Cryptography Reference
In-Depth Information
Verzicht auf Verschlüsselung
Selbst das beste Krypto-System hat für Alice und Bob keinen großen Nutzen,
wenn sie es nicht verwenden. Diese Erkenntnis ist sicherlich nicht besonders
überraschend. Sehr wohl überraschend ist dagegen, dass dieser Umstand zu den
wichtigsten praktischen Problemen beim Einsatz von Kryptografie gehört. Mit
anderen Worten: Viele Anwender sind schlichtweg zu bequem oder zu unwis-
send, um Kryptografie einzusetzen. Dieses Problem gab es schon zu Zeiten der
Enigma, als so mancher Funker eine Nachricht im Klartext sendete - sei es, weil
die Verschlüsselungsmaschine gerade defekt war oder weil der vereinbarte
Schlüssel nicht funktionierte.
Bedienfehler
Schon im Zweiten Weltkrieg hielt sich nicht jeder Funker an die Vorschriften
beim Umgang mit der jeweiligen Verschlüsselungsmaschine. Besonders verhäng-
nisvoll endete dies, als im Jahr 1941 ein deutscher Soldat einen mit der Lorenz-
Maschine verschlüsselten Spruch zweimal verschickte und dabei verbotenerweise
den Schlüssel nicht wechselte. Dieser Fehler ermöglichte den Briten den Durch-
bruch beim Knacken der Lorenz-Maschine.
Auch im 21. Jahrhundert sind kryptografische Anwendungen vor Fehlbedie-
nungen nicht gefeit. Wenn ein Anwender beispielsweise den Unterschied zwi-
schen einer Verschlüsselung und einer digitalen Signatur nicht kennt, dann hat
Mallory möglicherweise leichtes Spiel. Es kommt zudem auch vor, dass ein
Anwender versehentlich auf den »Senden«-Button klickt, ohne vorher die vorge-
sehene Verschlüsselung durchzuführen. Wer kryptografische Software entwi-
ckelt, sollte solche Probleme stets im Auge behalten.
Leicht zu erratende Passwörter
Im Zweiten Weltkrieg verwendeten Funker immer wieder Enigma-Schlüssel wie
AAA oder ABC. Die britischen Codeknacker mussten daher in vielen Fällen nicht
lange nach den Schlüsseln suchen. Das gleiche Phänomen ist auch heute noch für
viele Pannen bei der Verschlüsselung verantwortlich. Kryptografische Schlüssel
werden oft aus einem Passwort generiert oder sind mit einem Passwort geschützt.
Leider ist der Leichtsinn von Anwendern beim Umgang mit Passwörtern unter
Sicherheitsexperten fast schon sprichwörtlich (siehe Abschnitt 21.1.1).
