In der heutigen Welt muss Cybersicherheit mehr denn je sehr ernst genommen werden, um alle (unter)vernetzten Vermögenswerte zu schützen. In diesem Artikel erörtern wir das Prinzip der asymmetrischen Kryptographie, die die einzige Möglichkeit ist, Authentizität, Integrität und Vertraulichkeit in Ihren Abläufen zu gewährleisten.
Vor über 2.000 Jahren schützte Cäsar seine militärischen Nachrichten, indem er sie verschlüsselte. Wäre es heute so einfach?
Heutzutage fügt Kryptographie eine zusätzliche Sicherheitsebene hinzu. Symmetrische Kryptographie, auch wenn sie bis zu einem gewissen Punkt Vertraulichkeit gewährleistet, reicht nicht aus, um die Authentizität und Integrität der Kommunikation zu gewährleisten. Wie kann asymmetrische Kryptographie diese Gleichung lösen?
Nehmen wir ein Beispiel und bestimmen Alice und Bob als die beiden Personen, die eine vertrauliche Nachricht austauschen möchten. Jeder hat einen öffentlichen Schlüssel und den dazugehörigen privaten Schlüssel. Eine Nachricht, die mit einem öffentlichen Schlüssel verschlüsselt wurde, kann nur mit dem entsprechenden privaten (geheimen) Schlüssel entschlüsselt werden. Eine Nachricht, die mit einem privaten Schlüssel verschlüsselt wurde, kann nur mit dem entsprechenden öffentlichen Schlüssel entschlüsselt werden (wir werden später in diesem Artikel sehen, warum).
In der oben beschriebenen Situation verschlüsselt Alice, die eine Nachricht an Bob senden möchte, diese mit Bobs öffentlichem Schlüssel. In diesem Fall kann nur Bob sie mit seinem eigenen geheimen Schlüssel entschlüsseln. Damit wurde dem Bedürfnis nach Vertraulichkeit entsprochen.
Aber wie kann Bob sicher sein, dass es Alice war, die ihm die Nachricht geschickt hat? Wie kann er sicher sein, dass die Nachricht unterwegs nicht verändert wurde? Um diese Frage zu beantworten, verwendet Alice auch einen Signaturmechanismus. Alle diese Konzepte (Verschlüsselung, Signatur) sind Teil der asymmetrischen Kryptographie.
Bevor wir über die Signatur sprechen, müssen wir das Konzept der "Hash-Funktion" einführen. Eine "Hash-Funktion" ist eine "Mühle", die einen Text in eine Signatur (auch Fingerabdruck genannt) umwandelt. Diese "Mühle" hat 5 Eigenschaften:
"MD5" und "SHA" sind zwei bekannte Hash-Funktionen. Bei MD5 wird beispielsweise der Text "Ewon: Leading IIoT for 20 years" in die Kette von 32 Zeichen umgewandelt: "5b184c5cafcad9ef410afbcb0fab5518". Zum Vergleich: Der gesamte Inhalt der gesamten Wikipedia würde auch eine (völlig andere) Kette von 32 Zeichen ergeben.
Kehren wir zu unserem Beispiel zurück: Um ein Dokument zu signieren, generiert Alice zunächst den Fingerabdruck des Dokuments mit einer Hash-Funktion (wie https://www.md5hashgenerator.com/ oder einer anderen, die Sie im Internet finden können. Dann verschlüsselt sie diesen Fingerabdruck mit ihrem privaten Schlüssel. Sie erhält eine Unterschrift auf ihrem Dokument, die sie zusammen mit dem Originaldokument an Bob senden kann.
Bob entschlüsselt dann die Signatur mit Alices öffentlichem Schlüssel. Wenn das nicht funktioniert, liegt das daran, dass das Dokument nicht von Alice gesendet wurde (die die einzige ist, die im Besitz des privaten Schlüssels ist). Wenn das funktioniert, kann er sicher sein, dass es Alice war, die die Nachricht unterschrieben hat. Er erhält daher einen ersten Fingerabdruck des Dokuments.
Sobald dieser Schritt abgeschlossen ist, generiert Bob den Fingerabdruck des Originals des Dokuments, das er auch erhalten hat, und verwendet dabei die gleiche Hash-Funktion wie Alice. Wenn beide Fingerabdrücke identisch sind, ist er sich absolut sicher, dass das Dokument zwischen dem Zeitpunkt, an dem Alice es gesendet hat, und dem Zeitpunkt, an dem er es erhalten hat, nicht verändert wurde.
Das ist alles schön und gut, aber es gibt vielleicht noch ein letztes Problem: Wie kann Alice sicher sein, dass sie Bobs öffentlichen Schlüssel verwendet, wenn sie eine Nachricht verschlüsselt? In der Tat, wenn ein Hacker (nennen wir ihn Eve) ein Schlüsselpaar (privat/öffentlich) erstellen und es an Alice weitergeben würde, um sie glauben zu lassen, dass es sich um Bobs Schlüssel handelt, würde Alice die Nachrichten weiterhin verschlüsseln und an Bob weitergeben. In diesem Fall konnte nur Eve die Nachrichten entschlüsseln und lesen...
Alice muss daher in der Lage sein, Bob zu authentifizieren, bevor sie dessen öffentlichen Schlüssel verwendet. Zu diesem Zweck kann Bob seinen öffentlichen Schlüssel von einer Zertifizierungsstelle (Certification Authority, CA) erkennen lassen, wodurch sichergestellt wird, dass er tatsächlich der Besitzer dieses öffentlichen Schlüssels ist. Diese Zusicherung erfolgt in Form eines Zertifikats, das die Zertifizierungsstelle Bob zur Verfügung stellt. Dieses Zertifikat enthält Informationen, die Bob und seinen öffentlichen Schlüssel identifizieren. Es wird wiederum von der Zertifizierungsstelle signiert, um seine Legitimität zu gewährleisten.
Alice kann sich dann an diese Behörde wenden, um eine Bestätigung zu erhalten, dass der öffentliche Schlüssel, den sie verwendet, tatsächlich von Bob stammt. Schwieriger geht's nicht!
Dieser Ansatz ist die Lösung für Caesars 2000 Jahre altes Problem. Dadurch können zwei Entitäten, die sich nicht kennen, ein Geheimnis austauschen, ohne sich auf einen Verschlüsselungs-/Entschlüsselungsschlüssel einigen zu müssen.