In den bisherigen Kapiteln dieses Buches wurde das enorme Wachstum des Internet im allgemeinen und des WWW im besonderen mehrmals erwähnt. Ebenfalls erwähnt wurden die großen Schwächen des Internet in bezug auf Sicherheit und Datenschutz. In diesem Kapitel greifen wir diese Problematik auf und untersuchen verschiedene Lösungen.
In dem Augenblick, in dem Sie sich an Ihrem EinfuehrungComputer an einen anderen Computer anschließen, setzen Sie Ihre Daten gewissen Risiken aus. Dabei spielt es keine Rolle, wie die Verbindung zustande kam, z. B. über ein lokales Netzwerk (LAN) oder eine Wählverbindung über einen Internet-Provider. Ihre Daten könnten geklaut oder zerstört werden. Ihre Übertragungen könnten abgefangen, manipuliert und fehlgeleitet werden.
Sicherheit ist im Internet so gut wie nicht vorhanden. Früher oder später sind alle Internet-Benutzer der einen oder anderen Attacke ausgesetzt. Das kann ein Hacker sein, der Daten zum Spaß abfängt, manipuliert oder sonst etwas damit anstellt. Das können böswillige Eindringlinge sein, die Daten gezielt abfangen, um bestimmte Zwecke zu verfolgen. Das können je nach Land aber auch Behörden sein, denen die durch das Internet gewonnene Freiheit ihrer Bürger nicht gefällt.
Fast jeder Computer, der mehrere Benutzer unterstützt, ist in gewissem Umfang durch einen Anmeldenamen und ein Paßwort geschützt. Diese Vorgehensweise erfüllt zwei Funktionen. Erstens können die Benutzer auf bestimmte Funktionen eingeschränkt werden. Zweitens kann sichergestellt werden, daß nur autorisierte Benutzer Zugang zum System haben.
Paßwörter bilden für die meisten Internet-Sites den Passwoerterwichtigsten und manchmal einzigen Schutzwall gegen illegale Zugriffe. Leider sind sich die meisten Benutzer der Bedeutung von Paßwörtern nicht bewußt und wählen leicht entzifferbare Wörter. Im Idealfall setzt sich ein Paßwort aus Buchstaben, Zahlen, Satzzeichen und Symbolen zusammen. Ein Eindringling rechnet damit, daß die meisten Paßwörter Kombinationen aus den Benutzernamen, übliche Bezeichnungen oder gar nur das Wort »Paßwort« sind.
Wie kommt ein Eindringling an einen Benutzernamen und das Paßwort? Sie glauben gar nicht, wie einfach das ist. In jedem Artikel an eine UseNet-Newsgruppe ist der Name und die Internet-Adresse des Absenders enthalten. Auf Passwoerterdieser Grundlage ist das Erraten des Paßworts für einen geübten Hacker nicht einmal abendfüllend. Ein Hacker kann dabei die Rechenleistung seines eigenen Computers nutzen. Er läßt eine Liste mit häufig benutzten Paßwörtern durchlaufen, während er nebenan in der Kneipe ein Bierchen trinkt, in der Hoffnung, es möge schon ein Treffer dabeisein.
Die Betriebssysteme von Internet-Hosts haben ein Root- oder Supervisor-Account, das auf jede Datei und jedes Programm im System zugreifen kann. Dieses »Super-Account« ist das Ziel der meisten Hacker. Neue Computer werden mit einem Vorgabenamen und einem Paßwort ausgeliefert, die für jede Installation gleich sind. Viele Benutzer und sogar Systemverwalter kümmert das nicht. Sie ändern die Vorgaben oft erst Tage nach der Installation.Jedes System, das den Zugriff über Paßwörter erlaubt, muß diese Paßwörter irgendwo speichern. Die Paßwortdatei ist normalerweise nach einer bestimmten Methode verschlüsselt. Wenn Sie sich anmelden und Ihr Paßwort eingeben, wird das Paßwort entschlüsselt und mit dem in der Paßwortdatei befindlichen Eintrag verglichen. Hacker wissen das natürlich und versuchen, die Paßwortdateien abzugreifen. Dann setzen sie sich hin und versuchen mit den verschiedenen bekannten Methoden, die Paßwörter zu entschlüsseln. Dafür geeignete Programme sind leicht erhältlich.
Eine andere Angriffsmethode, die Hacker gerne anwenden, basiert auf der Tatsache, daß sich die meisten Benutzer ihr Paßwort aufschreiben. Wenn Ihr Paßwort zum Internet z. B. »BLxj63JRB« lautet, liegt die Wahrscheinlichkeit nahe, daß Sie sich diese Hieroglyphe aufschreiben, weil man sich so etwas kaum merken kann. Natürlich notiert man das auf einem gelben Haftzettel und pickt ihn an den Monitor. Professionelle Hacker verschaffen sich durch die eine oder andere Art Zugang zu Firmen und sammeln die niedlichen Zettel im Vorbeigehen ein.
Eventuell erhalten Sie einen Telefonanruf von einem vermeintlichen Mitarbeiter Ihres Internet-Providers mit der Ankündigung, man habe letzte Nacht eine Hackerattacke bemerkt und müsse alle Accounts überprüfen. Sie sollten doch bitte so nett sein, und Ihr Paßwort nennen. Geben Sie auf keinen Fall Ihr Paßwort preis! Schon gar nicht am Telefon! Außerdem: Kein Internet-Provider würde seine Kunden am Telefon oder sonstwie nach dem Paßwort fragen.
Heute werden mehr Daten geklaut als Autos der begehrten Marken. Wie Sie aus früheren Kapiteln wissen, werden alle Daten, die im Internet oder in Intranets (Firmennetzen) übertragen werden, in Pakete gestellt und mit der Adresse des Senders und des Empfängers versehen. In einem Intranet hängt der Weg, den die Datenpakete dabei zurücklegen, von der Netzkonfiguration und verschiedenen Vorkehrungen des Systemverwalters ab. Im Internet kümmert sich keiner darum. Die Datenpakete müssen mehrere Gateways überqueren, bis sie ihr Ziel erreichen.
Allein die Tatsache, daß die Pakete adressiert sind, bedeutet noch lange nicht, daß sie nicht auf dem Weg an ihr Ziel abgefangen werden können. Sie haben nicht einmal die Möglichkeit festzustellen, ob das von Ihnen gesendete Datenpaket angekommen ist. Sie können natürlich den Empfänger anrufen und ihn fragen. Überhaupt nicht feststellen können Sie, ob das Datenpaket auf seiner Reise nicht geschnappt, manipuliert oder gelesen und weiterbefördert wurde. Das gilt natürlich auch in umgekehrter Richtung.
Windows 95 ist (endlich) ein Betriebssystem für den PC mit echtem Multitasking. In der Task-Liste erscheint, welche Programme gerade laufen. Es gibt aber Programme, die in der Task-Liste nicht erscheinen, trotzdem aber aktiv sind – und wie! Ein solches Programm erfaßt alles, was Sie am PC machen, z. B. Tastatureingaben, Mausklicks, Änderungen in einer Datei, Zugriff auf das Modem usw. Windows 95 zeichnet fleißig alle Ereignisse auf. Die Ereignisse werden in eine Warteschlange gestellt und an die laufenden Programme geschickt. Auf die gleiche Weise, wie Windows 95 das fertigbringt, kann das natürlich auch ein Programm, das sich ein Hacker ausgedacht hat. Um etwas von seiner Arbeit zu haben, sorgt er für die Verteilung seines Programms, holt die erfaßten Daten ein und macht sich auf die Suche nach brauchbarem Material.
Ganz clevere Hacker haben diese Programmart weiter ausgebaut. Sie können mit ihrem Programm Ereignisse erfassen, ohne daß das Programm laufen muß. Es kann beispielsweise die Datenströme über Modems abfangen und alle ein- und ausgehenden Aktivitäten protokollieren.
Um diese und ähnliche Sicherheitslücken einigermaßen abzudichten, haben viele Netzverwalter Firewalls auf ihren Systemen installiert. Ein Firewall ist eine Möglichkeit der Abschottung verschiedener Systemteile. Mit einem Firewall kann der Zugriff auf das Netzwerk oder zwischen vernetzten Computern eingeschränkt werden. In manchen Netzwerken ist ein bestimmtes Gateway mit einem Firewall installiert, durch das der gesamte Netzverkehr fließen muß, bevor er an die jeweiligen Empfänger verteilt wird.
Die einfachen Firewalls blockieren den gesamten eingehenden TCP-Verkehr mit Ausnahme von Mail und FTP. Diese beiden Dienste werden an einen dedizierten Host weitergeleitet. Andere Filter blockieren auch Steuerdaten, die nicht von sicheren Quellen stammen.
In der Regel hat ein Netzverwalter alle erforderlichen Werkzeuge zur Hand, um Sicherheitsvorkehrungen zu treffen. Leider bleiben oft unerkannte Lücken in diesem Sicherheitsschutz, weil Router und andere Netzkomponenten nicht richtig konfiguriert werden. Wird ein Router beispielsweise so konfiguriert, daß alle eingehenden Verbindungen im Bereich privilegierter Ports (0-1023) blockiert werden, erhält ein Eindringling problemlos Zugang zu allen Ports ab 1024. Über diese Hintertür kann er einen Telnet-Daemon auf einen der höheren Ports aufsetzen und die von inetd verwalteten Internet-Dienste neu initialisieren.
Firewalls haben den großen Nachteil, daß sie sehr kostspielig sind. Firewall-Implementierungen können aus einer Kombination von Hard- und Software bestehen, deren Installation Tausende von Mark kosten kann. Dazu kommen noch erhebliche Verwaltungskosten. Doch auch ein Unternehmen, das bereit ist, in die beste heute verfügbare Firewall-Implementierung zu investieren, ist nicht vor Eindringlingen sicher. Hundertprozentige Sicherheit ist nur gewährleistet, wenn man den Internet-Anschluß abschaltet.
Ein Eindringling, der über einen gültigen Regeln fuer PasswoerterBenutzernamen und das richtige Paßwort verfügt, kann auch durch die beste Schutzmethode nicht abgewehrt werden. Wie wir weiter oben schon gesehen haben, entstehen allein aufgrund der Tatsache, daß jeder Benutzer ein eigenes Paßwort hat, Schwachpunkte für alle Arten von Attacken. Beim Definieren von Paßwörtern sollten folgende Grundregeln beachtet werden:
Einige Systeme, besonders in Großunternehmen, sind mit Programmen ausgestattet, die dem Benutzer bei der richtigen Wahl eines Paßworts behilflich sind. Manche Systeme lehnen automatisch Paßwörter ab, die bestimmte vorgegebene Kriterien nicht erfüllen. Im allgemeinen werden durch solche Programme Paßwörter vorgeschlagen, die an sich absolut bedeutungslos sind, die man sich aber dennoch gut merken kann.
Aus den bisherigen Ausführungen geht hervor, daß Paßwörter das schwächste Glied in der Schutzkette sind. Diese Schwäche kann teilweise dadurch abgebaut werden, daß man »Wegwerfpaßwörter« verwendet. Das bedeutet, daß jeder Benutzer beim Aufbau einer Internet-Verbindung ein bestimmtes Paßwort benutzt, aber nur das eine Mal. Dieses Paßwortsystem kann über die Hardware, durch die Software oder durch eine Kombination davon realisiert werden.
Hardwareseitig werden verschiedene Produkte angeboten, z. B. von Security Dynamics, Digital Pathways und Enigma Logic. Bei diesen Systemen besitzt jeder Benutzer ein Gerät, das etwa die Größe einer Kreditkarte hat und mit einem LED-Display ausgestattet ist. Meldet sich ein Benutzer am Host an, muß er seine PIN (Personal Identification Number) eingeben. Die Nummer wird auf dem Display angezeigt. Nach einer Anmeldung wird dieses Paßwort ungültig und kann nicht mehr verwendet werden. Geht die Karte verloren oder wird sie gestohlen, kann der Finder bzw. der Dieb mit der Karte nur etwas anfangen, wenn er sich die PIN beschafft.
Softwareseitig gibt es verschiedene Methoden für einmalige Paßwörter, z. B. das Programm S-Key. Meldet sich ein Benutzer am Host an, stellt der Host eine Anforderung in Form einer Zeichenkette aus Buchstaben und Zahlen. Der Benutzer gibt diese Zeichenkette ein, dann zeigt das Programm eine Antwort auf die Anforderung in Form einer Zeichenkette an, die der Benutzer an den Host zurücksenden kann. Wird die Anforderung nicht richtig beantwortet, baut der Host die Verbindung selbsttätig ab.
Sie lesen das alles vielleicht interessiert, denken sich aber insgeheim, daß Sie nicht davon betroffen sind. Weit gefehlt! Und wenn Sie nur ab und zu am Internet hängen, um eine interessante Web-Page zu lesen, kann das schon Folgen für Sie haben. In Abbildung 40.1 sehen Sie eine Nachricht, die von einem Internet-Host an alle Benutzer gesendet wurde, um sie vor Hackern zu warnen, die sich am Mailsystem zu schaffen machen.
Abbildung 40.1: Diese Nachricht wurde von einem Internet-Provider als Warnung an alle Benutzer gesendet
Abgesehen davon, daß ein Hacker mit den abgefangenen Daten etwas anstellt, benutzt er vielleicht Ihren Benutzernamen und Ihr Paßwort für seine Web-Sitzungen. Das bedeutet, daß Sie für ihn mitbezahlen. Ist er ganz unverschämt, bestellt er vielleicht mehr oder weniger teure Artikel in einem Online-Store auf Ihre Rechnung. Kritisch wird es für Sie, wenn er die Nummer Ihrer Kreditkarte abfängt, die Sie nichtsahnend bei einem Online-Kauf angegeben haben.
Selbstverständlich werden große Bemühungen angestellt, die Sicherheit im Internet zu erhöhen, besonders auf seiten der Online-Dienste, die Internet-Zugang bieten. Leider hat es sich bisher erwiesen, daß ein Hacker eine Sicherheitslücke entdeckt, sobald eine andere geschlossen wurde.
Eines sollten Sie sich zur Regel machen: Geben Sie niemals im Internet oder am Telefon Ihre Kreditkartennummer weiter!
Haben Sie einen Internet-Anschluß, sind Sie in Kontakt mit der phantastischen, aber auch riskanten Welt des Internet. Wie Sie die zahlreichen Internet-Dienste benutzen, wurde in anderen Kapiteln bereits beschrieben. Wir betrachten diese Dienste in diesem Kapitel nur aus Sicht der Sicherheitsrisiken.
Halten Sie diese Dienste nicht für Einbahnstraßen. Falls Sie auf einem eigenen Computer einen Internet-Knoten eingerichtet haben und anderen Benutzern Zugang zu diesen Diensten über Ihren Computer gewähren, scheint die Welt der Sicherheit in Ordnung zu sein. Sie fordern Daten von anderen ab, während andere von Ihnen nur die Daten erhalten, die Sie ihnen bewußt zusenden. Auch das täuscht! Sie müssen sich darüber im klaren sein, daß Sie Ihren Computer dem Rest der Welt öffnen.
Das WWW ist derzeit der beliebteste Dienst im Internet. Geschaffen werden diese phantastischen Pages vorwiegend mit HTML (HyperText Markup Language), und genau da greift ein anderes Sicherheitsrisiko. Windows-Browser sind heute in der Lage, Dateien zu lesen und zu beschreiben, Anwendungen zu starten und sogar eine DOS-Sitzung im Hintergrund auszuführen.
Im Windows 95 ist Microsoft Internet Explorer enthalten. Dieser Browser enthält unter Optionen im Register Sicherheit zahlreiche Funktionen, die Sie einstellen können, um Ihre Ausflüge im Cyberspace sicherer auszulegen.
Der Netscape Navigator enthält ebenfalls einige Sicherheitsoptionen, die Sie individuell einstellen können. In beiden Browsern sind Menüoptionen vorhanden, über die Sie direkt an die jeweiligen Hersteller-Sites gelangen, wo Sie Informationen über Sicherheitsfragen einholen können.
FTP wird von den meisten Benutzern verwendet, um Dateien herunterzuladen. Das birgt ganz spezifische Risiken. Jede ausführbare Datei, die Sie von einer FTP-Site herunterladen, könnte potentiell einen Virus enthalten oder sich auf unerwünschte Weise auf Ihrem Computer selbständig machen. Die renommierten Sites stellen zwar sicher, daß sie keine infizierten Dateien anbieten, aber hundertprozentig sollte man sich nicht darauf verlassen. Sie sollten auf jeden Fall mit einem eigenen Antivirus-Programm die Dateien überprüfen (siehe Kapitel 41).
Manche FTP-Sites sind natürlich riskanter als andere. Außerdem besteht auch bei diesem Dienst die Möglichkeit, daß sich irgendwo ein »Mittelsmann« auf der Datenautobahn herumtreibt und Daten abfängt.
Von Gopher-Sites können ebenfalls Dateien heruntergeladen werden. Das bedeutet, daß auch hier Virengefahr besteht. Auch Hacker können auf diesen Übertragungsstrecken ihr Unwesen treiben. Im Grunde müssen Sie die gleichen Schutzmaßnahmen treffen wie bei den anderen Internet-Diensten.
Beim Telnet-Dienst besteht das größte Risiko, wenn man selbst Telnet-Zugriff auf seinen Computer gewährt. Über Telnet kann sich ein entfernter Benutzer an Ihrer Seite anmelden und arbeiten wie an seiner eigenen Konsole. Das ist eine bei Hackern besonders beliebte Methode, sich an fremden Rechnern anzumelden.
Wenn Sie Telnet benutzen, um sich auf einen entfernten Rechner aufzuschalten, könnte sich ein Sicherheitsrisiko durch ein Programm ergeben, das auf Ihrem Computer Eingaben und Ereignisse aufzeichnet, oder daß Ihre Internet-Pakete von einem Dritten abgefangen werden. Von besonderem Interesse für Hacker wären beispielsweise Ihre Anmeldedaten, weil sie damit unter Ihrem Namen mit dem richtigen Paßwort im Internet ihr Unwesen treiben können.
E-Mail ist der Internet-Dienst, mit dem sich Hacker besonders gerne beschäftigen. E-Mail kann unter Umständen leckere Sachen enthalten, z. B. Nummern von Kreditkarten oder vertrauliche Daten von Personen und Firmen usw. Die meisten Hostrechner sind mit einem bestimmten Maß an Sicherheit ausgestattet, so daß nur Sie lesen können, was in Ihren Maildateien vorhanden ist. In manchen Firmen hat auch der Systemverwalter Zugang zu der Benutzermail. Darüber hinaus kann in der Regel niemand zugreifen. Wie wir aber schon gesehen haben, werden Anmeldenamen und Paßwörter geklaut, so daß kein Datenschutz besteht.
Ich nehme an, Sie wissen von den Möglichkeiten, Telefongespräche mitzuhören, und daß sie auch wirklich genutzt werden (nicht nur von Beamten!). Diese Risiken betreffen besonders die so heiß geliebten Handys, weil sie über Funk- oder Satellitennetze laufen. Im Grunde kann jeder mit ein bißchen Geschick jedes Gespräch abhören.
Die gleichen Risiken bestehen auch in der Kommunikation zwischen Computern. Wie Pakete im Internet versendet werden, wurde bereits ausgeführt. Es gibt aber noch andere Wege, sich unrechtmäßig an die Daten anderer Leute heranzumachen.
Mit einem Gerät, mit dem man eine Sprachkommunikation abhört, kann man auch eine Datenkommunikation über ein Modem abhören. Beide Kommunikationsformen laufen über das gute alte Telefonnetz. Der Unterschied besteht lediglich darin, daß beim Telefongespräch analoge und bei der Modemübertragung digitale Daten befördert werden. Beide Signale können mit Leichtigkeit abgehört und mitgeschnitten werden.
Leidet jemand, der seine Daten mit allen verfügbaren Mitteln schützen will, an Verfolgungswahn? Ich möchte das bezweifeln. Im Gegenteil, meiner Meinung nach sollten alle Benutzer darauf ausgerichtet sein, optimalen Datenschutz zu realisieren. Das würde auch das Internet sicherer machen. Schließlich gibt es im Internet keine Behörde, die unsere Angelegenheiten regelt. Was wir als Benutzergemeinde (immerhin unzählige Millionen) auf die Beine stellen, hat eine große Wirkung.
In den folgenden Abschnitten werden ein paar Methoden vorgestellt, mit denen sicherheitsbewußte Anwender Ihre Systeme schützen können.
Eine Methode ist die Verschlüsselung. Sie blickt auf Verschluesselungeine lange bewegte Geschichte zurück. Die Kunst der Kryptographie wurde historisch von vier Gruppen geprägt – den Militärs, den Diplomaten, den Tagebuchschreibern und den Verliebten. Das Militär ist die Gruppe, die diese Wissenschaft am meisten geprägt hat.
Vor dem Anbruch des Computerzeitalters war der eigentliche Maßstab für die Kryptographie die Fähigkeit des Funkers, die notwendigen Umwandlungen durchzuführen – und das oft mitten auf dem Schlachtfeld und mit sehr dürftiger Ausrüstung. Ein weiteres Problem war die schnelle Umstellung von einer kryptographischen Methode auf eine andere, weil dann viele Leute umgeschult werden mußten. Da jedoch die Gefahr bestand, daß ein Funker dem Feind in die Hände fiel, mußte die kryptographische Methode bei Bedarf sofort umgestellt werden können.
Die zu verschlüsselnden Nachrichten, auch Klartext genannt, werden durch eine Funktion umgewandelt, die von einem Schlüssel parametriert wird. Der Chiffretext ist dann das Ergebnis, das übertragen wird. Nehmen wir an, ein Eindringling fängt den vollständigen Chiffretext ab. Im Gegensatz zum eigentlichen Empfänger kennt er den Schlüssel nicht und kann daher den Chiffretext nicht ohne weiteres entschlüsseln. Es gibt aber auch Eindringlinge, die den Kommunikationskanal nicht nur abhören, sondern Nachrichten auch aufzeichnen und später nochmals abspielen, eigene Nachrichten einspielen oder die Nachricht verändern, bevor sie beim Empfänger ankommt. Die Kunst des Aufbrechens einer Chiffre heißt Kryptoanalyse. Das Entwerfen von Chiffren und das Aufbrechen derselben (Kryptoanalyse) nennt man zusammen Kryptologie.
Aus Sicht des Kryptoanalytikers gibt es drei Varianten Chiffrierschluesselder Kryptoanalyse. Wenn er einen Chiffretext zur Verfügung hat, aber keinen Klartext dazu, nennt er sein Problem Nur Chiffretext. Dazu zählen die Kryptogramme in der Rätselspalte von Zeitungen. Hat der Kryptoanalytiker einen Chiffretext und den dazugehörigen Klartext, ist das der bekannte Klartext. Schließlich gibt es noch die Möglichkeit, daß er Teile eines Klartextes eigener Wahl verschlüsseln kann. Das ist der gewählte Klartext.
Neulinge auf diesem Gebiet glauben oft, daß eine Chiffre sicher ist. Diese Annahme ist sehr naiv. In vielen Fällen kann der Eindringling bestimmte Teile des Klartextes einfach erraten. Mit einigen passenden Klartext/Chiffretext-Paaren ausgerüstet, ist sein Job einfach. Um echte Sicherheit zu garantieren, muß man auf Nummer Sicher gehen und das System so auslegen, daß es auch dann nicht aufgebrochen werden kann, wenn der Eindringling beliebige Mengen von gewähltem Klartext verschlüsseln kann.
Im Januar 1977 übernahm die US-Regierung eine von IBM entwickelte Produktchiffre als offizielle Norm für nichtgeheime Nachrichten. Dies wiederum hat viele Hersteller dazu bewegt, den DES (Data Encryption Standard) in Sicherheitsprodukten zu implementieren. Er ist in seiner ursprünglichen Form heute nicht mehr sicher, in einer modifizierten Version aber noch nützlich.
Die Schlüsselverteilung ist bei den meisten Oeffentliche SchluesselChiffriersystemen seit jeher das schwächste Glied. Wenn ein Eindringling den Schlüssel stehlen kann, wird das System wertlos, gleichgültig, wie gut es ist. Da alle Kryptologen immer als Selbstverständlichkeit annehmen, daß der Schlüssel zum Ver- und Entschlüsseln gleich ist (oder leicht von einen abgeleitet werden kann) und der Schlüssel an alle Benutzer des Systems verteilt werden muß, ist ein Problem vorprogrammiert: Schlüssel müssen gegen Diebstahl gesichert, aber auch verteilt werden. Man kann sie nicht in einem Banksafe wegschließen.
1976 schlugen zwei Wissenschaftler der Stanford-Universität ein völlig anderes Kryptosystem vor, bei dem sich die Schlüssel für die Ver- und Entschlüsselung unterscheiden. Der zweite konnte nicht vom ersten abgeleitet werden. Bei dieser Methode muß der (mit Schlüssel versehene) Verschlüsselungsalgorithmus und der (ebenfalls mit Schlüssel versehene) Entschlüsselungsalgorithmus bestimmte Anforderungen erfüllen.
Die Methode mit öffentlichen Schlüsseln setzt voraus, daß jeder Benutzer zwei Schlüssel hat: einen öffentlichen (zum Verschlüsseln) und einen privaten (zum Entschlüsseln).
Der Nachteil dabei ist, daß man Algorithmen finden muß, um die Anforderungen erfüllen. Aufgrund der erheblichen Vorteile der Kryptographie mit öffentlichen Schlüsseln sind viele Wissenschaftler eifrig bei der Arbeit. Einige Algorithmen wurden bereits veröffentlicht. Eine gute Methode wurde von einer Arbeitsgruppe am MIT entdeckt. Sie wird nach den Anfangsbuchstaben der drei Entwickler (Rivest, Shamir, Adleman) mit RSA bezeichnet. Die Methode basiert auf einigen Prinzipien der Zahlentheorie.
PGP (Pretty Good Privacy) ist das geistige Produkt einer einzelnen Person, Phil Zimmermann. Es handelt sich um ein komplettes E-Mail-Sicherheitspaket, das Datenschutz, Authentifikation, digitale Unterschriften und Kompression in bedienungsfreundlicher Form bietet. Des weiteren umfaßt das Komplettpaket den gesamten Quellcode und wird kostenlos im Internet, über Bulletin-Boards und in kommerziellen Netzen verteilt. Aufgrund der Qualität, des Preises (Shareware) und der Verfügbarkeit für MS-DOS/Windows, UNIX und Macintosh wird es heute häufig eingesetzt. Eine kommerzielle Version ist daneben für Firmen erhältlich, die technische Unterstützung wünschen.
PGP unterstützt Textkompression, Geheimhaltung und digitale Unterschriften und bietet umfangreiche Managementfunktionen. Sie können PGP (derzeit Version 2.6.2) von der Web-Site http://bs.mit.edu:8001/pgp-form.html herunterladen.
Wählen Sie an der genannten Web-Site die Datei PGP262.ZIP. Dann entpacken Sie die ZIP-Datei. PGP262.ZIP enthält zwei weitere ZIP-Dateien sowie die Textdatei SETUP.DOC. Lesen Sie diese Datei. Sie enthält Installationsanweisungen und wichtige Informationen für alle unterstützten Plattformen. Das eigentliche PGP-Programm befindet sich in der Datei PGP262I.ZIP.
Das war eine kurze Vorstellung von PGP für MS-DOS. Wenn Sie mit der DOS-Welt überhaupt nichts am Hut haben wollen, gibt es Abhilfe. Die Programmversion für Windows wird im nächsten Abschnitt beschrieben.
WinPGP ist die Programmversion für Windows 95, die derzeit als Datei PGPW41.ZIP von ftp://ftp.coast.net/SimTel/win3/security/ heruntergeladen werden kann.
Entpacken Sie die ZIP-Datei. Das ZIP-Archiv enthält ein Setup-Programm. Klicken Sie auf Ausführen im Startmenü. Wählen Sie den Dateinamen WINPGP41 und klicken Sie auf OK.
Das Programm wird im Vorgabeordner oder aber in dem Ordner installiert, den Sie eingeben. Wählen Sie für WinPGP eine Programmgruppe. Nach der Installation präsentiert sich das Programm nur noch in Windows-Manier (siehe Abbildung 40.2).
Abbildung 40.2: Das Hauptfenster von WinPGP
Als erste Aufgabe erzeugen Sie Ihren privaten und öffentlichen Schlüssel. Klicken Sie auf die Schaltfläche Key Management und wählen Sie Create Keys im Dialogfenster. WinPGP führt das Programm mit den entsprechenden Parametern in einem DOS-Fenster aus. Folgen Sie den Anweisungen am Bildschirm.
Um Schlüssel zu erzeugen, müssen Sie ein Paßwort eingeben. Dieses Paßwort ist Ihr privater Schlüssel, den Sie absolut niemandem geben sollten.Speichern Sie Ihren Schlüssel in einer Datei. Klicken Sie wieder auf Key Management und wählen Sie diesmal Extract a Key from Your Key Ring. Wählen Sie den Schlüssel, den Sie herausziehen wollen, und den Namen einer Datei für den Schlüssel. Die Vorgabeerweiterung ist PGP.
Sendet Ihnen jemanden seine Schlüssel, fügen Sie ihn in den öffentlichen Schlüsselring ein. Dazu klicken Sie auf die Schaltfläche Key Management und wählen Sie Add Key (Public or Private) to Key[ring]. Wählen Sie den Namen der Datei, die den Schlüssel enthält, dann wählen Sie einen Schlüsselring. Die Vorgabe ist der Schlüsselring Public.
Möchten Sie eine kodierte Nachricht versenden, schreiben Sie zuerst Ihre Nachricht im gewünschten Programm.
WinPGP hat Buttons zum Starten von Write oder Notepad.Klicken Sie auf die Schaltfläche Encrypt und wählen Sie die Verschlüsselungsart. Die verschiedenen Arten werden in der Dokumentation erklärt. Geben Sie in den entsprechenden Feldern den Dateinamen und den Namen des Empfängers ein. Alternativ können Sie auch eine Schlüsselliste in Ihrem öffentlichen Schlüsselring durchsuchen und auf den Namen des Empfängers klicken.
Klicken Sie auf OK, dann wird PGP in einem DOS-Fenster gestartet. Sie werden zur Eingabe Ihres Paßworts aufgefordert, dann wird die Nachricht in einer Datei mit der Erweiterung PGP verschlüsselt. Diese Datei kann vom Empfänger nur mit seinem Privatschlüssel entziffert werden. Nicht einmal Sie selbst könnten die Nachricht wieder entschlüsseln.
Wenn Sie eine in PGP verschlüsselte Nachricht erhalten, verfahren Sie in der umgekehrten Reihenfolge. Speichern Sie die Nachricht mit der Erweiterung PGP ab. Starten Sie WinPGP und klicken Sie auf die Schaltfläche Decrypt. Geben Sie den Dateinamen ein. PGP wird in einem DOS-Fenster gestartet. Geben Sie im Prompt Ihr Paßwort ein. Anschließend wird die Datei entschlüsselt und im Klartext in einer Datei ausgegeben. Schließen Sie das DOS-Fenster, um in WinPGP zurückzukehren.
WinPGP bietet viele weitere Funktionen. Sie sollten unbedingt die Hilfedateien lesen, bevor Sie das Programm benutzen und Optionen ändern. In Abbildung 40.3 sehen Sie eine mit PGP verschlüsselte Nachricht vor dem Entschlüsseln in Word für Windows 95.
Abbildung 40.3: Beispiel einer mit PGP verschlüsselten Nachricht
WinPGP ist ein Shareware-Programm. Sie können es also vor der Registrierung benutzen. Allerdings erscheinen hier und da Hinweise, daß es sich um eine nichtregistrierte Kopie handelt.In den ersten zwei Jahrzehnten ihrer Existenz wurden Rechnernetze vorwiegend von Universitäten für E-Mail und von Großunternehmen für die gemeinsame Nutzung von Ressourcen benutzt. Unter diesen Bedingungen wurde dem Faktor Sicherheit wenig Aufmerksamkeit gewidmet. Inzwischen haben Millionen »Normalbürger« Zugang zu Netzen, z. B. für Banktransaktionen, elektronisches Shopping und Banking, Einreichen von Steuererklärungen usw., vom Surfen im Web ganz zu schweigen. In dieser Umgebung ist Datensicherheit eines der größten Probleme.
Die meisten Sicherheitsprobleme werden absichtlich und böswillig verursacht. Netzsicherheit bedeutet, daß man cleverer sein muß als die vielen Hacker, die meist intelligent, engagiert und gut ausgestattet sind. Hier sind die besten Programmierer und alle Leuchten an den Hochschulen dieser Welt noch auf lange Sicht gefordert, kreativ und erfinderisch zu sein, um den Hackern immer um eine Nasenlänge voraus zu bleiben.
In diesem Kapitel wurde versucht, Sie auf die Sicherheitsrisiken im Internet aufmerksam zu machen und herauszustellen, in welcher Weise Sie einen Beitrag zu mehr Sicherheit im Internet leisten können. Falls Sie Zugang auf ein Unternehmensnetz haben, lassen Sie sich von Ihrem System- bzw. Netzverwalter aufklären, was Sie als einzelner tun können. Vor allem sollte er Sie dabei unterstützen, an Ihrer Workstation die Netzkonfiguration optimal auf Sicherheit auszulegen.
⌐ 1997 Que
