Cryptography Reference
In-Depth Information
Das Verschlüsseln von Dateien ist also eine ebenso naheliegende wie wichtige
Anwendung der Kryptografie. Beschränkt man sich auf das einfachste Szenario
(Zugriff nur für eine Person, keine Smartcards, kein Recovery), dann ist die
Dateiverschlüsselung zudem eine vergleichsweise einfache Krypto-Anwendung.
So ist es auch kein Wunder, dass es längst Dutzende von Dateiverschlüsselungs-
lösungen auf dem Markt gibt, von denen die meisten recht simple Programme
sind. Ein Netzwerkprotokoll müssen diese in der Regel nicht unterstützen. Statt-
dessen genügt es, wenn eine derartige Software ein geeignetes Format für ver-
schlüsselte Daten verwendet. Infrage kommen etwa PKCS#7 oder XML Encryp-
tion (siehe Abschnitt 18.4). Auch die vor allem für E-Mails gedachten Formate
S/MIME und OpenPGP können an dieser Stelle eingesetzt werden. Viele Pro-
dukte setzen allerdings auf proprietäre Formate, da Interoperabilität bei der
Dateiverschlüsselung nicht ganz so wichtig ist.
In der Regel bietet eine Software zur Dateiverschlüsselung einen zusätzlichen
Menüpunkt im Kontextmenü einer Datei an. Alice genügt also ein Mausklick,
um die Verschlüsselung zu starten. Im einfachsten Fall verwendet das Programm
ein symmetrisches Verschlüsselungsverfahren (etwa den AES) und bildet den
Schlüssel aus einem Passwort (beispielsweise nach PKCS#5). Das Entschlüsseln
wird erneut über das Kontextmenü oder durch das doppelte Anklicken der Datei
gestartet. Anschließend muss Alice das Passwort eingeben und erhält schließlich
die Datei im Klartext zurück. Gute Programme zur Dateiverschlüsselung bieten
neben diesem einfachen Ablauf weitere Funktionen an, wie etwa folgende:
■
PKI-Anbindung
: Eine PKI-Anbindung ermöglicht es Alice, ein asymmetrisches
Verfahren zu nutzen, wobei das Schlüsselpaar von einer CA zertifiziert wurde.
Dies hat den Vorteil, dass Alice für die Dateiverschlüsselung denselben
Schlüssel oder dasselbe PSE verwenden kann wie für andere PKI-Anwendun-
gen (etwa VPN oder E-Mail-Verschlüsselung). Da private Schlüssel innerhalb
einer PKI oft auf Smartcards gespeichert werden, sollte ein Dateiverschlüsse-
lungsprogramm auch eine Smartcard-Anbindung (über PKCS#11 oder MS-
CAPI) unterstützen.
■
Gruppenfunktion
: Dieses Feature, das einige Produkte zur Dateiverschlüsse-
lung bieten, sieht vor, dass Alice beim Verschlüsseln festlegen kann, wer die
Datei entschlüsseln darf. Dies funktioniert wie bei einer E-Mail an unter-
schiedliche Empfänger. Das Programm verschlüsselt die Datei mit einem sym-
metrischen Verfahren und verschlüsselt anschließend den verwendeten
Schlüssel mit den öffentlichen Schlüsseln aller zum Entschlüsseln Berechtigter.
■
Aktives Löschen
: Wie in Kapitel 17 beschrieben, sind Speicherleichen ein gro-
ßes Problem bei der Dateiverschlüsselung. Gute Verschlüsselungsprodukte
überschreiben daher entsprechende Speicherbereiche nach dem Verschlüsseln,
damit keine verräterischen Informationen zurückbleiben.
