Papier: Sichere eMail für Webanwendungen

Seite 1 Seite 2 Seite 3 Seite 4

Inhaltsverzeichnis

1. Vorwort
2. Asymmetrische Verschlüsselung
3. Schwierigkeiten
3.1 X.509 versus PGP
3.2 Integration in Clientsoftware
3.3 Akzeptanz beim Anwender
3.4 Kein aktives Propagieren in der Politik
3.5 Behinderung der Arbeit von Geheimdiensten
4. Lösungsansätze für Webanwendungen
4.1 Feststellen einer Kompromittierung
4.2 Erweiterung von Webanwendungen
4.2.1 Erweiterung mit PGP
4.2.2 Erweiterung mit X.509 Zertifikaten
4.2.3 Softwarelösung in PHP
5. Schlußwort

 

1. Vorwort Inhalt

Wir alle kennen die Problematik. Im Prinzip würde sichere eMail bereits seit einigen Jahren funktionieren; sofern beide Benutzer jeweils ihre öffentlichen Schlüssel zur Verfügung stellen, könnte eine mit asymmetrischer Kryptographie geschützte Kommunikation ohne weiteres stattfinden. Leider ergeben sich in der Praxis handfeste Schwierigkeiten, die eine breite Anwendung von Kryphtographie verhindern.

Im Folgenden möchte ich einige dieser Probleme aufzeigen und Ihnen dann für den Teilbereich Webanwendungen, der meines Wissens nach noch nicht untersucht wurde, ein Konzept vorstellen, wie Sie Ihre Kunden in Ihrer Webanwendung sicher per eMail kontaktieren können.

2. Asymmetrische Verschlüsselung Inhalt

Verschlüsselung von eMail ist mit einigen Problemen aus Benutzerperspektive und in technischer Hinsicht verbunden. Grundsätzlich hat man in der vertraulichen Kommunikation mit zwei Basisproblemen zu kämpfen:

  • Inhalt der Kommunikation absichern („Verschlüsselung“)
  • Identität des Absenders garantieren („Signatur“)

Um die obigen Probleme zu lösen, benutzt man asymmetrische Verschlüsselung.

Ein asymmetrisches Kryptosystem ist ein Kryptosystem, bei dem jede der kommunizierenden Parteien ein Schlüsselpaar besitzt, das aus einem geheimen Teil (privater Schlüssel) und einem nicht geheimen Teil (öffentlicher Schlüssel) besteht. Der öffentliche Schlüssel ermöglicht es jedermann, Daten für den Inhaber des privaten Schlüssels zu verschlüsseln, dessen digitale Signaturen zu prüfen oder ihn zu authentifizieren. Der private Schlüssel ermöglicht es seinem Inhaber, mit dem öffentlichen Schlüssel verschlüsselte Daten zu entschlüsseln, digitale Signaturen zu erzeugen oder sich zu authentisieren. [Quelle]

Zusammengefaßt:

RSA Verschlüsselung

Verschlüsselung

RSA Signieren

Signatur

RSA Symmetrischer Key

symmetr. Key

  1. Um eine Nachricht zu verschlüsseln, verwendet man den oder die öffentlichen Schlüssel des oder der Adressaten.
  2. Um eine Nachricht zu signieren, verschlüsselt man den Hash der Nachricht mit dem eigenen privaten Schlüssel.

Leider arbeiten asymmetrische Verfahren sehr langsam. Es wird daher ein hybrides Verfahren eingesetzt, in dem über Asymmetrie nur ein Schlüssel für ein symmetrisches Verfahren (z.B. RC4) ausgehandelt wird. Die beschriebenen Vorgänge hier noch einmal als Grafiken.

Seite 1 Seite 2 Seite 3 Seite 4
Erstellt in Anonymity, Politik am 22. Mai 2009 um 19:27 Uhr.

Bislang keine Kommentare vorhanden.

Einen Kommentar hinterlassen