der Nachteil liegt eindeutig in der Nutzbarkeit; das seit Anfang der 90er Jahre bestehende System konnte sich vor allem aufgrund der mangelnden Usability nicht durchsetzen. Bekannte Client-basierende Verschlüsselungstools sind "Pretty Good Privacy" (PGP) und deren Ableger GPG für Mac und GPG4Win für PCs. Seit kurzem gibt es Ende-zuEnde Verschlüsselung für web-basierende E-Mail-Clients. Anbieter wie ProtonMail (www.protonmail.ch) ermöglichen mit der neuen Technik einen einfacheren Verschlüsselungsprozess und auch Anbieter-übergreifende Verschlüsselung von Nachrichten.

Server-basierte E-Mail-Verschlüsselung

Gerade für Organisationen wirkt client-basierende E-Mail-Verschlüsselung wie die Büchse der Pandora. Weil client-basierende Verschlüsselung von den unabhängigen Nutern abhängt, ist diese nur schwer durchsetzbar und oft durch fehlende Infrastruktur nicht umsetzbar. Um die Nuter nicht ohne Schutz in Unsicherheit zu belasse, wird meist mit Server-basierter E-Mail-Verschlüsselung gearbeitet. Im Gegensatz zur client-basierenden Verschlüsselung erfolgt die Sicherung der Nachricht erst durch den Server - meist durch die Verwendung eines Verschlüsselungs-Gateways, das zwischen Web-Client und Mailserver zwischengeschaltet ist.

Will Person A eine verschlüsselte E-Mail an Person B schicken, schreibt sie die Nachricht im Web-Client und schickt diese lediglich ab. der E-Mail-Server enkodiert den Inhalt mittels Verschlüsselungs-Gateway und übermittelt die E-Mail anschließend über den Ausgangsserver. Empfängt Person B die E-Mail, wird diese direkt im E-Mail-Client von Person B entschlüsselt.

Dieses System funktioniert natürlich nur, wenn der Empfänger - die Person B - den Service der gleichen Organisation nutzt, das System von Person B den Schlüssel des Systems der Person A hat oder anstatt einer asynchronen Verschlüsselung ein synchrones System genutzt wird (z.B. Passwort-basierte E-Mail-Verschlüsselung). Hat das System der Person B den Schlüssel des Systems der Person A, wird die Nachricht nach Eingang vom E-Mail-Server entschlüsselt.

Der wesentliche Vorteil dieser Lösung zeigt sich in der Einfachheit der Nutzung: da die Verschlüsselung vollkommen automatisiert von statten geht, müssen sich die Nutzer keinerlei Gedanken zum Thema Verschlüsselung machen. Die Arbeit und Verwantwortung liegt bei Spezialisten, den System-Administratoren.

Experten heben hervor, dass diese Art der Verschlüsselung nicht vollkommen sicher ist. So ist die Nachricht am Web vom Client zum E-Mail-Server im Klartext verfügbar, da diese erst vom Server enkodiert wird. Somit können Administratoren bzw. Dritte mit Zugang Nachrichten einsehen und gegebenenfalls auch manipulieren.

Folgende Dienste wurden zur Darstellung bzw. genaueren Betrachtung ausgewählt:

  • GPG4Win
  • GPG für Mac
  • ProtonMail

Einerseits werden durch die ausgewählten Dienste sowohl Web-basierte als auch Client-basierte Lösungen dargestellt andererseits werden dadurch Sowohl Lösungen für Windows und Mac-User gezeigt.

Beschreibung einer realen oder fiktiven Aufgabenstellung

Aufgrund der Aktualität des Themas sowie der zukünftigen technischen Herausforderungen in diesem Bereich haben wir uns dafür entschieden, bereits zur Verfügung stehende Open-Source Tools zur Verschlüsselung von E-Mail Kommunikation zu erproben.

Dazu werden zwei voneinander unabhängige Rechnersysteme verwendet von denen Person A an Person B eine verschlüsselte E-Mail schickt und umgekehrt. Da es sowohl Windows- als auch Mac-User gibt (in unserem Team), und es dafür teilweise unterschiedliche Tools gibt, haben wir usn dafür entschieden, beide Systeme zu verwenden. Einerseits zeigt dies die Unterschiedlichkeit der beiden System und andererseits auch das Zusammenspiel diesesr unterschiedlichen Betriebssysteme.

Dokumentation der systematischen Erprobung

Die systematische Erprobung der Aufgabenstellung erfolgt in folgenden Schritten und wird auch im Hinblick auf diese Schritte Dokumentiert:

  1. Installation
  2. Erstellung des eigenen Schlüssels
  3. Austausch des öffentlichen Schlüssels
  4. Verschicken einer verschlüsselten E-Mail
  5. Empfangen und entschlüsseln einer E-Mail

Systematische Bewertung nach gewichteten Merkmalen (Nutzwertanalyse)

Die Nutzwertanalyse ist eine Methode, welche zur Entscheidungsfindung beiträgt, in dem Falle, dass unterschiedliche Methoden, oder in unserem Fall Dienste, zur Verfügung stehen. Vor allem bei Kriterien welche nicht in Zahlen ausgedrückt werden können, und daher nicht einfach größer oder kleiner sind, kann mit dieser Bewertung die besser geeignete Lösung ausfindig gemacht werden. Um die Nutzwertanalyse durchzuführen wird in folgenden Schritten vorgegangen:

  1. Zielkriterien auswählen
  2. Bestimmen der Ausprägungen
  3. Bestimmen der Teilnutzenwerte
  4. Bestimmen der Kriteriengewichte
  5. Nutzwertberechnung

Für die gewählten drei Dienste (GPG4Win, GPG für Mac, ProtonMail) wurden bereits folgende Zielkriterien ausgewählt:

  1. Installationsprozess
  2. Kosten
  3. Funktionsumfang
  4. Kompliziertheit (im Hinblick auf die Anwendung)
  5. Unabhängigkeit
  6. Sicherheit

 

 

Quellen:

[Espionage] Espionage; What is encryption and why is it important? http://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance; Zugriff am 20.03.2015.

[Greenwald et al., 2013] Greenwald, Glenn; MacAskill, Ewen; Poitras, Laura; Edward Snowden: the whistleblower behind the NSA surveillance revelations. The Guardian, 2013. http://www.theguardian.com/world/2013/jun/09/edward-snowden-nsa-whistleblower-surveillance; Zugriff am 20.03.2015.

[Pfau, 2014] Pfau, Matthias; Privacy 2.0 - We Need Weapons, Not Words. Medium, 2014. https://medium.com/surveillance-state/privacy-2-0-fa0b66fd5939; Zugriff am 20.03.2015.

[Richter & Dilanian, 2013] Richter, Paul; Dilanian, Ken; U.S. spying scandal straining ties with Europe. Los Angeles Times, 2013. http://articles.latimes.com/2013/oct/30/world/la-fg-nsa-diplo-fallout-20131031; Zugriff am 20.03.2015.

2 comments :: Kommentieren

Interessanter Artikel...

kerstin.wasmeyer.uni-linz, 9. April 2015, 09:12

...zum Thema Sicherheit und Sicherheitsbedrohungen:

 

http://futurezone.at/b2b/rsa-die-sicherheitsindustrie-ist-gescheitert/123.005.331

Verlinken :: Kommentieren

michael.goldbeck.uni-linz, 15. April 2015, 17:57

Danke für dein Kommentar, ist ein spannendes Interview!

Verlinken :: Kommentieren


To prevent spam abuse referrers and backlinks are displayed using client-side JavaScript code. Thus, you should enable the option to execute JavaScript code in your browser. Otherwise you will only see this information.