Dieser Artikel in der Serie „So funktionieren VPNs“ beschreibt, wie die Verschlüsselung mit symmetrischen Schlüsseln funktioniert. Wenn Sie sich bereits verlaufen haben, keine Panik! Diese Artikelserie erklärt die Konzepte und Methoden hinter VPNs, ohne tief in die Mathematik eintauchen zu müssen, die ihnen zugrunde liegt.
Wenn Sie mit dem Konzept von VPNs völlig neu sind, sehen Sie sich diese Einführung an. Wenn Sie bereits ein wenig darüber wissen, wie VPNs funktionieren, und noch etwas mehr wissen möchten, ist diese Serie genau das Richtige für Sie. Jeder Artikel befasst sich mit einem Aspekt, wie ein VPN dabei hilft, Daten zu sichern, indem es eine Geschichte erzählt, die als Metapher für die beteiligten logischen Mechanismen dient. Diese Geschichten beinhalten Adam und Burt, die versuchen, ein Geheimnis zu wahren, und eine dritte Person, Cesar, die versucht, ihr Geheimnis auf schändliche Weise zu entdecken. Da VPNs kein perfektes Äquivalent in der physischen Welt haben, können einige Elemente die Grenzen der Glaubwürdigkeit überschreiten (z. B. hat Cesar Zugriff auf einen Duplikatorstrahl). Denken Sie daran, es ist nur eine Geschichte …
Jeder Artikel hat auch erweiterbare Abschnitte (gekennzeichnet mit dem Zahnradsymbol), die eine etwas tiefergehende Erklärung enthalten, die etwas technischer ist, sich aber dennoch nicht zu sehr in Mathematik verliert. Diese Abschnitte verknüpfen die Ereignisse der Geschichte ein wenig mehr mit den Komponenten oder Schritten der Verschlüsselung oder Authentifizierung, sind aber nicht erforderlich, um ein grundlegendes Verständnis des Themas zu erlangen.
Grundlegende Symmetric-Key-Verschlüsselung
Nehmen wir an, Adam und Burt schreiben ein Comicbuch. Da sie in nahe gelegenen Städten wohnen und sich nicht so oft persönlich treffen können, schicken sie sich Entwürfe ihres Buches über das Greater Metropolitan Area Post Office zu. Sie möchten nicht, dass jemand einen Blick auf ihr Buch wirft, bevor es fertig ist, also verwenden sie ein Schließfach (Verschlüsselung) und erstellen eine Kopie des Schlüssels (Verschlüsselungsschlüssel) für jeden von ihnen. Wenn Adam jetzt ein Skript beendet hat, kann er es in diesem Schließfach an Burt senden und sicher sein, dass nur Burt es entsperren kann, wenn er es per Post erhält.
Wie eine Lockbox wie eine grundlegende Verschlüsselung mit symmetrischen Schlüsseln ist.
Dieser Mechanismus ist analog zu einem der frühesten weit verbreiteten Verschlüsselungsstandards für Computerdaten, DES (Digital Encryption Standard). DES ist ein Verschlüsselungsalgorithmus mit symmetrischem Schlüssel, was bedeutet, dass der Schlüssel, der zum Verschlüsseln der Daten verwendet wird, auch zum Entschlüsseln verwendet wird. Auf einer vereinfachten Ebene ist ein Verschlüsselungsalgorithmus mit symmetrischem Schlüssel eine Methode, bei der eine Reihe vordefinierter mathematischer Schritte angewendet wird, und der Schlüssel ist eine Art zentrale Variable (man könnte sagen, eine „Schlüssel“-Variable), die sich in diese Methode einfügt, um sie zu erzeugen einzigartige Ausgabe – die verschlüsselten Daten. Dieser Vorgang kann auch umgekehrt werden, indem dieselbe Methode umgekehrt angewendet wird, wiederum mit demselben Schlüssel.
Die Bedrohung
Jetzt kommt Cesar ins Spiel. Cesar ist besessen von Adams und Burts Comicbuch und kann es kaum erwarten, mehr darüber zu erfahren. Für diese Geschichte hat Cesar einen Duplikatorstrahl. Er ist auch ein Meister der Verkleidung, also nutzt er sein Talent, um sich als Postangestellter auszugeben. Sein ultimatives Ziel ist es, einen Weg zu finden, die Kiste abzufangen, die Adam und Burt hin und her schicken, um einen Blick hineinzuwerfen. Bald dringt Cesar tief genug in das Postamt der Greater Metropolitan Area ein, um Zugang zum zentralen Postsortierraum zu erhalten, und entdeckt die Kiste von Adam an Burt. Cesar will weder bei Adam noch bei Burt wegen verspäteter Lieferung Verdacht erregen, also benutzt er seinen Kopierstrahl, um eine Kopie der Schachtel zu machen. Unglücklicherweise für Cesar ist auch diese Kiste gesperrt (verschlüsselt), genau wie das Original. Aber unter anderem ist er Schlossergeselle, also bringt er diese doppelte Kiste zu seinem Versteck, um zu versuchen, das Schloss zu umgehen.
Man-in-the-Middle-Angriff.
Der Netzwerkverkehr wird in diskreten Einheiten gesendet, die als Pakete bezeichnet werden. Egal, ob Sie etwas Kleines (eine kurze E-Mail) oder etwas Großes (ein Video) senden, die Daten werden vor der Übertragung in einfach zu verwaltende Pakete segmentiert. Es ist so, als würde man jemandem ein Puzzle Stück für Stück schicken. Sobald es an seinem Bestimmungsort ankommt, wird es wieder zusammengesetzt.
Dieser Prozess der Untersuchung des Netzwerkverkehrs während der Übertragung wird als „Paketinspektion“ (manchmal informeller als „Packet Sniffing“ oder „Sniffing the Wire“ bezeichnet) bezeichnet. Die Paketinspektion ermöglicht es Netzwerkadministratoren, viel feindlichen Datenverkehr in ihrem Netzwerk zu identifizieren und zu blockieren. Es kann auch sehr nützlich sein, um Verbindungsprobleme innerhalb eines Netzwerks zu beheben.
Es kann auch für weniger konstruktive Zwecke verwendet werden, z. B. zum Abhören. Unter diesen Umständen wird diese Art der Nutzung oft als Man-in-the-Middle (MitM)-Angriff bezeichnet. Für jemanden wie Cesar, dem es gelingt, sich in den Transitpfad dieser Nachrichten einzufügen, ermöglicht dieser Angriff einem Eindringling, den gesamten vorbeilaufenden Datenverkehr zu kopieren (ohne ihn zu verzögern und möglicherweise beide Seiten darauf aufmerksam zu machen, dass etwas nicht stimmt), um ihn später zu analysieren. Unverschlüsselter Datenverkehr kann leicht wieder zusammengesetzt werden, sodass jeder mit den richtigen Tools die E-Mail lesen oder die angeforderte Webseite anzeigen kann. Verschlüsselte Daten müssten den Schlüssel kennen oder entdecken, um jedes Paket zu entschlüsseln, bevor es wieder zusammengesetzt werden kann.
Brute-Force-Crack
Nehmen wir also an, Cesar verbringt Zeit damit, an diesem Schloss zu arbeiten, und schafft es schließlich, das Schloss zu knacken. Nach einiger Übung lernt er, diese Zeit erheblich zu verkürzen. Dann fängt er das nächste Paket ab, das Burt an Adam zurücksendet, kopiert es und schickt das Original auf den Weg zu Adam zurück. Jetzt kann Cesar in Ruhe das Schloss knacken, und da Adam das Paket ohne Verzögerung erhalten hat, haben er und Burt keine Ahnung, dass irgendetwas nicht stimmen könnte. Stellen Sie sich also ihre Überraschung und Bestürzung vor, als Cesar alle Spoiler-Details zu ihrem neuen Comic-Buch in seinem Blog (natürlich „The Cesarian Section“ genannt) veröffentlicht.
Adam und Burt erkennen, dass sie eine bessere Methode zum sicheren Austausch von Nachrichten entwickeln müssen. Wenn sie das Schloss neu verschlüsseln würden, würde Cesar wahrscheinlich nicht lange brauchen, um zu lernen, wie man dieses neue Schloss knackt. Sie beschließen, in ein Schloss mit einem viel komplizierteren Schlüssel (einem stärkeren Verschlüsselungsalgorithmus mit symmetrischen Schlüsseln) zu investieren. Aber wie lange würde Cesar brauchen, um dieses Schloss zu knacken?
Moderne symmetrische Verschlüsselungsstandards.
DES gilt nicht mehr als starkes Verschlüsselungsmittel, das allein implementiert wird. Im Jahr 2008 gab die SciEngines GmbH bekannt, dass sie DES in weniger als einem Tag knacken konnten.
Eine Variation namens Triple Digital Encryption Standard (abgekürzt 3DES, normalerweise ausgesprochen „Triple-dez“) hat DES in vielen Fällen verdrängt. Wie der Name schon sagt, funktioniert es mit dem DES-Algorithmus, wird aber dreimal ausgeführt. Der Schlüssel ist dreimal so lang und besteht in seiner stärksten Implementierung aus drei verschiedenen DES-Schlüsseln, einer für jede Iteration des DES-Algorithmus. Es kann hilfreich sein, sich vorzustellen, dass dieser Algorithmus wie eine komplizierte Puzzlebox funktioniert. Der erste Schlüssel könnte die Kombination aus Wendungen und Machenschaften sein (wie bei einem Rubik's Cube), die erforderlich ist, um ein Puzzle im Schiebekachelstil zu enthüllen, das, wenn es gelöst wird (der zweite Schlüssel), ein Schlüsselloch für Ihren Schlüssel freilegen würde (der dritte Schlüssel). .
Ein noch stärkerer Verschlüsselungsalgorithmus mit symmetrischen Schlüsseln ist AES (Advanced Encryption Standard, obwohl Sie ihn manchmal auch mit seinem ursprünglichen Namen „Rijndael“, ausgesprochen „Regenpuppe“) sehen werden. Die Stärke dieser Art von Algorithmen wird anhand der effektiven Länge ihrer Schlüssel (in Bits) gemessen. 3DES verwendet 168-Bit-Schlüssel (in seiner stärksten Implementierung), obwohl gezeigt wurde, dass bestimmte Angriffe diese Stärke reduzieren, die einem 80-Bit-Schlüssel entspricht. AES kann 128-, 192- und 256-Bit-Schlüssel verwenden. Wenn die Länge jedes dieser Schlüssel zunimmt, steigen auch die damit verbundenen Anforderungen an Stärke und Rechenleistung.
Die Evolution der Verschlüsselung
Natürlich haben Adam und Burt Bedenken, dass diese Lockbox-Lösung beibehalten wird, selbst wenn sie Spitzenklasse ist. Linie, möglicherweise nicht so sicher, wie sie möchten. Ein Taugenichts wie Cesar hat mehrere Mittel, um zu versuchen, dieses System zu besiegen. Er kann versuchen, unrechtmäßig eine Kopie des Schlüssels entweder von Adam oder Burt oder von den Mitteln zu erhalten, die sie verwenden, um den Schlüssel überhaupt auszutauschen (insbesondere wenn dieser Austausch über ein ungesichertes Medium erfolgt). Schließlich kann er nach Übung oder technologischem Fortschritt einen Weg finden, den Schlüssel effizienter zu „erraten“. Wenn sie Cesar einen Schritt voraus sein wollen, müssen sie neue Wege finden, um es ihm viel schwerer zu machen, einen Weg um oder durch zu finden.
Mehr in der Serie Wie VPNs funktionieren:
Teil 2:Public Key Cryptography
Teil 3:Shared Key Exchange
Erfahren Sie mehr über unsere VPS-Hosting-Services und den VPS-Hosting-Preis.