Blog post

Verschlüsselung ohne Schutz der Integrität von Nachrichten

Anna Lena Fehlhaber

Für den privaten oder beruflichen Gebrauch werden Nachrichten zunehmend verschlüsselt, um die Kommunikation zu schützen, ohne dabei die Integrität sicherzustellen.

Verschlüsselung von Nachrichten ist ein Phänomen, dem sich mittlerweile in verschiedenen Lebens- und Arbeitsbereichen angenommen wird. Insbesondere firmenintern kann, unter Einigung auf bestimmte Verschlüsselungsverfahren und einer hohen Benutzerfreundlichkeit dieser für die Akteure, immerhin die reine Verschlüsselung von Nachrichten standardisiert werden. Auch in der privaten Kommunikation können sensible Daten vermeintlich vor Unbefugten geschützt werden, indem diese chiffriert werden. Ausgehend davon, dass Kommunikationspartner mit einem sehr sicheren Verschlüsselungsverfahren operieren, bleibt die Möglichkeit, das Daten verändert und manipuliert werden, was in der Informatik als Verletzung der Integrität bezeichnet wird.

Viele Verschlüsselungsverfahren bieten keinen integrierten Schutz der Nachrichten vor Veränderungen. Im Gegenteil erleben Akteure die Kommunikation und die übermittelten Inhalte beim Einsatz von Verschlüsselung als sicher, ohne sich bewusst zu machen, dass die Nachricht potentiell verändert worden sein könnte. Während bei nicht-verschlüsselter Kommunikation die Akteure sensibler und vorsichtiger sind, und die Nachrichteninhalte tendenziell häufiger kritisch prüfen, bleibt diese basale Skepsis bei verschlüsselter Kommunikation beinahe vollständig aus. Die Sicherheit der Verschlüsselung scheint, so erste Indizien, die auch aus den qualitativ geführten Befragungen entnehmen konnte, mental zu einer Sicherheit der gesamten Kommunikation transformiert zu werden.

Ähnlich konstatieren auch Dong und Chen 2012, S. 307:

„A common misconception is that encryption provides data origin authentication and data integrity, under the argument that if a message is decrypted with a key shared only with party A, and the message is meaningful, then it must have originated from A.“

Insbesondere die Tatsache, dass die reine Verschlüsselung von Nachrichten, ungeachtet der Sicherheit des verwendeten Algorithmus, keinen Schutz vor etwa Replay-Angriffen bietet, und ist vielen Akteuren nicht präsent. Bei Replay-Angriffen kann eine Identität mit Hilfe eines unsicher übermittelten Hash-Codes vorgetäuscht werden, und mit dieser Falschauthentifizierung die Integrität von Nachrichten verletzt werden. Es gibt weitere kryptanalytische Verfahren, die rein technisch eine falsche Identität zu generieren vermögen. Einen Schutz gegen Replay Angriffe bietet die Verwendung von Nonce, die von Nutzern jedoch häufig als „zu umständlich“ (Befragung vom 21.10.2017 durch Fehlhaber) empfunden werden. Verfahren, die Verschlüsselung und Authentifizierung miteinander verbinden, können ebenfalls dieser Art von Missbrauch vorbeugen. Ein unsicherer Faktor bleibt der Akteur selbst, der dazu neigt, durch fehlendes Wissen um die verwendete Technik oder falsches Vertrauen unachtsam mit sensiblen Daten umzugehen.

Verwendete Literatur:

Dong und Chen (2012): Cryptographic Protocol: Security Analysis Based on Trusted Freshness.

 

 

 

Comments (1)

Leave a comment

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Prev Post Next Post