Kryptographie - Grundlagen der digitalen Sicherheit
Kryptographie schützt Vertraulichkeit, Integrität und Authentizität: Symmetrische Verschlüsselung (AES-256-GCM) für Performance, Asymmetrische (RSA-4096, ECC P-384) für Schlüsseltausch und Signaturen, Hybridverfahren kombinieren beide. TLS 1.3 (Pflicht, 1.0/1.1 deprecated), PKI und Zertifikatsketten, Quantum-Bedrohung durch Shors Algorithmus → Post-Quantum-Kryptographie (CRYSTALS-Kyber, CRYSTALS-Dilithium). BSI empfiehlt: AES-256, RSA-3072+, SHA-256+.
Kryptographie ist das Fundament der Informationssicherheit - ohne Verschlüsselung und kryptographische Protokolle wäre moderne IT-Sicherheit undenkbar.
Symmetrische Kryptographie
Bei der symmetrischen Kryptographie verwenden Sender und Empfänger denselben Schlüssel zum Ver- und Entschlüsseln.
AES (Advanced Encryption Standard)
AES ist die Standardlösung für symmetrische Verschlüsselung - eine Blockchiffre die Daten in 128-Bit-Blöcken verarbeitet. Die verfügbaren Schlüssellängen sind AES-128 (ausreichend) und AES-256 (empfohlen vom BSI).
Bei den Betriebsmodi gilt:
- ECB (Electronic Codebook): Niemals verwenden - identische Klartextblöcke erzeugen identische Chiffretextblöcke, Muster bleiben sichtbar
- CBC (Cipher Block Chaining): Veraltet für neue Anwendungen
- GCM (Galois/Counter Mode): Empfohlen - bietet Authenticated Encryption, kombiniert Verschlüsselung und Integritätsschutz in einem Durchgang
Mit Hardware-Beschleunigung (AES-NI auf modernen CPUs) erreicht AES über 10 GB/s. Das eliminiert jedes Performance-Argument gegen Verschlüsselung.
ChaCha20-Poly1305
Eine moderne Stream-Chiffre als Alternative zu AES, besonders geeignet für Systeme ohne AES-Hardware-Beschleunigung (ARM-Prozessoren in IoT und Mobilgeräten). ChaCha20-Poly1305 ist sicher gegen Timing-Angriffe (constant time) und findet Einsatz in TLS 1.3, WireGuard VPN und dem Signal-Protokoll.
3DES (Triple-DES)
3DES ist deprecated und muss in allen neuen Systemen durch AES ersetzt werden. NIST hat das Verfahren 2017 als veraltet eingestuft und 2024 verboten. Der Meet-in-the-Middle-Angriff reduziert die effektive Sicherheit erheblich.
Das zentrale Problem symmetrischer Kryptographie
Wie kommt der Schlüssel sicher zum Empfänger? Die Lösung ist asymmetrische Kryptographie für den Schlüsseltausch.
Asymmetrische Kryptographie (Public-Key-Verfahren)
Das mathematische Grundprinzip: Ein öffentlicher Schlüssel (Public Key) darf frei verteilt werden, der private Schlüssel (Private Key) bleibt geheim. Alles was mit dem Public Key verschlüsselt wird, kann nur mit dem Private Key entschlüsselt werden - und umgekehrt.
RSA (Rivest-Shamir-Adleman)
Die Sicherheit von RSA basiert auf dem Problem der Faktorisierung großer Zahlen. Die empfohlenen Schlüssellängen:
| Schlüssellänge | Status |
|---|---|
| RSA-1024 | Unsicher - in Stunden zu brechen |
| RSA-2048 | Noch akzeptabel für kurze Laufzeiten |
| RSA-3072 | BSI-Empfehlung bis 2031 |
| RSA-4096 | Zukunftssicher (aber langsamer) |
RSA ist rund 1.000-mal langsamer als AES und wird daher nur für kleine Datenmengen eingesetzt: Schlüsseltausch (verschlüsselt den AES-Schlüssel), digitale Signaturen und TLS-Zertifikate.
ECC (Elliptic Curve Cryptography)
ECC basiert auf dem Problem des diskreten Logarithmus auf elliptischen Kurven und bietet denselben Sicherheitsgrad wie RSA bei deutlich kürzeren Schlüsseln:
- P-256 (256 Bit) ≈ RSA-3072 in der Sicherheitsstärke
- P-384 (384 Bit): BSI-Empfehlung
- Ed25519: moderne Variante, sehr schnell und immun gegen Fehler bei schlechter Zufälligkeit
ECC findet Einsatz in TLS, SSH, Bitcoin, Signal und sicherer E-Mail.
Diffie-Hellman-Schlüsseltausch
ECDH (Elliptic Curve Diffie-Hellman) ermöglicht Key Agreement zwischen zwei Parteien ohne vorherigen gemeinsamen Schlüssel. Zusammen mit Perfect Forward Secrecy (PFS) erhält jede Session einen neuen, ephemeren Schlüssel. Selbst wenn der langfristige Private Key später kompromittiert wird, kann aufgezeichneter früherer Verkehr nicht entschlüsselt werden. PFS ist in TLS 1.3 Pflicht.
TLS - Transport Layer Security
TLS sichert Kommunikation über das Internet. Der Versionsstand ist dabei entscheidend:
| Version | Status |
|---|---|
| SSL 2.0/3.0 | Verboten (POODLE, DROWN, viele weitere Schwachstellen) |
| TLS 1.0 | Deprecated (PCI DSS verbietet ab 2018) |
| TLS 1.1 | Deprecated (seit 2020 abgeschaltet) |
| TLS 1.2 | Noch akzeptabel (nur mit sicheren Cipher Suites) |
| TLS 1.3 | Empfohlen (2018, deutlich sicherer und schneller) |
TLS 1.3 Verbesserungen
TLS 1.3 reduziert die erlaubten Cipher Suites auf drei - alle mit Perfect Forward Secrecy:
TLS_AES_256_GCM_SHA384TLS_CHACHA20_POLY1305_SHA256TLS_AES_128_GCM_SHA256
Weitere Verbesserungen: 0-RTT Handshake (schneller, aber mit Replay-Risiko), kein RSA Key Exchange mehr (nur ECDH mit PFS) und verschlüsselte Handshake-Nachrichten (kein Metadata-Leak mehr).
NGINX Konfiguration (sichere TLS-Einstellungen)
ssl_protocols TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
ssl_prefer_server_ciphers off; # TLS 1.3: Client-Präferenz gilt
ssl_session_timeout 1d;
ssl_session_cache shared:MozSSL:10m;
ssl_stapling on; # OCSP Stapling
ssl_stapling_verify on;Unsichere Cipher Suites die immer blockiert werden müssen: *_RC4_* (seit 2001 gebrochen), *_NULL_* (keine Verschlüsselung), *_EXPORT_* (absichtlich geschwächt), *_DES_* (seit 1999 gebrochen) und *_anon_* (keine Authentifizierung).
Digitale Signaturen und PKI
Digitale Signatur
Das Prinzip der digitalen Signatur:
- Erstellen: Hash(Dokument) → mit Private Key verschlüsselt = Signatur
- Prüfen: Signatur → mit Public Key entschlüsseln = Hash-Wert → mit berechntem Hash des Dokuments vergleichen
Dies stellt sicher: Authentizität (nur der Private-Key-Besitzer kann signieren), Integrität (Dokument unverändert, da Hash stimmt) und Nicht-Abstreitbarkeit (Signatur bindet den Unterzeichner).
Zertifikatskette (Chain of Trust)
Root CA (selbst-signiert)
→ Intermediate CA (von Root signiert)
→ End-Entity-Zertifikat (von Intermediate signiert)Browser prüfen ob das Zertifikat von einer vertrauenswürdigen CA signiert ist. Der CA-Store enthält rund 150 Root-CAs (Mozilla/Windows/macOS). Certificate Transparency (CT) stellt sicher dass alle Zertifikate öffentlich geloggt sind.
Zertifikatstypen
- DV (Domain Validation): Nur Domain verifiziert - Let’s Encrypt, kostenlos
- OV (Organization Validation): Unternehmen verifiziert
- EV (Extended Validation): Maximale Prüfung (Schloss-Symbolik im Browser)
- Wildcard:
*.example.com- alle Subdomains - SAN (Subject Alternative Name): Mehrere Domains in einem Zertifikat
Zertifikatswiderruf
- CRL (Certificate Revocation List): Täglich aktualisierte Sperrliste
- OCSP (Online Certificate Status Protocol): Echtzeit-Prüfung
- OCSP Stapling: Server cacht OCSP-Antwort - verbessert Privacy und Performance
- OCSP Must-Staple: Erzwingt Stapling-Unterstützung
Post-Quantum-Kryptographie
Die Quantenbedrohung
Quantencomputer können RSA und ECC durch Shors Algorithmus in polynomialer Zeit brechen - theoretisch. Praktisch existiert noch kein ausreichend starker Quantencomputer, aber das Angriffsszenario „Harvest now, decrypt later” ist bereits aktiv: Angreifer sammeln heute verschlüsselte Daten und planen sie zu entschlüsseln, sobald Quantencomputer leistungsfähig genug sind.
Das NIST schätzt kryptographisch relevante Quantencomputer für den Zeitraum 2030-2040.
NIST Post-Quantum Standards (finalisiert 2024)
CRYSTALS-Kyber (jetzt: ML-KEM): Schlüsseltausch (Key Encapsulation Mechanism) als Ersatz für ECDH/RSA-Verschlüsselung. Gitterbasiert - sicher gegen Quantencomputer. Bereits in Signal und neueren TLS-Implementierungen in Einsatz.
CRYSTALS-Dilithium (jetzt: ML-DSA): Digitale Signaturen als Ersatz für RSA-/ECDSA-Signaturen. Ebenfalls gitterbasiert.
SPHINCS+ (jetzt: SLH-DSA): Hashbasierte Signaturen als konservativere Alternative zu Dilithium.
Migration-Strategie (Crypto-Agility)
- Inventarisierung: Welche kryptographischen Algorithmen sind im Einsatz?
- Priorisierung: Was schützt langlebige Daten (Gesundheit, Finanzen)?
- Hybrid: Klassische und Post-Quantum-Verfahren parallel betreiben (Übergangsphase)
- Migration: Bis spätestens 2030 abschließen (BSI-Empfehlung)
Symmetrische Kryptographie und Quantencomputer
Symmetrische Verfahren sind weniger betroffen: AES-256 bleibt sicher, da Grovers Algorithmus die Schlüssellänge nur effektiv halbiert - 256 Bit bleiben 128 Bit effektiv, was ausreicht. AES-128 liefert dagegen nur noch 64 Bit Sicherheit gegen Quantenangriffe - nicht mehr ausreichend. SHA-256 ist sicher; SHA-384/512 sind noch besser für Post-Quantum-Szenarien geeignet.
Das akute Problem ist asymmetrische Kryptographie - nicht symmetrische.
Hashing und MACs
Kryptographische Hashfunktionen
Eine kryptographische Hashfunktion hat drei wesentliche Eigenschaften: Sie ist eine Einwegfunktion (aus dem Hash kann das Original rechnerisch nicht zurückgerechnet werden), kollisionsresistent (kein M1 ≠ M2 mit identischem Hash) und zeigt Lawinenwirkung (eine Bit-Änderung im Input verändert rund 50% der Hash-Bits).
| Algorithmus | Status |
|---|---|
| MD5 | Verboten - Kollisionen in Sekunden erzeugbar |
| SHA-1 | Verboten - Google SHAttered 2017: Kollision erzeugt |
| SHA-256 | Sicher, 256-Bit-Ausgabe (Goldstandard für Signaturen) |
| SHA-384 | Empfohlen für hohe Sicherheitsanforderungen |
| SHA-512 | 512-Bit, besonders für Post-Quantum-Übergang geeignet |
| SHA-3 | Keccak-Architektur, kein SHA-2-Nachfolger |
| BLAKE3 | Sehr schnell (>10 GB/s), sicher, modern |
Passwörter hashen (Sonderfall!)
Normale Hashfunktionen sind zu schnell - GPUs berechnen Milliarden Hashes pro Sekunde. Passwort-Hashing erfordert absichtlich langsame Funktionen:
- bcrypt: Goldstandard mit einstellbarem Work Factor (z.B. cost=12)
- Argon2id: Gewinner der Password Hashing Competition 2015; Memory-hard - GPU-Cracking wird sehr teuer
- scrypt: Ähnlich Argon2, ebenfalls Memory-hard
- PBKDF2: Akzeptabel, in FIPS-Umgebungen genutzt
- MD5/SHA-1/SHA-256 für Passwörter: Absolut verboten
Message Authentication Codes (MACs)
HMAC (Hash-based MAC): HMAC-SHA256 liefert Integrität und Authentizität gleichzeitig. HMAC(Key, Message) erzeugt einen Token der beweist dass die Nachricht von jemandem mit dem korrekten Schlüssel stammt. Einsatz: JWT (JSON Web Token), API-Signaturen, Webhook-Validierung.
AEAD (Authenticated Encryption with Associated Data): Modernes Design das Verschlüsselung und Authentizität immer kombiniert - AES-GCM und ChaCha20-Poly1305 sind die wichtigsten Vertreter.
