9.8     Verschlüsselung

Bei der Verschlüsselung wird eine Datei, die zuvor beispielsweise einen lesbaren Inhalt (Texte) oder einen verständlich darstellbaren Inhalt (Bilder) hatte, in eine nicht verständliche Repräsentation überführt. Dies kann auch mit anderen Dateien wie beispielsweise Programmdateien durchgeführt werden, die nach der Verschlüsselung nicht mehr ausführbar sind. Mit der Verschlüsselung wird erreicht, dass Dritte keinen Zugriff auf Inhalt oder Funktion einer Datei haben. Für die Rückführung in die Ausgangsrepräsentation muss die Datei entschlüsselt werden (siehe Kapitel 9.2). Die Verfahren zur Verschlüsselung einer Datei sind entweder asymmetrisch oder symmetrisch.

Asymmetrische Verschlüsselung

Bei der asymmetrischen Verschlüsselung wird ein Schlüsselpaar benötigt. Es besteht aus einem privaten, geheimen und einem öffentlichen Schlüssel. Der private Schlüssel wird nie herausgegeben, den öffentlichen Schlüssel erhalten alle Geschäftspartner. Die Geschäfts­partner tauschen also untereinander ihre öffentlichen Schlüssel aus. Soll nun eine Datei vor der Übertragung verschlüsselt werden, so wird sie mit dem öffentlichen Schlüssel des Geschäftspartners verschlüsselt, an den die Datei gesendet werden soll. Nur dieser Empfänger ist in der Lage, mit seinem privaten, geheimen Schlüssel die Datei wieder zu entschlüsseln.

·     Vorteil: da nur der Empfänger mit dem privaten Schlüssel Dateien entschlüsseln kann, kann der öffentliche Schlüssel gefahrlos an die Empfänger geschickt werden.

·     Nachteil: Die asymmetrischen Verschlüsselungsverfahren sind deutlich zeitintensiver, da das Verfahren (der Algorithmus) aufwendiger ist.

Symmetrische Verschlüsselung

Bei der symmetrischen Verschlüsselung wird mit einem einzigen Schlüssel verschlüsselt und entschlüsselt.

·     Vorteil: Dieses Verfahren ist sehr viel schneller als das asymmetrische Verfahren.

·     Nachteil: Wenn der symmetrische Schlüssel verschickt wird und dabei abgefangen wird, kann jeder die damit verschlüsselte Nachricht entschlüsseln und beispielsweise verändern und erneut verschlüsseln.

Bei der Verschlüsselung mit Passwort wird die symmetrische Verschlüsselung angewendet. Der zum Ver- und Entschlüsseln benötigte Schlüssel ist das verwendete Passwort.

Hybrides Verschlüsselungsverfahren

Der von Governikus DATA Boreum zur Ver- und Entschlüsselung mit Zertifikat verwendete Standard beinhaltet beide Verfahren. Die zu verschlüsselnde Datei wird zunächst mit der schnellen symmetrischen Verschlüsselung verschlüsselt. Den dafür notwendigen symme­trischen Schlüssel erstellt Governikus DATA Boreum dazu selbstständig. Für jede zu verschlüsselnde Datei wird ein neuer Schlüssel generiert. Dieser symmetrische Schlüssel wird wiederum mit dem öffentlichen Schlüssel des Empfängers verschlüsselt und der symmetrische Schlüssel der verschlüsselten Datei beigefügt. Der Empfänger kommt mit seinem privaten Schlüssel und seiner PIN an den symmetrischen Schlüssel und kann somit die Datei entschlüsseln. Soll eine Datei durch mehrere Empfänger entschlüsselt werden können, wird einfach der symmetrische Schlüssel mehrfach, jeweils mit den verschiedenen öffentlichen Schlüsseln verschlüsselt, hinzugefügt. Als Benutzer merken Sie von diesem zweistufigen Verfahren nichts.

Hinweis

Hinweis: Für die Verschlüsselung benutzt DATA Boreum immer die Ciphersuite AES-256-GCM. 

Das BSI (siehe technische Richtlinie BSI TR-3116-4) und die IETF (siehe RFC 7525) empfehlen AES-256-GCM für die symmetrische Verschlüsselung und SHA256 als Digest Algorithmus und stufen diese Ciphersuite als sicher ein.