Gastbeitrag: Verschlüsselung ist der grundlegende Baustein der Datensicherheit. Sie ist die einfachste und wichtigste Art und Weise, um zu gewährleisten, dass die Informationen eines Computersystems nicht zu betrügerischen Zwecken gestohlen und gelesen werden. Die wichtigsten Bausteine für eine erfolgreiche Datenverschlüsselung nennt Bertram Dorn.
Foto: AWS
Der Autor Bertram Dorn ist Principal Solutions Architect Security and Compliance bei Amazon Web Services (AWS)
Seit Menschen miteinander kommunizieren haben sie nach Möglichkeiten gesucht, die Informationsweitergabe sicher zu gestalten. Eines der ältesten Prinzipien ist die Verschlüsselung (auch Chiffrierung oder Kryptierung genannt) von Botschaften. Dabei wird ein Text (der sogenannte Klartext) nach einem ausgehandelten Prinzip (dem Codierungsschlüssel) in einen Geheimtext (die Chiffre oder Ciphertext) umgewandelt. Bei der Entschlüsselung (Dechiffrierung) der Nachricht dient der Schlüssel wiederum als Anleitung, wie der Geheimtext in den ursprünglichen Klartext gebracht wird. Da Daten aus einem textbasierten Code bestehen, lässt sich diese Technik auch in der IT anwenden. Mithilfe einer Datenverschlüsselungssoftware wird ein Verschlüsselungscode entwickelt, der in der Theorie nur durch den Einsatz immenser Rechenleistung geknackt werden kann.
Um Inhalte durch Kryptographie zu schützen, ist eine Betrachtung von Daten, Algorithmus und Schlüssel notwendig. Nur wenn alle drei Bereiche ausreichend unter Kontrolle gebracht sind, kann von einer erfolgreichen Verschlüsselung gesprochen werden.
Zu Beginn braucht es einen Zugang und die Kontrolle der Daten. Ist der Zugang zu den verschlüsselten Daten nicht möglich, liegt, selbst wenn der Schlüssel zu diesen Daten veröffentlicht werden würde, eine Kompromittierung der Daten nicht direkt vor (wenn auch ein etwas höheres Risiko). Dies ist oft auch der erste Verteidigungsring im Zusammenhang einer Sicherheitsstrategie. Im Falle des Objektspeichers Amazon Simple Storage Service (Amazon S3) von Amazon Web Services (AWS) als auch virtueller Festplatten mit Amazon Elastic Book Store (Amazon EBS) bekommt kein Akteur Zugang zu den rohen Bits und Bytes. Ist der Entschlüsselungsvorgang für ein Objekt nicht erfolgreich, werden durch die genannten Dienste auch keine Daten ausgegeben. Ein „Herumspielen“ mit den verschlüsselten Daten ist daher nicht möglich. Auch die Datenstruktur und die Art der Daten muss dem Anwender zur Entschlüsselung bekannt sein. Der Unterschied zwischen einem Text und einem Bild, oder zwischen Datenbankblöcken oder aufgezeichneten Datenströmen kann schon groß genug sein, um einen Angriff drastisch zu erschweren.
Ein weiterer ausschlaggebender Aspekt der Verschlüsselung ist der Algorithmus. Hier geht es im ersten Schritt um das Verwandeln von Klartext in Ciphertext. Ein klassischer Vertreter ist z.B. der Rijndael Algorithmus, welcher im AES256 Standard verwendet wird und auf Datenblöcken operiert. Die Verschlüsselungsalgorithmen nehmen Klartext und Schlüssel entgegen und generieren daraus einen Ciphertext. Im umgekehrten Vorgang, also bei der Entschlüsselung der Daten, werden ein Ciphertext und ein Schlüssel entgegengenommen und daraus wieder ein Klartext generiert.
Foto: cottonbro studio
Verschlüsselung garantiert Vertraulichkeit und Integrität von Daten im Netz – aber nur so lange, wie diese Verschlüsselung nicht geknackt werden kann
EnergiebedarfHeutzutage sind für die Verschlüsselungsverfahren auch Eigenschaften wichtig, die nicht direkt sichtbar sind. So ist die Möglichkeit, den Algorithmus direkt in der Hardware abzubilden, von großer Bedeutung, um mit den heutigen Datenmengen zurechtzukommen. Kann die Hardware direkt die Verschlüsselung vornehmen, müssen weniger Daten in den Rechnern verschoben werden, was Zeit und Energie einspart. Die Zeit, die ein Algorithmus für Daten aufwendet, spielt eine Rolle. Muss ein Datensatz erst noch durch die Verschlüsselung, vergeht zusätzliche Zeit für den Verschlüsselungsvorgang. Oft müssen kryptographische Aktivitäten hintereinandergeschaltet werden, um wirklich sicher zu sein, was den Zeitverbrauch für die eigentlichen Daten drastisch erhöht. Beide Aspekte zusammen bestimmen den energetischen Aufwand, der in die Verschlüsselung investiert wird. Die weltweite Masse an Verschlüsselungsvorgängen macht weniger Energieaufwand für den kryptographischen Vorgang auf jeden Fall erstrebenswert.
Der letzte Baustein einer erfolgreichen Verschlüsselung ist der Schlüssel. Basierend auf den Verfahren unterscheidet man zwischen asymmetrischen Schlüsselpaaren (z.B. für das RSA-Verfahren, oder auch für Verfahren auf Elliptischen Kurven) und Schlüsseln für symmetrische Verfahren z.B. der AES256 Standard. Je nach Art der Daten kann es nun zu spannenden, da technisch aufwändig und komplex, Kombinationen kommen, in denen z.B. der Schlüssel und damit auch der Ciphertext deutlich länger ist als der zu verschlüsselnde Text. Dies ist z.B. im Netzwerkverkehr häufig der Fall. Darunter leidet die Effektivität und Nachhaltigkeit der Verfahren. Der Energieverbrauch der Datenübertragung wäre erhöht, da der verschlüsselte Datenstrom potentiell größer ist als der unverschlüsselte Datenstrom.
Auch sind längere Schlüssel unhandlich und damit mit zusätzlichen Risiken in den Bereichen Vertraulichkeit und Verfügbarkeit belegt. Das Sichern, Transportieren und Prüfen der langen Schlüssel benötigen mehr Aufwand und Zeit. Der Zeitaspekt des kryptographischen Verfahrens ist auch ein Grund dafür, dass z.B. im TLS-Protokoll für Netzwerkverschlüsselung nach dem Initialen asymmetrischen Verfahren zur gegenseitigen Authentifizierung auf ein symmetrisches Verfahren (schneller und mit kürzeren Schüsseln) geschaltet wird.
Die Größe der Schlüssel ist ebenfalls ein wichtiger Faktor für jegliches Schlüsselmanagement-System. Zudem hat sich in der IT auch das Vermeiden von Wiederverwendung von Schlüsseln etabliert. So wird bei AWS jedem Datenobjekt ein eigener Datenschlüssel zugeordnet. Das bedeutet auch, dass die Schlüssel am besten auf Zufallszahlen basieren. Auch zukünftige Standards wie NIST140-3 legen mehr Wert auf die Entropie-Quellen zur Erzeugung von Zufallszahlen und damit Schlüsseln, und deren Implementierung. Diese Datenschlüssel sind dann durch eine Schlüsselkette durch übergeordnete Schlüssel, gesichert.
Verschlüsselung garantiert Vertraulichkeit und Integrität von Daten im Netz – aber nur so lange, wie diese Verschlüsselung nicht geknackt werden kann. Mit dem Quantencomputer tritt ein neuer Codeknacker an, der das Aus für einige bestehende Verschlüsselungsverfahren bedeutet. Während sich die neueren Ansätze ihren Weg durch den Standardisierungsprozess bahnen, entwickelt sich auch AWS weiter, um seinen Kunden die Möglichkeit zu geben, ihre Daten auch in Zukunft zu schützen.
