Deutsch English (United States)

Beiträge in diesem Abschnitt

Sicherheitsgrundlagen FAQ

Aktualisiert

Was sind Verschlüsselung und Entschlüsselung?

Verschlüsselung ist der Prozess, bei dem lesbare Daten (Klartext) mithilfe eines Verschlüsselungsschlüssels in ein unlesbares Format (Chiffretext) umgewandelt werden. Ohne den zugehörigen Entschlüsselungsschlüssel erscheint der Chiffretext zufällig und kann nicht effektiv wiederhergestellt werden. Verschlüsselung kann wie folgt sein:

  • Symmetrisch: Für sowohl Verschlüsselung als auch Entschlüsselung wird derselbe Code/Schlüssel verwendet.
  • Asymmetrisch: Die Verschlüsselung und Entschlüsselung verwenden ein mathematisch verknüpftes Schlüsselpaar, das aus einem öffentlichen Schlüssel (Public Key) und einem privaten Schlüssel (Private Key) besteht.

Entschlüsselung ist der umgekehrte Prozess: Der Entschlüsselungscode wird verwendet, um den Geheimtext in den Klartext zurückzuverwandeln.

Tresorit nutzt AES-256 für die symmetrische Verschlüsselung und RSA-4096 für die asymmetrische Verschlüsselung.

Was ist ein symmetrischer Schlüssel?

In der symmetrischen Kryptographie wird derselbe (oder triviale) geheime Schlüssel sowohl für die Verschlüsselung als auch für die Entschlüsselung verwendet. Symmetrische Verschlüsselung ist rechnerisch schneller als Public-Key-Verschlüsselung, setzt jedoch voraus, dass der geheime Schlüssel auf sichere Weise zwischen den Parteien ausgetauscht wird.

Tresorit nutzt symmetrische Schlüssel mit dem AES-256-Algorithmus, um in die Cloud hochgeladene Daten zu verschlüsseln.

Was ist AES-256?

AES-256 (Advanced Encryption Standard mit einem 256-Bit-Schlüssel) ist eine vom amerikanischen Nationalen Institut für Standards und Technologie (NIST) im Jahr 2001 standardisierte symmetrische Blockchiffre. Sie basiert auf einem Substitution-Transposition-Netzwerk, in dem jeder Verschlüsselungszyklus (oder jede Verschlüsselungsrunde) Folgendes beinhaltet:

  • Kombination des Klartexts mit einem Rundenschlüssel (abgeleitet vom Verschlüsselungsschlüssel)
  • Ersetzen von Bytes durch andere Bytes
  • Permutation (Neuanordnung) der Byte-Reihenfolge

AES-256 wiederholt diesen Zyklus 14-mal, um den Geheimtext zu produzieren. Die Entschlüsselung kehrt diese Schritte um, indem sie dieselben Schlüssel in umgekehrter Reihenfolge verwendet. Die US-Regierung erkennt AES-256 zum Schutz streng geheimer Informationen an und nach dem aktuellen Stand sind alle bekannten Angriffe rechnerisch undurchführbar.

Was sind öffentliche und private Schlüssel?

In der Public-Key-Kryptografie verfügt jeder Nutzer über ein Schlüsselpaar:

  • Public Key (öffentlicher Schlüssel): Wird öffentlich geteilt und von anderen verwendet, um Daten zu verschlüsseln oder Signaturen zu verifizieren.
  • Private Key (privater Schlüssel): Wird geheim gehalten und zum Entschlüsseln von Daten oder zum Erstellen von Signaturen verwendet.

Es ist mathematisch unmöglich, den privaten Schlüssel aus dem öffentlichen Schlüssel abzuleiten. Über Verschlüsselung hinaus werden Schlüsselpaare auch für digitale Signaturen und zur Authentifizierung verwendet.

In Tresorit ist jedes dieser Schlüsselpaare (Public-Private-Keys) mit einem Zertifikat ausgestattet.

Was ist RSA?

RSA ist ein weit verbreiteter Public-Key-Algorithmus für sowohl Verschlüsselung als auch digitale Signaturen, der nach seinen Erfindern benannt ist: Rivest, Shamir und Adleman. Die Sicherheit von RSA basiert auf der Schwierigkeit, große ganze Zahlen zu faktorisieren.

  • Verschlüsselung: Der Sender nutzt den öffentlichen Schlüssel des Empfängers (Modulus n und Exponent e), um Klartext in Geheimtext umzuwandeln.
  • Entschlüsselung: Der Empfänger verwendet seinen privaten Schlüssel (Exponent d), um den Klartext wiederherzustellen.
  • Digitale Signaturen: Die unterschreibende Person nutzt ihren privaten Schlüssel, um den Hashwert der Nachricht zu signieren. Jeder im Besitz des öffentlichen Schlüssels kann die Signatur verifizieren.

Tresorit verwendet RSA mit 4096-Bit-Schlüsseln, um maximale Sicherheit zu gewährleisten.

Was ist eine digitale Signatur?

Eine digitale Signatur bietet Authentizität und Integrität:

  • Sie wird erstellt, indem ein privater Schlüssel auf den Hashwert einer Nachricht angewendet wird.
  • Empfänger verifizieren sie mithilfe des öffentlichen Schlüssels des Senders.
  • Eine gültige Signatur beweist, dass die Nachricht wirklich vom angegebenen Sender stammt und nicht manipuliert wurde.

Tresorit setzt RSA-basierte digitale Signaturen in großem Umfang ein, um sowohl die Identität als auch die Datenintegrität zu schützen.

Was ist Hashing?

Hashing ist eine mathematische Einweg-Operation, bei der unabhängig von der Größe der Eingabe ein Ausgabewert mit fester Länge (Hashwert oder Hash) erzeugt wird. Die wichtigsten Eigenschaften von kryptografischen Hashwerten sind:

  • Irreversibel: Der ursprüngliche Eingabewert kann aus dem Hash nicht rekonstruiert werden.
  • Kollisionsresistent: Unterschiedliche Eingaben führen mit extrem geringer Wahrscheinlichkeit zum selben Hash.
  • Sensitiv: Selbst die kleinste Änderung der Eingabe erzeugt einen völlig anderen Hashwert.

Hashwerte werden weitläufig für Integritätsprüfungen und in digitalen Signaturen eingesetzt. Tresorit verwendet SHA-256, SHA-384 und SHA-512.

Was sind SHA-256, SHA-384 und SHA-512?

Diese Algorithmen gehören der SHA-2-Familie kryptografischer Hashfunktionen an, die 2002 von NIST standardisiert wurde.

  • SHA-256 erzeugt ein 256-Bit-Hash unter Verwendung von 64 Kompressionsrunden.
  • SHA-384 und SHA-512 erzeugen 384-Bit- und 512-Bit-Hashes unter Verwendung von 80 Runden.

Sie bauen auf Kombinationen von bitweisen Operationen (Rotation, Addition, XOR, Verschiebung), um eine willkürliche Eingabe in einen Hashwert mit fester Größe zu komprimieren. Nach dem aktuellen Stand bietet die gesamte SHA-2-Familie weiterhin Schutz vor angewandten Angriffen.

Was ist ein Benutzerzertifikat?

Ein Benutzerzertifikat ist ein elektronisches Dokument, das einen öffentlichen Schlüssel mit der Identität einer Person verknüpft, abgesichert durch die digitale Signatur eines Zertifikatausstellers.

Wenn Sie sich für Tresorit registrieren, stellt unser Server ein Zertifikat für Sie aus – selbst wenn Sie bereits über eins von einer anderen Zertifizierungsstelle verfügen. Der Grund dafür ist, dass Tresorit externen Zertifizierungsstellen nicht vollständig vertraut, um maximale Sicherheit zu gewährleisten.

Tresorit-Zertifikate haben das X.509-Format, sind jedoch nur innerhalb von Tresorit gültig. Wenn Sie Ihr Konto löschen, wird Ihr Zertifikat entzogen.

Was ist das X.509-Format für Zertifikate?

X.509 ist ein ITU-T-Standard, der das Format für Public-Key-Zertifikate, Zertifikatsperrlisten und entsprechende Daten definiert. Hierbei handelt es sich um den gängigsten Standard für digitale Zertifikate. Für die vollständigen technischen Daten verweisen wir auf die X.509-Empfehlung.

Was ist ein Zertifikataussteller?

Ein Zertifikataussteller – auch als Zertifizierungsstelle (Certificate Authority, CA) bekannt – ist eine Instanz, die das Eigentum eines öffentlichen Schlüssels verifiziert, indem sie ein digital signiertes Zertifikat ausstellt. Zertifikate sind vertrauenswürdig, solange deren Aussteller vertrauenswürdig ist (direkt oder über eine Vertrauenskette).

In Tresorit werden Zertifikate von den eigenen Zertifizierungsstellen (CAs) ausgestellt und gelten nur innerhalb des eigenen Ökosystems als vertrauenswürdig.

Was ist Zertifikatswiderruf?

Zertifikate können ablaufen oder widerrufen werden, wenn ihr privater Schlüssel kompromittiert wurde. Widerrufene Zertifikate werden in eine Certificate Revocation List (CRL) aufgenommen, die wiederum von der ausstellenden Zertifizierungsstelle (CA) digital signiert wird. Zertifikate, die auf der CRL stehen, dürfen nicht mehr als vertrauenswürdig angesehen werden.

War dieser Beitrag hilfreich?
19 von 24 fanden dies hilfreich

Verwandte Beiträge