Bei der Public Key Cryptography werden zwei Schlüssel erstellt: ein Public Key zur Verschlüsselung von Nachrichten und ein Private Key zur Entschlüsselung.
Dadurch wird sichergestellt, dass nur der vorgesehene Empfänger die Nachricht lesen kann. Die wichtigsten Algorithmen sind RSA, DSA und ECC, die jeweils ihre eigenen Vorteile in Bezug auf Leistung, Geschwindigkeit und Sicherheit haben.
RSA ist der älteste und für seine Stärke bekannt. ECC bietet bessere Sicherheit bei kleineren Schlüsseln und eignet sich daher für Geräte mit begrenzter Verarbeitungsleistung. DSA, das von der US-Bundesregierung unterstützt wird, eignet sich zum Signieren und Überprüfen von Nachrichten. Diese kryptografischen Methoden unterstützen digitale Zertifikate für sicheres Surfen im Internet und andere Anwendungen der digitalen Identität. Da die Quanteninformatik immer weiter fortschreitet, werden derzeit neue Post-Quanten-Algorithmen entwickelt, um die Sicherheit auch in Zukunft zu gewährleisten.
RSA, DSA und ECC sind die wichtigsten Verschlüsselungsalgorithmen für die Erstellung von Schlüsseln in der Public Key Infrastructure (PKI). PKI hilft bei der Verwaltung von Identität und Sicherheit in der Online-Kommunikation und in Netzwerken. Die Schlüsseltechnologie hinter PKI ist die Public Key Cryptography, die zwei miteinander verbundene Schlüssel verwendet: einen Public Key und einen Private Key.
Diese Schlüssel arbeiten zusammen, um Nachrichten zu ver- und entschlüsseln. Diese Methode wird als asymmetrische Verschlüsselung bezeichnet. Sie unterscheidet sich von der symmetrischen Verschlüsselung, bei der ein Schlüssel für beide Prozesse verwendet wird.
Der Vorteil der asymmetrischen Verschlüsselung besteht darin, dass der Public Key öffentlich zugänglich ist, während der Private Key sicher auf dem Gerät des Benutzers verbleibt. Dieser Aufbau bietet im Vergleich zur symmetrischen Verschlüsselung eine bessere Sicherheit.
Wie Public Key Kryptographie auf Verschlüsselung beruht
Die Public Key Kryptographie verwendet mathematische Algorithmen zur Erstellung von Schlüsseln. Der Public Key ist eine Reihe von Zufallszahlen, die zur Verschlüsselung von Nachrichten verwendet werden. Nur die Person, für die die Nachricht bestimmt ist, kann sie mit Hilfe eines Private Key entschlüsseln und lesen.
Public Keys werden mit komplexen Algorithmen erstellt, die sie mit ihren Private Keys verknüpfen, um Brute-Force-Angriffe zu verhindern. Die Größe des Public Keys, gemessen in Bits, wirkt sich auf seine Sicherheit aus. 2048-Bit-RSA-Schlüssel werden beispielsweise häufig in SSL Certificates, digitalen Signaturen und verschiedenen digitalen Zertifikaten verwendet. Diese Schlüsselgröße bietet genügend Sicherheit, um Hacker abzuschrecken. Organisationen wie das CA/Browser Forum legen Mindeststandards für Schlüsselgrößen fest.
Public Key Infrastructure (PKI) ermöglicht die digitalen Zertifikate, denen wir bei der Nutzung von Websites, mobilen Anwendungen, Online-Dokumenten und verbundenen Geräten häufig begegnen. Eine bekannte Anwendung von PKI ist die X.509-basierte Transport Layer Security (TLS) und Secure Sockets Layer (SSL), die die Grundlage des HTTPS-Protokolls für sicheres Surfen im Internet bilden.
Digitale Zertifikate werden auch für das Signieren von Anwendungscode, digitale Signaturen und andere Aspekte der digitalen Identität und Sicherheit verwendet.
RSA - DSA - ECC-Algorithmen
Zur Erzeugung von Schlüsseln in der Public Key Infrastructure (PKI) werden hauptsächlich drei Algorithmen verwendet: Rivest-Shamir-Adleman (RSA), Digital Signature Algorithm (DSA) und Elliptic Curve Cryptography (ECC).
Der RSA-Algorithmus, der 1977 von Ron Rivest, Adi Shamir und Leonard Adleman entwickelt wurde, beruht auf der Schwierigkeit, große Primzahlen zu faktorisieren. Er war der erste, der das Public Key/Private Key-System implementierte. Die heute übliche Schlüssellänge für RSA beträgt 2048 Bit.
ECC basiert auf der Mathematik der elliptischen Kurven und bietet ähnliche Sicherheit wie RSA und DSA, jedoch mit kürzeren Schlüsseln. Es ist der neueste der drei Algorithmen. Der Elliptic Curve Digital Signature Algorithm (ECDSA) wurde 1999 anerkannt, gefolgt von Key Agreement and Key Transport Using Elliptic Curve Cryptography im Jahr 2001. ECC ist von FIPS zertifiziert und wird von der National Security Agency (NSA) unterstützt.
DSA verwendet eine andere Methode als RSA, um öffentliche und Private Keys zu erzeugen, und stützt sich dabei auf die modulare Potenzierung und das Problem des diskreten Logarithmus. Es bietet ein ähnliches Sicherheitsniveau wie RSA mit Schlüsseln der gleichen Größe. DSA wurde 1991 vom National Institute of Standards and Technology (NIST) eingeführt und 1993 zu einem offiziellen Standard erklärt.
Mehrere Verschlüsselungsalgorithmen können zusammen verwendet werden. Apache-Server können zum Beispiel sowohl RSA- als auch DSA-Schlüssel verwalten. Dieser Ansatz erhöht die Sicherheit.
Vergleich der ECC-Verschlüsselungsstärke
Der Hauptunterschied zwischen ECC und RSA / DSA besteht darin, dass ECC bei gleicher Schlüssellänge eine höhere Sicherheit bietet. Ein ECC-Schlüssel ist sicherer als ein RSA- oder DSA-Schlüssel der gleichen Größe.
| Symmetrischer Schlüssel Größe (Bits) | RSA-Schlüsselgröße (Bits) | ECC-Schlüsselgröße (Bits) |
| 80 | 1024 | 160 |
| 112 | 2048 | 224 |
| 128 | 3072 | 256 |
| 192 | 7680 | 384 |
| 256 | 15360 | 521 |
ECC ermöglicht eine ähnliche kryptografische Stärke mit viel kleineren Schlüsseln (etwa zehnmal kleiner). Um beispielsweise die kryptografische Leistung eines symmetrischen 112-Bit-Schlüssels zu erreichen, ist ein 2048-Bit-RSA-Schlüssel erforderlich, während ein 224-Bit-ECC-Schlüssel ausreicht.
Diese kürzeren Schlüssel benötigen weniger Rechenleistung zum Ver- und Entschlüsseln von Daten. Daher ist ECC ideal für mobile Geräte, das Internet der Dinge und andere Anwendungen mit begrenzten Rechenkapazitäten.
Warum ECC nicht weit verbreitet ist
RSA ist die beliebteste Verschlüsselungsmethode, aber ECC wird immer bekannter. RSA hat einen Vorteil, weil es schon länger verwendet wird. Es gibt jedoch Gründe, warum manche Leute ECC vermeiden möchten:
- Lernkurve: ECC ist im Vergleich zu RSA schwieriger zu verstehen und anzuwenden. Diese Komplexität kann zu Fehlern führen, die die Cybersicherheit beeinträchtigen können.
- Sicherheitsrisiken: ECC ist durch Seitenkanalangriffe gefährdet, die Brute-Force-Versuchen Tür und Tor öffnen könnten. Es ist auch anfällig für Twist-Security-Angriffe, obwohl es Möglichkeiten gibt, sich dagegen zu schützen.
Quantencomputer
Die Quanteninformatik wird die Verschlüsselungsmethoden erheblich verändern. Herkömmliche Algorithmen wie RSA und ECC werden für Quantenangriffe anfällig sein, so dass es für Unternehmen unerlässlich ist, auf neue Verschlüsselungstechniken umzustellen. Glücklicherweise befinden sich mehrere neue Algorithmen bereits in der Entwicklung.
Das NIST hat die aktuellen Post-Quanten-Kryptographie-Algorithmen bewertet und vier effektive Optionen ausgewählt: ML-KEM, CRYSTALS-Dilithium, SPHINCS+ und FALCON. Für Unternehmen wird es von entscheidender Bedeutung sein, über diese Fortschritte und die neuen Standards auf dem Laufenden zu bleiben.
