Sie sind hier: Beispiele

Mit Klick ins Bild vergrössern und für optimale Schärfe Browserfenster aufziehen

<< zurück nächstes Beispiel >>
Interaktiv-Funktion "Private-Key-Setting einstellen für die AES-Verschlüsselung"


Das in ENYDRA integrierte 256-Bit-AES-Verschlüsselungssystem arbeitet Server-unabhängig. Nach der Programminstallation muss nur noch die Schlüsseleinstellung mit der hier gezeigten Dialogfunktion vorgenommen werden und das System ist einsatzbereit, um Dateien und E-Mails manuell oder automatisch zu verschlüsseln. Die manuelle oder automatische Entschlüsselung der Dateien und E-Mails ist danach nur möglich, wenn im ENYDRA-Programm des Berechtigten dieselbe Schlüssleinstellung gesetzt ist. Die Dialogfunktion erlaubt die Schlüsseleingabe wahlweise über die Tastatur oder zum Schutz vor Keyloggern per Mausklicks über eine virtuelle Tastatur.

Prinzip der 256-Bit-Schlüsselbildung
Dieses besteht darin, durch die Kombination eines automatisch berechneten Schlüssels ("Basisschlüssel") mit einer individuellen Einstellung ("Private-Key-Setting") bei jedem Verschlüsselungsvorgang einen einmaligen ("unique") definitiven 256-Bit-Schlüssel zu generieren. Die von uns entwickelte Methode garantiert, dass praktisch niemals zwei identische definitive 256-Bit-Schlüssel erzeugt werden. Dazu kommt, dass der definitive 256-Bit-Schlüssel nirgends gespeichert, sondern jeweils erst unmittelbar vor einem Verschlüsselungs- bzw. einem Entschlüsselungsvorgang generiert und anschliessend sofort wieder im Speicher zerstört wird. Bezüglich Sicherheit bedeutet dies, dass auf jedes einzelne verschlüsselte Objekt ein separater Angriff, beispielsweise eine "Brute Force Attack" erfolgen müsste!

Private-Key-Setting
Die oben rechts abgebildete Dialogfunktion dient dazu, den individuellen Teil des 256-Bit-Schlüssels festzulegen. Diese individuelle Einstellung nennen wir "Private-Key-Setting". Die Einstellung ist ausschliesslich manuell mit dieser Funktion ausführbar und wird im doppelt verschlüsselten Passwort-Tresor des Programms gespeichert. Nur wer in der Lage ist, in dem für die Entschlüsselung verwendeten ENYDRA-Programm das gleiche Private-Key-Setting einzustellen, kann eine Datei oder eine E-Mail manuell oder automatisch entschlüsseln. Wird manuell über die dafür vorgesehene Dialogfunktion entschlüsselt, kann das Private-Key-Setting auch erst unmittelbar vor dem Entschlüsselungsvorgang eingestellt und anschliessend wieder aus dem Passwort-Tresor gelöscht werden.

Ein 256-Bit-Schlüssel lässt sich in 32 8-Bit-Portionen (Bytes) unterteilen, die in der Dialogfunktion durch die 32 grünen Felder dargestellt werden. Von diesen Positionen kann der Benutzer bis zu 20 beliebige festlegen, um dort mit selbstgewählten Schlüsselwerten im Bereich von 0 bis 255 die entsprechenden Werte des automatisch berechneten Basisschlüssels zu ersetzen. Diese individuelle Einstellung bildet das Private-Key-Setting. Es verbleiben stets mindestens 12 Byte-Positionen des berechneten Basisschlüssels. Dadurch liegt die Wahrscheinlichkeit eines sich wiederholenden Basisschlüssel-Anteils bei 1 : 256 hoch 12. Diese ca. 7.9 x 10 hoch 28 möglichen Varianten bestätigen die obige Aussage, dass praktisch niemals zwei identische Gesamtschlüssel entstehen werden. Geht man davon aus, dass die wenigsten Benutzer alle zur Verfügung stehenden 20 Positionen für das Private-Key-Setting belegen werden, liegt der Wert in der Regel sehr viel höher.

Der Benutzer kann mit 256 hoch 20 etwa 1.46 x 10 hoch 48 verschiedene Kombinationen für das Private-Key-Setting einstellen. Zusammen mit der beliebigen Anordnung der 20 Positionen innerhalb der 32 Gesamtpositionen ergibt sich eine noch höhere Variantenzahl. Als Minimum würden wir 3 individuell gesetzte Positionen ansehen. Das gäbe mit 256 hoch 3 zunächst einmal etwa 16,7 Mio. und multipliziert mit der Anzahl möglicher Positionsanordnungen ein mehrfaches davon an Gesamtvarianten. Bedenken Sie, das Private-Key-Setting kann nur manuell mit der hier besprochenen Dialogfunktion eingestellt werden. Maschinelle Attacken irgendwelcher Art auf diese Einstellung sind absolut ausgeschlossen.
Der Fall, dass ein Individualwert zufällig mit dem darunterliegenden Wert des Basisschlüssels übereinstimmt, die Wahrscheinlichkeit liegt bei 1 : 256, wird vom Programm automatisch korrigiert.

Verschlüsselungsablauf
Der zuvor besprochene 256-Bit-Basisschlüssel wird jeweils erst unmittelbar vor jedem Verschlüsselungsvorgang neu berechnet. Danach wird das aktuelle Private-Key-Setting aus dem Passwort-Tresor ausgelesen und dem Basisschlüssel überlagert. Das Resultat ist der definitive, individuell geprägte und dennoch einmalige ("unique") 256-Bit-Schlüssel, mit dem die Datei oder die E-Mail verschlüsselt wird. Nach der Verschlüsselung werden Basisschlüssel und definitiver Schlüssel sofort wieder zerstört. Ins verschlüsselte Objekt werden - extra verschlüsselt - lediglich Informationen eingelagert, die das entschlüsselnde ENYDRA-Programm zur Rekonstruktion des Basisschlüssels benötigt.

Entschlüsselungsablauf:
Anhand der im verschlüsselten Objekt eingelagerten Informationen rekonstruiert das Programm den bei der Verschlüsselung verwendeten Basisschlüssel. Danach wird das aktuelle Private-Key-Setting aus dem Passwort-Tresor ausgelesen und dem Basisschlüssel überlagert. Das Resultat ist der definitive, zum Verschlüsseln verwendete 256-Bit-Schlüssel, sofern das Private-Key-Setting im Passwort-Tresor des entschlüsselnden Programms identisch ist mit dem zur Verschlüsselung verwendeten! Andernfalls ist eine Entschlüsselung ausgeschlossen.

Sicherheitsaspekte
Server-unabhängiges Verfahren:
In Verschlüsselung und Entschlüsselung von Dateien und E-Mails sind ausschliesslich die beteiligten ENYDRA-Programme involviert. Externe Komponenten auf dem Weg durch das öffentliche Netz übernehmen reine Transportaufgaben.
AES-Verschlüsselungsverfahren: AES (Advanced Encryption Standard) wurde im Oktober 2000 als Nachfolger für DES/3DES vom NIST (National Institute of Standards and Technology) spezifiziert. Der entsprechende Algorithmus wurde von J. Daemen und V. Rijem entwickelt. Er ist auch als Rijndael-Algorithmus bekannt. In den USA ist AES für staatliche Dokumente der höchsten Sicherheitsstufe zugelassen.
Schlüsselhandling bei ENYDRA: ENYDRA speichert an keinem Ort den für die Verschlüsselung verwendeten, definitiven 256-Bit-Schlüssel. Sowohl der Basisschlüssel als auch der definitive Schlüssel werden erst unmittelbar vor einer Verschlüsselung oder Entschlüsselung erzeugt und anschliessend sofort wieder zerstört. Lediglich die Private-Key-Settings befinden sich in den doppelt verschlüsselten Passwort-Tresors der beteiligten Programme. Bei manueller Verschlüsselung bzw. Entschlüsselung kann der Benutzer das Private-Key-Setting, also die individuelle Schlüsseleinstellung, auch erst unmittelbar vorher in den Tresor setzen.
Zusätzliche Sicherheitsmassnahmen:
In der Server-unabhängigen Verschlüsselungslösung wurden programmtechnisch zusätzliche Massnahmen zum Schutz der verschlüsselten Dateien und E-Mails realisiert. Diese Vorkehrungen erhöhen die Sicherheit der verschlüsselten Objekte insofern beträchtlich, als sie automatisierte Angriffe mit fremden Entschlüsselungsprogrammen (Brute Force Attacks) faktisch verunmöglichen.

Mehr über diese Interaktiv-Funktion erfahren Sie im Dokumentationsteil "Enydra - Interaktive Funktionen / 3.11 Passwort- und Verschlüsselungsadministration" >> Download.



|< Erstes Beispiel << rückwärts zurück vorwärts >> Letztes Beispiel >|