Andreas Kohlbach <
a...@spamfence.net>:
>On Thu, 11 Nov 2021 22:49:25 +0100, Helmut Waitzmann wrote:
>>
>> Andreas Kohlbach <
a...@spamfence.net>:
>>>On Tue, 09 Nov 2021 10:42:18 +0100, Helmut Waitzmann wrote:
>>>
>> [E‐Mail‐Verschlüsselung und ‐Digitalunterschrift mit einem
>> automatisierten System ohne Zutun des Anwenders bereitzustellen,
>> krankt an der Verletzlichkeit gegenüber einem
>> Man‐in‐the‐Middle‐Angriff und ist deshalb keine gute Idee.]
>>
>>> Aber ein automatisiertes System ist IMO der einzige Weg,
>>> technophobe User zum Verschlüsseln zu bringen.
>>
>> Solche Anwender sind weniger technophob sondern eher
>> mathematische Analphabeten.
>
>Okay. Beide Begriffe fallen in diesem Bezug aber IMO in dieselbe
>Kategorie.
Finde ich nicht. Digital natives würde ich nicht als technophob
bezeichnen. Trotzdem werden viele von ihnen E‐Mails nicht
eigenhändig mit Public‐Key‐Kryptografie verschlüsseln und
unterschreiben wollen.
Public‐Key‐Kryptografie stützt sich auf wenige Voraussetzungen, die
man verstanden haben sollte, wenn man sie nutzen möchte:
(1)
Es geht immer um Schlüsselpaare. Ein jeder Schlüssel in so einem
Paar erlaubt es, eine gewisse mathematische Abbildung – die
Verschlüsselung oder Entschlüsselung – vorzunehmen. Bildlich
ausgedrückt: Man dreht die zu verschlüsselnden Daten zusammen mit
dem Schlüssel als Gewürz durch einen Fleischwolf. Heraus kommen die
Daten in gewürzter (= verschlüsselter) Form. Im Gegensatz zur Küche
ist das Gewürz so stark, dass aus den gewürzten Daten das Original
nicht mehr zu erkennen ist.
Dabei passen die beiden Schlüssel eines Paares so zusammen, dass die
mit ihnen berechenbaren Abbildungen die Umkehrungen von einander
sind: Was man mit dem einen Schlüssel verschlüsselt, kann man mit
dem anderen wieder entschlüsseln. Und das funktioniert sogar in
beide Richtungen: Seien Schlüssel 1 und Schlüssel 2 die beiden
Schlüssel eines Schlüsselpaares. Dann kann man einen Text mit dem
Schlüssel 1 verschlüsseln und danach mit dem Schlüssel 2 wieder
entschlüsseln. Und man kann einen Text mit dem Schlüssel 2
verschlüsseln und danach mit dem Schlüssel 1 wieder entschlüsseln.
(Dabei kommt, wenn man einen Text mit dem Schlüssel 1 verschlüsselt,
etwas anderes dabei heraus, als dann, wenn man ihn mit dem Schlüssel
2 verschlüsselt.)
Bildlich ausgedrückt: Die beiden Gewürze des Gewürzpaares passen
folgendermaßen zusammen: Wenn ich Daten mit dem einen Gewürz durch
den Fleischwolf drehe und das, was dabei herauskommt, zusammen mit
dem anderen Gewürz nochmal durch den Fleischwolf drehe, dann erhalte
ich (auf wundersame Weise) wieder das ungewürzte Original. Das
funktioniert auch, wenn ich jeweils beide Gewürze vertausche, also
zuerst mit dem anderen und dann mit dem einen Gewürz würze. (Dabei
kommt, wenn ich die Daten mit dem einen Gewürz durch den Fleischwolf
drehe, etwas anderes heraus, als dann, wenn ich die Daten mit dem
anderen Gewürz durch den Fleischwolf drehe.)
(2)
Obwohl der Schlüssel 2 genau zum Schlüssel 1 passt (und umgekehrt),
kann man den einen Schlüssel nicht aus dem anderen berechnen.
Dieses Nichtberechnenkönnen ist sehr wichtig, weil man in der
Anwendung des Verschlüsselungsverfahrens (s. u.) den einen von
beiden Schlüsseln bei sich geheim halten und den anderen
veröffentlichen will.
Dass man Verschlüsselungsverfahren so entwickeln kann, dass man den
einen Schlüssel eines Paares nicht aus dem anderen berechnen kann,
obwohl jeweils der eine die Umkehrrechnung des anderen ermöglicht,
ist durchaus erstaunlich.
Ein Gegenbeispiel soll das verdeutlichen: Beispielsweise passt beim
Caesar‐Verschlüsselungsverfahren
(<
https://de.wikipedia.org/wiki/Caesar-Verschl%C3%BCsselung#top>)
zum Verschlüsselungsschlüssel «jeder Buchstabe im Alphabet wird
durch seinen Nachfolger ersetzt (das A durch das B, das B durch das
C… das Y durch das Z und das Z durch das A)» der
Entschlüsselungsschlüssel «jeder Buchstabe im Alphabet wird durch
seinen Vorgänger ersetzt (das A durch das Z, das B durch das A… das
Z durch das Y)». Hier ist es ein leichtes, aus dem
Verschlüsselungsschlüssel den passenden Entschlüsselungsschlüssel zu
berechnen: Man braucht nur die Verschieberichtung des Alphabets
umzukehren. Es ist also unmöglich, beim
Caesar‐Verschlüsselungsverfahren einen von beiden Schlüsseln geheim
zu halten, wenn man den anderen veröffentlicht.
(3)
Es ist praktisch unmöglich, einen mit dem Schlüssel 1
verschlüsselten Text zu entschlüsseln, wenn man den Schlüssel 2
nicht hat. Dasselbe gilt, wenn man einen Text mit Schlüssel 2
verschlüsselt und versucht, ihn ohne Schlüssel 1 zu entschlüsseln.
Bildlich ausgedrückt: Es ist praktisch unmöglich, Daten, die man
mit dem einen Gewürz durch den Fleischwolf gedreht hat, wieder zu
entwürzen, ohne das andere Gewürz aus dem Gewürzpaar zur Verfügung
zu haben.
Weil man den einen Schlüssel eines Schlüsselpaares nicht aus dem
anderen berechnen kann, braucht man ein Verfahren, mit dem man beide
Schlüssel gleichzeitig zusammen «erfindet». Und solche Verfahren
gibt es.
(4)
Wenn man nun einen Schlüssel des Paares geheim halten und den
anderen veröffentlichen will, folgt daraus, dass derjenige, bei dem
der geheime Schlüssel bleiben soll, so ein Verfahren am besten
selber anwendet. Wenn er das Schlüsselpaar statt dessen von jemand
anderem erzeugen lässt, ist bei der späteren Verwendung des
Schlüsselpaares die Vertraulichkeit nur dann gewahrt, wenn dieser
jemand andere den geheimen Schlüssel weder selber missbraucht noch
ihn anderen in die Hände fallen lässt.
Verschlüsselungsverfahren und Schlüsselpaare so zu entwickeln, dass
sie die aufgezählten Eigenschaften haben, ist Mathematik und
Kryptologie.
Der Anwender braucht für das Verständnis der Public‐Key‐Kryptografie
aber kein Kryptologe zu sein, wenn er sich nicht weiter hineinknien
möchte – für ihn genügt es, die geforderten Eigenschaften zu
verstehen. Das meine ich mit dem Begriff «kein mathematischer
Analphabet zu sein».
Jetzt kann man sich typische Anwendungsfälle ansehen, die
funktionieren, weil die Verschlüsselungsverfahren und die
Schlüsselpaare die geforderten Eigenschaften haben:
Alice beschafft sich (beispielsweise automatisch mit Hilfe ihres
Mailer‐Programms) ein Schlüsselpaar mit den Schlüsseln A1 und A2,
die die oben angeführten Eigenschaften haben. Den Schlüssel A1 hält
sie geheim; Kopien des Schlüssels A2 gibt sie allen ihren
Kommunikationspartnern (oder einfach der ganzen Welt).
Ebenso beschafft sich Bob ein Schlüsselpaar mit den Schlüsseln B1
und B2 und verfährt entsprechend.
Wenn Alice eine Kopie des Schlüssels B2 hat, kann sie damit eine
Nachricht verschlüsseln und Bob per E‐Mail schicken oder im Usenet
posten oder in einer Tageszeitung abdrucken lassen oder auf
Plakatwänden veröffentlichen. Wenn Bob seinen Schlüssel B1 geheim
hält, ist er der einzige, der die Nachricht entschlüsseln kann:
Wegen der Eigenschaft (3) kann niemand den Text ohne den Schlüssel
B1 entschlüsseln. Wegen der Eigenschaft (2) kann sich niemand den
Schlüssel B1 selber aus dem Schlüssel B2 herstellen.
Beobachtungen: Damit Alice eine Nachricht verfassen kann, die nur
Bob entschlüsseln kann, braucht es ein Schlüsselpaar, dessen
geheimer Schlüssel bei Bob ist und dessen öffentlicher Schlüssel bei
Alice ist:
Wenn der geheime Schlüssel (außer bei Bob noch) bei jemand anderem
ist, kann dieser jemand andere mitlesen.
(5)
Wenn der öffentliche Schlüssel nicht bei Alice ist, sondern Alice
einen anderen öffentlichen Schlüssel für Bob's hält, verschlüsselt
Alice die Nachricht nicht für Bob sondern für den, dem der andere
öffentliche Schlüssel gehört. (Das ist beim
Man‐in‐the‐Middle‐Angriff der Fall.) Und der kann dann die
Nachricht, wenn er sie abhört, entschlüsseln.
=> Voraussetzungen, damit die Nachricht vertraulich bleibt: Niemand
außer Bob darf den Schlüssel B1 haben. Alice muss den Schlüssel B2
haben und ihn für die Verschlüsselung von Nachrichten an Bob
benutzen.
>>> Das die Sicherheit nicht optimal ist
>>>
>>
>> Du hast aber schon verstanden, dass bei einem
>> Man‐in‐the‐Middle‐Angriff die Sicherheit nicht nur nicht optimal
>> ist, sondern schlichtweg vollständig zerstört ist?
>
>Ich kann auch im Beispiel einer automatisierten Methode keinen
>Man-in-the-Middle-Angriff erkennen.
Was ist dir bei
Subject: E-Mail-Verschluesselung und -Signierung ohne Zutun des
Anwenders? (was: [Lösung Subjectwechsel]) From: Helmut Waitzmann
<
nn.th...@xoxy.net> Newsgroups:
de.comm.software.mozilla.mailnews, de.comp.security.misc
Followup-To: de.comp.security.misc Date: Mon, 25 Oct 2021
21:59:41 +0200 Message-ID:
<
83tuh4c1...@helmutwaitzmann.news.arcor.de>
nicht verständlich?
Dass eine automatisierte Methode die Mitwirkung der E‐Mail‐Provider
des Nachrichten‐Senders und des Nachrichten‐Empfängers erfordert,
wurde ja inzwischen in der Diskussion festgehalten. Des weiteren
kam dabei heraus, dass der Systemadministrator jedes beteiligten
E‐Mail‐Providers die Möglichkeit hat, Nachrichten abzufangen und
unter den Tisch fallen zu lassen oder zu verändern und verändert
weiterzuschicken oder sich neue selber auszudenken und im Namen
jedes beliebigen seiner Kunden weiterzuschicken. Wenn er diese
Möglichkeiten nutzt, um gleich zu Anfang, wenn eine automatisierte
Methode eine (scheinbar) sichere Kommunikation aufbaut,
dazwischenzufunken, kann er zum Man in the Middle werden und die
Kommunikation vollständig unter seine Kontrolle bringen, ohne dass
die Kommunikationspartner etwas davon merken.
>Der Unterschied zwischen "selbst PGP machen" und einer
>automatisierten Methode liegt IMO darin, seine Keys vom Anbieter
>(statt selbst lokal) erzeugt zu haben.
Das berührt den Punkt (4) von oben. Das ist aber nicht der ganze
Unterschied. Ein weiterer ist, dass man die Zertifizierung der
Schlüssel der Kommunikationspartner nicht mehr selber vornimmt
sondern das den Anbietern der Kommunikationspartner überlässt. Das
berührt den Punkt (5) von oben.
>Man muss dazu diesem Anbieter
>
nicht nur diesem Anbieter sondern auch den Anbietern der
Kommunikationspartner
>(statt nur sich selbst) voll und ganz vertrauen.
>
>
>Ohne kann man immer Man-in-the-Middle-Angriffen ausgesetzt sein.
>
Egal, ob man dem eigenen E‐Mail‐Anbieter und den E‐Mail‐Anbietern
der Kommunikationspartner vertraut oder nicht: Wenn die
E‐Mail‐Anbieter die Schlüsselpaare für die Anwender erzeugen, können
sie die Punkte (4) und (5) von oben verletzen und einen
Man‐in‐the‐Middle‐Angriff fahren.
Wem das als Anwender nicht passt, der muss seine Schlüssel selber
erzeugen und die seiner Kommunikationspartner selber zertifizieren.
Erst dann haben Man‐in‐the‐Middle‐Angriffe keine Chance.
Seine eigenen Schlüssel selber zu erzeugen, ist einfach: Wie
beschrieben, können das Mailer‐Programme sogar ohne Zutun des
Anwenders automatisch tun.
Schwieriger ist das Zertifizieren des Schlüssels des
Kommunikationspartners, also die Zuordnung eines Schlüssels zu einem
Kommunikationspartner, weil der Schlüssel dabei unverfälscht vom
Kommunikationspartner zum Anwender kommen muss. Die klassische
Methode ist, den Kommunikationspartner zu treffen und sich den
Schlüssel (oder dessen Fingerprint) geben zu lassen oder – sofern
bereits vorhanden – das Web of Trust zu nutzen.
>Das Vertrauen in einen externen Anbieter scheint mir das kleinere
>Übel zu sein.
Ich sage nur «Yahoo».
>>> muss vom User akzeptiert werden.
>>>
>>
>> Das sage bitte denen ins Gesicht, die Opfer eines
>> Man‐in‐the‐Middle‐Angriffs geworden sind, weil sie auf den
>> Werbeslogan «Geht ganz automatisch ohne Zutun des Anwenders!
>> Kein Web of Trust und kein Austausch von Fingerprints nötig!»
>> hereingefallen sind.
>>
>> Hast du jetzt wenigstens verstanden, dass zum Aufbau einer abhör‐
>> und fälschungssicheren Kommunikation per E‐Mail zwischen zwei
>> Partnern (mit je einem Nachrichtenkanal in jeder Richtung) von
>> vorne herein beide Kanäle abhör‐ oder beide Kanäle
>> fälschungssicher sein müssen oder in einer Richtung ein abhör‐
>> und fälschungssicherer Kanal vorhanden sein muss? Wenn zwischen
>> den beiden Kommunikationspartnern (wenigstens) eine dieser
>> Möglichkeiten vorhanden ist, dann können beide Partner daraus
>> mittels Public‐Key‐Kryptografie in beide Richtungen je einen
>> abhör‐ und fälschungssicheren Nachrichtenkanal erstellen.
>> Billiger kriegt man es nicht hin.
>
>Eine automatisierte Methode (alles von einem Anbieter einrichten zu
>lassen) bietet diese Funktion.
Nein: Wenn sich die von OpenPGP gesicherten Nachrichtenkanäle nur
auf den Weg vom E‐Mail‐Anbieter der Anwenderin bis zum
E‐Mail‐Anbieter des Kommunikationspartners erstrecken statt von der
Anwenderin zum Kommunikationspartner, können sich die
Administratoren der E‐Mail‐Anbieter zum Man in the Middle machen.
>Wie erwähnt, muss man dem Anbieter aber dabei unbedingt vertrauen.
>
Man muss allen beteiligten Anbietern, nicht nur dem eigenen,
vertrauen.
>Also angenommen Du und ich würden einen entsprechenden
>(automatisierten) Dienst beim Versenden und Empfangen von E-Mails
>über ein Web-Interface nutzen, können diese nicht abgehört werden.
Egal, ob Web‐Interface oder sonst wie: Die beteiligten
E‐Mail‐Provider können Man‐in‐the‐Middle‐Angriffe fahren.
>IMO ist eine automatisierte Methode (in der der Nutzer dem Anbieter
>kein volles Vertrauen schenkt) besser, als seine Kommunikation gar
>nicht zu verschlüsseln.
Ein Anwender, der sich auf eine automatisierte Methode seines
Anbieters verlässt, schenkt den beteiligten Anbietern damit
automatisch volles Vertrauen, denn er kann ihnen nicht auf die
Finger schauen. Also gibt es keine automatisierte Methode des
Anbieters, in der der Anwender dem Anbieter kein volles Vertrauen
schenkt.
Ob das besser ist, als überhaupt nicht zu verschlüsseln, mag auf den
Einzelfall ankommen. Auf jeden Fall ist es gefährlich, für die
Benutzung einer provider‐gestützten automatisierten Methode zu
werben oder nach einer solchen zu rufen, ohne den Adressaten der
Werbung zu erklären, wo dabei die Gefahr des Totalverlusts der
Vertraulichkeit und der Fälschungssicherheit lauert.
Und wenn man den Adressaten der Werbung die Gefahr so gut erklärt
hat, dass sie sie verstanden haben – dazu müssen sie insbesondere
die Punkte (1) bis (5) von oben verstanden haben –, dann braucht man
die provider‐gestützte automatisierte Methode nicht mehr, weil die
Adressaten dann in der Lage sind, in Beachtung der Punkte (1) bis
(5), unterstützt von ihrem Mailer‐Programm, die Schlüssel für die
Public‐Key‐Kryptografie selber zu verwalten.