Verschlüsselungsverfahren

Definition

In der Kryptographie ist Verschlüsselung oder auch Encryption der Prozess, bei dem eine Nachricht oder Information so kodiert wird, dass nur autorisierte Parteien darauf zugreifen können. Dabei wandelt der Sender mithilfe eines privaten Schlüssels den originalen Text in einen sogenannten Ciphertext um. Nur wenn der Empfänger ebenfalls einen passenden Schlüssel hat, kann er den Ciphertext entschlüsseln. Bei der Datenverschlüsselung kommen verschiedene Verschlüsselungsverfahren zum Einsatz.

Schaubild, das zeigt, wie bei Verschlüsselung ein Text beim Sender in Ciphertext umgewandelt wird und durch Entschlüsseln beim Empfänger wieder zum originalen Text wird.

Verschlüsselungsverfahren & -Methoden

Symmetrische Verschlüsselungsverfahren

Bei Verfahren mit symmetrischem Schlüssel ist der Ver- und Entschlüsselungscode identisch. Für eine sichere Kommunikation müssen beide Parteien denselben Schlüssel haben.

Asymmetrische Verschlüsselungsarten

Bei asymmetrischer Verschlüsselung kommen zwei verschiedene Schlüssel zum Einsatz, einer zum Verschlüsseln und einer zum Entschlüsseln. Dabei kann der Kodierungscode zur Verschlüsselung der Nachrichten öffentlich sein. Jedoch hat nur der Empfänger Zugriff auf den Entschlüsselungscode, der das Lesen der Nachrichten ermöglicht. Die Verschlüsselung mit öffentlichem Schlüssel wurde erstmals 1973 in einem geheimen Dokument beschrieben. Davor basierten alle Verschlüsselungsverfahren auf einem symmetrischen Schlüssel (auch als privater Schlüssel bezeichnet).

Encryption-Algorithmen

Triple DES

Triple DES wurde entwickelt, um den ursprünglichen Data-Encryption-Standard-(DES)-Algorithmus zu ersetzen, den Hacker mit Leichtigkeit knacken konnten. Triple DES war einst der empfohlene Standard und der am häufigsten verwendete symmetrische Algorithmus in der Industrie.

Triple DES verwendet drei individuelle Schlüssel mit jeweils 56 Bit. Die Gesamtschlüssellänge beläuft sich auf 168 Bit, aber laut Experten beträgt die Schlüsselstärke etwa 112 Bit.

Auch wenn dieser Algorithmus langsam ausläuft, ist Triple DES immer noch eine zuverlässige Hardware-Verschlüsselungslösung für Finanzdienstleistungen und andere Branchen.

RSA

RSA ist ein Verschlüsselungsalgorithmus mit öffentlichem Schlüssel und der Standard für die Verschlüsselung von Daten, die über das Internet gesendet werden. Es ist auch eine der Methoden, die in PGP- und GPG-Programmen verwendet wird.

Im Gegensatz zu Triple DES wird RSA als asymmetrischer Verschlüsselungsalgorithmus betrachtet, da ein Schlüsselpaar verwendet wird. Der öffentliche Schlüssel wird für die Kodierung und ein privater Schlüssel für die Dekodierung der E-Mail eingesetzt. Es kostet Angreifer viel Zeit und Rechenleistung, um diesen Verschlüsselungscode zu knacken.

AES

Der Advanced Encryption Standard (AES) ist der Algorithmus, dem die US-Regierung und viele andere Organisationen vertrauen.

Obwohl er in der 128-Bit-Form äußerst effizient ist, verwendet AES auch 192 und 256 Bit-Schlüssel für eine besonders starke Verschlüsselung.

AES gilt als resistent gegen alle Angriffe, mit Ausnahme von Brute-Force-Angriffen, bei denen versucht wird, Nachrichten mit allen möglichen Kombinationen in der 128-, 192- oder 256-Bit-Verschlüsselung zu dekodieren. Dennoch glauben Sicherheitsexperten, dass AES in Zukunft der Standard für die Verschlüsselung von Daten im privaten Sektor werden wird.

Verschlüsselungsstandards

Im Zusammenhang mit der Kryptographie gibt es eine Reihe von Standards. Dies sind die Standards für Verschlüsselung:

  • Data Encryption Standard (jetzt veraltet)
  • Advanced Encryption Standard
  • RSA (der ursprüngliche Algorithmus mit öffentlichem Schlüssel)
  • Open PGP

Dateiverschlüsselung

Die Verschlüsselung auf Dateisystemebene, oft auch als Datei- und Ordnerverschlüsselung bezeichnet, ist eine Form der Festplattenverschlüsselung, bei der einzelne Dateien oder Verzeichnisse durch das Dateisystem selbst verschlüsselt werden.

Festplattenverschlüsselung

Bei der Festplattenverschlüsselung handelt es sich um eine Technologie, die Informationen schützt, indem sie diese in unlesbaren Code umwandelt, der von unautorisierten Benutzern nicht ohne weiteres entziffert werden kann. Bei der Festplattenverschlüsselung wird Software oder Hardware zur Verschlüsselung der Festplatte eingesetzt, um jedes Datenbit zu kodieren, das sich auf einer Festplatte oder einem Datenträger befindet.

E-mail-Verschlüsselung

Bei der E-Mail-Verschlüsselung soll der Inhalt der E-Mail davor geschützt werden, von anderen Entitäten als den vorgesehenen Empfängern gelesen zu werden. Die E-Mail-Verschlüsselung kann auch eine Authentifizierung umfassen. E-Mails sind nicht sicher und können sensible Informationen offenlegen deshalb sind gute E-Mail-Sicherheitspraktiken unverzichtbar. Die meisten E-Mails werden derzeit in klarer (nicht verschlüsselter) Form übertragen. Mit Hilfe verfügbarer Tools können auch nicht berechtigte Personen den Inhalt der E-Mail lesen. Die E-Mail-Verschlüsselung verwendet traditionell eines von zwei Protokollen, entweder TLS oder Ende-zu-Ende-Verschlüsselung. Innerhalb der Ende-zu-Ende-Verschlüsselung gibt es mehrere Optionen, darunter die Protokolle PGP und S/MIME.

Tipps für sicherescrea Verschlüsselungspraktiken

  1. Kennen Sie die Gesetze: Beim Schutz personenbezogener Daten müssen Organisationen viele sich überschneidende, datenschutzrechtliche Vorschriften einhalten. Zu den sechs wichtigsten Vorschriften gehören FERPA, HIPAA, HITECH, COPPA, PCI DSS, die DSGVO sowie länderspezifische Gesetze zur Meldung von Datenschutzverletzungen.
  2. Bewerten Sie die Daten: Eine Sicherheitsvorschrift im Rahmen des HIPAA verlangt nicht ausdrücklich eine Verschlüsselung, aber sie besagt, dass die Organisationen eine Datenrisikobewertung durchführen und eine Verschlüsselung implementieren sollten, wenn die Bewertung darauf hinweist, dass eine Verschlüsselung eine „angemessene und geeignete“ Sicherheitsvorkehrung wäre. Wenn eine Organisation beschließt, elektronisch geschützte Gesundheitsinformationen nicht zu verschlüsseln, muss die Institution diese Entscheidung dokumentieren und begründen und dann eine „gleichwertige alternative Maßnahme“ implementieren.
  3. Bestimmen Sie den erforderlichen Grad der Verschlüsselung: Das U.S. Gesundheitsministerium (HHS) wendet sich an das National Institute of Standards and Technology (NIST), um Empfehlungen für Verschlüsselungspraktiken zu erhalten. Sowohl das HHS als auch das NIST haben eine solide Dokumentation zur Einhaltung der Sicherheitsregeln des HIPAA erstellt. Die NIST-Sonderveröffentlichung 800-111 enthält einen umfassenden Ansatz zur Verschlüsselung auf Benutzergeräten. Kurz gefasst heißt es darin, dass Verschlüsselung dann eingesetzt werden muss, wenn auch nur die geringste Möglichkeit eines Risikos besteht. FIPS 140-2, das AES in seine Protokolle einbezieht, ist die ideale Wahl. FIPS 140-2 hilft Bildungseinrichtungen sicherzustellen, dass PII „für nicht autorisierte Personen unbrauchbar, unlesbar oder nicht entzifferbar gemacht werden“. Ein Gerät, das die Anforderungen von FIPS 140-2 erfüllt, verfügt über eine kryptografische Löschfunktion, die „die Verschlüsselung der Zieldaten unterstützt, indem sie die Bereinigung des Verschlüsselungscodes der Zieldaten ermöglicht, wobei nur der Chiffriertext auf dem Medium verbleibt, wodurch die Daten effektiv bereinigt werden“.
  4. Achten Sie auf sensible Datenübertragungen und Fernzugriffe: Die Verschlüsselung muss über Laptops und Backup-Laufwerke hinausgehen. Die Kommunikation oder das Senden von Daten über das Internet erfordert Transport Layer Security (TLS), ein Protokoll zur Übertragung von Daten über ein Netzwerk, und AES-Verschlüsselung. Wenn ein Mitarbeiter auf das lokale Netzwerk einer Institution zugreift, ist eine sichere VPN-Verbindung unerlässlich, wenn es sich um ePHI handelt. Bevor Schülerdateien zur Übertragung zwischen Systemen oder Büros auf ein physisches externes Gerät übertragen werden, muss das Gerät verschlüsselt sein und die Anforderungen von FIPS 140-2 erfüllen, um mögliche Datenschutzverletzungen zu vermeiden.
  5. Beachten Sie die Details im Kleingedruckten: Leider versäumen es viele Schulen, die Datenschutz- und Datensicherheitsrichtlinien von Drittanbietern mit der gebotenen Sorgfalt zu prüfen, und genehmigen versehentlich Datenerfassungs- und Datenauswertungspraktiken, die von Eltern/Schülern als inakzeptabel empfunden werden oder gegen FERPA verstoßen. Die Einhaltung gesetzlicher Vorschriften umfasst viel mehr als nur den Passwortschutz der Arbeitsplätze eines Büros. Sie erfordert den Einsatz von Verschlüsselung zum Schutz von ruhenden Daten, wenn diese auf Schulsystemen oder Wechseldatenträgern gespeichert werden. Denken Sie daran, dass ruhende Daten, die sich außerhalb der Firewall der Schule befinden, die Hauptursache für Sicherheitsverletzungen sind.