128-Bit-Verschlüsselung: längst nicht mehr sicher

Die Verschlüsselungsstärke wird heute üblicherweise in Bit gemessen, beispielsweise 128-Bit-Verschlüsselung. Gemeint ist damit die Länge des Schlüssels. Doch damit wird nur ein Teil der relevanten Fakten beschrieben, nämlich wie viele Versuche maximal nötig sind, um bei einer Brute-Force-Attacke den Schlüssel garantiert zu knacken.

Andere Faktoren sind jedoch die Rechenzeit pro Versuch, die je nach Algorithmus stark unterschiedlich ist, und vor allem kryptoanalytische Verfahren, die die Länge des Schlüssels faktisch reduzieren.

Zwei Verschlüsselungsmethoden müssen grundsätzlich unterschieden werden – symmetrische und asymmetrische Algorithmen. Symmetrische Algorithmen verwenden zum Ver- und Entschlüsseln denselben Schlüssel. Das ist in vielen Szenarien nicht praktikabel.

Im E-Mail-Verkehr beispielsweise müsste man mit jedem einzelnen Teilnehmer einen Schlüssel ausmachen, den man zum Austausch von E-Mails verwendet. Dieser Schlüssel sollte bei einem persönlichen Treffen vereinbart werden, um sicherzustellen, dass kein anderer davon Kenntnis nimmt. Auf keinen Fall dürfte der Schlüssel per E-Mail ausgetauscht werden. Hinzu kommt, dass sich beide Teilnehmer darauf verlassen müssen, dass der Schlüssel nicht absichtlich oder versehentlich anderen in die Hände fällt.

Asymmetrische Verfahren verwenden zwei Schlüssel, einen zum Verschlüsseln und einen zum Entschlüsseln. Ersterer wird Public-Key genannt, letzterer Private-Key. Der Public-Key kann jedem mitgeteilt werden. Man bittet einfach seinen Kommunikationspartner, jede Nachricht mit diesem Schlüssel zu verschlüsseln. Mit dem Private-Key, den man niemandem mitteilt, lässt sich die Nachricht wieder entschlüsseln.

So weit die Theorie. In der Praxis sieht es so aus, dass asymmetrische Verfahren, beispielsweise RSA, mindestens das tausendfache an Rechenzeit benötigen wie gleichwertige symmetrische Verfahren, etwa AES.

Rechenzeit ist bei der Verschlüsselung ein wichtiges Thema. Einmal angenommen, ein Algorithmus verbraucht ein Prozent Rechenzeit einer CPU. Das ist natürlich nicht viel, jedenfalls von einem Client aus betrachtet, der beispielsweise eine Webseite per HTTPS abruft. Ein Server mit gleicher Rechenleistung, der 100 Clients simultan bedient, benötigt jedoch 100 Prozent seiner CPU-Leistung nur für die Verschlüsselung.

In einer Verbindung wie HTTPS ist es nach dem Stand der heutigen Technik gar nicht möglich, alle Daten asymmetrisch zu verschlüsseln. Jeder Webserver wäre sofort überlastet. Man bedient sich daher eines Tricks. Beim Verbindungsaufbau tauschen die Rechner mittels asymmetrischer Verschlüsselung nur den Schlüssel eines symmetrischen Algorithmus aus, der mit einem Zufallsgenerator erzeugt wird. Dieser Schlüssel gilt für die Dauer der Verbindung. Die eigentlichen Nutzdaten werden mittels eines symmetrischen Verfahrens verschlüsselt.

Für dieses zweistufige Modell gibt es standardisierte Protokolle, welche die Verschlüsselungsalgorithmen aushandeln und den Austausch des symmetrischen Schlüssels regeln. Das bekannteste Protokoll ist SSL, das mittlerweile offiziell TLS heißt. Meist verwendet man jedoch weiterhin den Begriff SSL.

SSL ist also mitnichten ein Verschlüsselungsalgorithmus. Der wird erst ausgehandelt. Als asymmetrischer Algorithmus wird heute meist RSA, DSA oder Diffie-Hellmann verwendet. Beim symmetrischen verwendet man RC4, Triple-DES, AES oder Camellia. RC2, IDEA und DES werden aus Sicherheitsgründen nicht mehr verwendet.