Sicher einkaufen bei Amazon.
Ich hatte diese Reihe während der Semesterferien ausgesetzt, die letzte Folge liegt also schon mehrere Monate zurück. Da ist es wohl angezeigt, noch einmal kurz zu rekapitulieren, um was es eigentlich geht.
In der Kryptographie geht es um die Verschlüsselung von Daten. Während das in der Vergangenheit eigentlich nur Militär und Diplomatie, aber kaum das Alltagsleben betraf, ist seit dem Aufkommen des Internet die Kryptographie von eminenter Bedeutung.
Ein typisches Beispiel: wenn man bei Amazon (oder irgendeinem anderen Online-Kaufhaus) etwas bestellt, muß man die Kreditkartennummer eingeben und diese soll dann über das (nicht abhörsichere) Netz übertragen werden. Es ist also wichtig, daß die Nummer gar nicht erst unverschlüsselt in das Netz gelangt. Das bedeutet, die Verschlüsselung muß automatisch schon bei Eingabe der Nummer in die Tastatur erfolgen, noch im Computer bevor die Nummer in das Netz gelangt.
Das heißt natürlich auch, daß die Verschlüsselung erfolgt, ohne das man als Nutzer dies überhaupt bemerkt und ohne das man dafür irgend etwas tun muß.
Die Verschlüsselung der Datenübertragung zu Online-Kaufhäusern erfolgt durch eine Kombination zweier Verfahren.
Für die eigentliche Verschlüsselung der Kreditkartennummer und der anderen Kundendaten wird das symmetrische AES-Verfahren verwendet. Dieses Verfahren gilt als absolut sicher, wenn der Schlüssel geheimbleibt. Der Schlüssel muß aber natürlich auch erst übertragen werden; dafür verwendet man das asymmetrische RSA-Verfahren.
Das RSA-Verfahren beruht auf der Unmöglichkeit einer effektiven Primzahlzerlegung. Wenn man als Kunde eine Online-Verbindung zu einem Online-Kaufhaus herstellt, werden vom Computer des Kaufhauses zufällig zwei große Primzahlen erzeugt. Mit Hilfe dieser beiden Primzahlen wird (siehe Teil 3) ein geheimer Schlüssel und ein öffentlicher Schlüssel erzeugt. Anschließend sendet der Kaufhaus-Computer den öffentlichen Schlüssel und das Produkt der beiden Primzahlen an den Kundencomputer. Der Kaufhauscomputer behält den geheimen Schlüssel (und das Produkt der beiden Primzahlen, die Primzahlen selbst werden “vernichtet”).
Mit diesem öffentlichen Schlüssel erfolgt jetzt (ebenfalls automatisch ohne Zutun des Kunden) der Schlüsselaustausch zwischen Kundencomputer und Kaufhauscomputer. Und mit den ausgetauschten Schlüsseln wiederum läuft das AES-Verfahren, das dann die eigentlichen Daten (Kreditkartennummer etc.) verschlüsselt.
Die Kombination von asymmetrischem Schlüsselaustausch mit RSA und symmetrischer Verschlüsselung mit AES gilt als absolut sicher. Natürlich hilft alle Übertragungs-Sicherheit aber nicht, wenn man auf eine phishing-Seite wie diese hereinfällt.
(Die SZ hatte im Juli einen Bericht über DNS-Adressen, die von phishing-Seiten manipuliert werden können. Inzwischen ist das Problem aber behoben. Tipps gegen Phishing hatte vor einigen Wochen auch SpOn.)
Man macht sich natürlich auch schon Gedanken für die Zeit, wenn Schlüsselaustausch mit RSA vielleicht nicht mehr die erforderliche Sicherheit bietet. Eine andere Methode für den asymmetrischen Schlüsselaustausch, die in Zukunft an Bedeutung gewinnen wird, ist die Kryptographie mit elliptischen Kurven, um die es in den nächsten Folgen gehen wird.
Kommentare (1)