Symbolfoto mit Auge und darüber gelegten Ringen und senkrecht laufenden Zahlencodes

Awareness – Vertrauen ist gut, PKI sicher besser

Grundsätzlich geht es bei Verschlüsselung darum, dass Buchstabenkombinationen von lesbarem Text durch einen bestimmten Algorithmus (den Schlüssel) so geändert werden, dass ein Buchstabensalat erzeugt wird, den kein Mensch und keine Maschine mehr interpretieren kann. Damit Ihr Kommunikationspartner das lesen kann, braucht er den Schlüssel, um den Buchstabensalat wieder rückzuverwandeln in den ursprünglichen lesbaren Text. Weil hier auf beiden Seiten derselbe Schlüssel verwendet wird, spricht man auch von sog. „symmetrischen Verfahren“. Problematisch hierbei ist, dass es kein wirklich sicheres Verfahren gibt, wie man den Schlüssel übergeben könnte, ohne dass eine dritte (unberechtigte) Partei Kenntnis davon erlangen könnte. Oder dieses Verfahren ist so ungeschickt, dass es in der Praxis kaum Anwendung findet.

Stattdessen gibt es die sog. „asymmetrischen Verfahren“. Wie funktionieren die? In der Literatur finden Sie an der Stelle den Begriff „Schlüsselpaar“, der zur Erklärung herangezogen wird, jedoch m. E. nicht griffig ist. Stellen Sie sich stattdessen vor, dass bei asymmetrischen Verfahren ein Schlüssel und das dazugehörende Schloss verwendet werden (beides natürlich virtuell). Wenn Sie mit einem Gegenüber sicher kommunizieren möchten, schicken Sie ihm vorab Ihr Schloss, mit dem es seinen Text an Sie sicher ver- schließen kann. Nur Sie besitzen jetzt den richtigen Schlüssel, um diese empfangene Nachricht wieder zu öffnen. Ihr Gegenüber verfährt exakt vice versa.

Allerdings – woher wissen Sie, dass das Schloss, Sie bekommen haben, auch von der richtigen Person ist und nicht von einer (unberechtigten) dritten? Das geht nur über eine Institution, der alle Beteiligten vertrauen. Bei kryptografischen Schlüsseln ist dies die sog. Certification Authority (kurz: CA). Die CA ist eine für alle Seiten vertrauenswürdige Instanz, welche die Identität der Kommunikationspartner bescheinigt. Die Integrität der CA selbst wird durch eine Art kryptografisch fälschungssicheren digitalen Fingerabdruck sichergestellt. Die CA stellt Ihnen das Zertifikat aus, in dem im Klartext ein paar Meta-Daten zu finden sind, weiterhin der virtuelle Fingerabdruck der CA, mit dem die Korrektheit Ihrer Identität bescheinigt wird sowie das Herzstück – die beiden kryptografischen Schlüssel (bzw. Schlüssel und Schloss, um bei meinem Vergleich zu bleiben).

Da eine CA auch andere CAs ermächtigen kann, Zertifikate zu erstellen, entsteht mit der Zeit eine Infrastruktur des Vertrauens, die sog. Public Key Infrastructure (kurz: PKI). Eine in der hessischen Verwaltung tätige CA ist die in der HZD angesiedelte HessenPKI. Ihr „Fingerabdruck“ geht zurück auf die CA des BSI.

Wie in den meisten PKIs wird auch in Hessen eine bestimmte Art von Zertifikaten verwendet, die sog. S/MIME-Zertifikate. Es gibt auch andere Arten von Zertifikaten, die jedoch nicht dieselbe Verbreitung finden. Wenn Sie mit einem Gegenüber verschlüsselt kommunizieren möchten, muss Ihr Gegenüber ebenfalls ein S/MIME-Zertifikat besitzen. Mit anderen Zertifikaten (z.B. openPGP oder GPG) ist S/MIME nicht kompatibel.

Die E-Mail-Verschlüsselung ist ein wichtiger Schritt in Richtung sichere Kommunikation. Es sollte zur Selbstverständlichkeit werden, wichtige E-Mails zu verschlüsseln, damit Vertrauliches auch vertraulich bleibt.

Schlagworte zum Thema