Verschlüsselung für Anfänger 2: PGP und Hashing

Wenn Sie verhindern wollen, dass die falschen Personen Zugriff auf eine E-Mail mit sensiblen Personendaten bekommen, ist Verschlüsselung unentbehrlich. Ein interessantes, aber komplexes Thema für diejenigen, für die es nicht zum Alltag gehört. Deshalb haben wir Ihnen bereits eine kurze Einführung gegeben (Verschlüsselung für Anfänger 1), in der wir symmetrische und asymmetrische Verschlüsselung näher betrachteten. In diesem Blog bekommen Sie Erläuterung zu zwei Bezeichnungen, die in diesem Kontext regelmäßig vorkommen: PGP und Hashing.


Verschlüsselung und PGP

E-Mail war lange Zeit nur für den Versand von Text geeignet - für den Versand von Bildern, Filmen oder verschlüsselten Nachrichten allerdings nicht. Die meisten E-Mail-Programme hatten auch keine gute Unterstützung für Verschlüsselung. Das erschwerte die Sicherung von Nachrichten zusätzlich. 

Mit der Einführung des Programms PGP (Pretty Good Privacy) um 1992 herum hat sich das geändert. Es bot nicht nur eine solide Technik für die asymmetrische Verschlüsselung von Nachrichten, sondern sorgte auch dafür, dass die verschlüsselten Nachrichten in eine E-Mail aufgenommen werden konnten. Sie können mit PGP E-Mails für gleich mehrere Personen verschlüsseln, Nachrichten mit digitalen Unterschriften und Bildern versehen sowie andere Dateien verschlüsseln.

In der Version von PGP für Betriebe befindet sich eine Art Hintertür: Sie können das Programm so einstellen, dass es jede Nachircht auch mit dem öffentlichen Schlüssel des Betriebes verschlüsselt. Kündigt ein Arbeitnehmer seinen Job, stirbt oder verliert er seinen Schlüssel, kann der Betrieb seine Nachrichten entschlüsseln und einsehen. Diese Konstruktion verhindert, dass wertvolle Daten verloren gehen.

PGP ist kostenlos und wird mit Quellcode verbreitet, daher kann es jeder auf seinem Computer installieren. Hierdurch entwickelte es sich schon bald zum Standard für die Sicherung von E-Mail und ist wahrscheinlich das bekannteste Verschlüsslungsprogramm der Welt. Es gibt ein weltweites Netzwerk aus Keyservern, auf denen Personen ihre öffentlichen Schlüssel anbieten können und die öffentlichen Schlüssel Dritter abrufen können. Auf diese Weise ist es immer möglich, eine Nachricht mit dem richtigen öffentlichen Schlüssel sicher zu verschicken.


Hashing

Des Weiteren gibt es noch Hashing. Das ist eigentlich keine Verschlüsselung, sondern ein Algorithmus, der Daten so mischt, dass es nicht mehr möglich ist, die Originaldaten zu sehen. Bei Verschlüsselung ist es möglich, Daten auch wieder lesbar zu machen, bei Hashing ist dies jedoch nicht der Fall. Sobald es unlesbar geworden ist, bleibt dies auch so.

Hashing ist ein Prozess mit drei Teilen: der Eingabe (einem Passwort), dem Algorithmus (einer mathematischen Formel) und dem Ergebnis (dem Hash). Das System kennt den Algorithmus und den Hashwert. Bei jeder neuen Eingabe vergleicht das System das Ergebnis mit dem Original. Stimmen das Original und das Ergebnis überein, liegen ihnen dieselben Daten zugrunde.

Die wichtigste Anwendung von Hashing ist der Schutz von Passwörtern. Geben Sie ein Passwort auf ihrem Computer ein, hasht das System das Passwort. Passt das Ergebnis zum bereits gespeicherten Ergebnis, bekommen Sie Zugriff.

Zur Illustration: Bobs Passwort ist ‚0l1fant’. Nach Hashing ist dies ‚$2a$04$o1K5mF8j.cj4rnzNuTD.Neaf8PpfbHVWt1oabbVIc5j/GDBaFPXfa’. Der Computer vergleicht dieses Hash mit dem Hash, das er gespeichert hat, als das Passwort eingestellt wurde. Stimmen diese überein, bekommt Bob Zugriff.

Der größte Vorteil von Hashing besteht darin, dass ein Hacker das gespeicherte Passwort also nicht entwenden kann. Das einzige, was der Hacker machen kann, ist das Hash zu stehlen. Gibt er dieses ein, wird der Algorithmus das Ergebnis wieder mischen. Klaut der Hacker das Hash aus einem Computer, kann er folglich nichts damit anfangen.

Ähnliche Blogs

Das Universitätsklinikum Frankfurt (UKF) entscheidet sich für Zivver als langfristigen Partner für mehr Sicherheit in der digitalen Kommunikation

Das Universitätsklinikum Frankfurt hat sich für eine Verlängerung der Partnerschaft mit Zivver entschieden, um Sicherheit und Datenschutz in der digitalen Kommunikation zu erhöhen. Insbesondere die Pandemie-Situation hat den Bedarf an sicheren digitalen Lösungen für die Patientenversorgung erhöht. Mit einer Plattform für gesicherte Kommunikation hilft Zivver dem […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Covid-Testergebnisse in Echtzeit, aber sicher

Digitale Partnerschaft für zeitkritische Lösungen in der Pandemie Deutschland und Europa gehen in den vorweihnachtlichen Lockdown. Mit den zuletzt massiv angestiegenen Infektionszahlen bleibt auch das Testvolumen hoch und gerade die Mitarbeiter in kritischen Berufen sind in den nächsten Wochen auf eine möglichst zeitnahe Rückmeldung zu ihren Testergebnissen angewiesen. […]

Weiterlesen

Probefahrt mit neuer Software

Wenn man ein Produkt zur langfristigen Anwendung einkauft, erprobt man es am besten vorab und in der tatsächlichen Nutzung. Dieses Prinzip gilt nicht nur beim Autokauf, sondern auch beim Einführen einer neuen Software. In diesem Kontext bezeichnet man die Probefahrt - wie üblich im IT-Englisch - als „Proof of Concept”. Dieser vorangestellte Probelauf in der eigenen […]

Weiterlesen
Lady_justice

EuGH-Beschluss zum Privacy Shield ohne Auswirkungen für ZIVVER

Mitte Juli 2020 hat der Europäische Gerichtshof das sogenannte Privacy Shield für ungültig erklärt, welches bisher als Angemessenheitsbeschluss für den Datenschutz beim Übermitteln von Informationen in die USA galt. Vereinfacht gesagt bedeutet das für Organisationen innerhalb der EU, dass diese sich für die erforderliche Rechtssicherheit bei der Datenverarbeitung in […]

Weiterlesen
ZIVVER_Gmail

ZIVVER jetzt auch als Chrome Erweiterung für Gmail verfügbar

Viele Nutzer freuen sich schon ebenso lange wie wir auf diese Nachricht: ZIVVER gibt es jetzt auch für Gmail! Speziell für die G Suite und Gmail Nutzer wurde eine Chrome Erweiterung entwickelt. Nach erfolgreich abgeschlossener Beta-Testphase wird diese serverseitige Erweiterung nun auch allgemein verfügbar.  […]

Weiterlesen