1002926

Das ABC des Macintosh - V wie Verschlüsselung

29.09.2008 | 09:51 Uhr |

Immer seltener finden sich in Privathaushalten offene WLANs. Die Technik kann aber nur dann sicher sein, wenn der Anwender sorgsam mit ihr umgeht. Für seine Sicherheit ist nun einmal jeder selbst verantwortlich.

Apple Mail SSL-Verschlüsselung
Vergrößern Apple Mail SSL-Verschlüsselung

Ich dürfe den iPod Touch ruhig mal über das Wochenende ausprobieren, hat der Kollege aus dem Hardwareressort gesagt. Und natürlich habe ich gleich mal alle vorinstallierten Programme getestet, insbesondere auch die Straßenkarte. Die Lokalisierungsfunktion fand unser Schwabinger Bürogebäude exakt, was im ständig wachsenden quirligen Gewerbegebiet nahe der markanten Highlight-Towers auch kein Wunder ist. Dass aber auch zu Hause die Software den Standort auf den Meter genau trifft, erstaunt dann doch. Mein WLAN ist also jemandem bekannt. Gut, dass ich es gesichert habe.

Im Gegensatz zum iPhone 3G kommt der iPod Touch ohne GPS-Modul aus, kann sich aber anhand des nächsten bekannten WLANs orientieren. Wo welcher drahtlose Internetzugangspunkt steht, hat die Firma Skyhook Wireless in Erfahrung gebracht. Schon bei der Premiere des iPhones im Januar 2007 hatte Apple-CEO Steve Jobs den Service erläutert. Skyhook kennt die Standorte von zehntausenden WLANs und Mobilfunkmasten und kann mittels Triangulation den Ort recht genau bestimmen, genauer geht es nur mit dem Satellitensystem GPS. In Ballungsgebieten funktioniert die Lokalisierung genauer als auf dem platten Land. Anderthalb Jahre später ist Skyhooks Vermessung der drahtlosen Welt so weit fortgeschritten, dass die Firma nun sogar die genauen Standorte von WLANs in Münchener Vororten kennt, sogar von solchen, die von der nächsten Durchgangsstraße gut 100 Meter Luftlinie entfernt sind.

Skyhook Wireless interessiert sich nur für den Standort eines WLANs, und nicht für die Daten, die deren Besitzer darüber sendet. Wenn aber Skyhook völlig unbemerkt den Standort meiner Time Capsule gefunden hat, würde mir auch nicht auffallen, wenn Kriminelle meine Bankgeschäfte belauschen. Klar ist also: Wer seinen Wireless-Router unverschlüsselt betreibt, kann auch gleich seine Bankkarten mitsamt PIN-Nummern offen vor die Haustür legen.

Als sicherer Verschlüsselungsstandard gilt derzeit WPA2 (Wifi Protected Access), vom älteren Standard WEP (Wired Equivalent Privacy) sei dringend abgeraten. WPA2 basiert auf dem Verschlüsselungsstandard AES (Advanced Encryption Standard), der bis dato nicht einmal mit brutalen Methoden, also enormen Rechenaufwand, geknackt wurde. Schlüssellängen von 128 oder 256 Bit und eine Verschlüsselung in Blöcken machen AES für heutige Computer ausreichend sicher. Zwei Risiken bestehen dennoch: Die Schlüsselübergabe und die Passwortwahl. Da AES ein symmetrisches Verfahren ist, müssen beide Partner, also etwa Macbook und Time Capsule, den gleichen geheimen Schlüssel besitzen. Dieses wird über pre-shared keys (PSK) gewährleistet, was nichts anderes bedeutet, als dass beim Einrichten eines WPA2-Schutzes der Anwender beim Empfänger ein Passwort hinterlegt und das gleiche Passwort verwendet, wenn er sich mit seinem Sender Macbook oder iPod Touch anmeldet. Im Moment der Schlüsselübergabe freilich ist das Netz ungeschützt, weshalb es sich empfiehlt, einen neuen Router über Ethernet und nicht drahtlos einzurichten. Eine zweite Gefahr lauert im Passwort, Experten empfehlen, es bis zu 64 Zeichen lang mit Groß- und Kleinbuchstaben, mit Zahlen und Sonderzeichen zu füllen. Ein Passwort wird also umso sicherer, je schwerer man es sich selbst merken kann. Denn wenn Neugierige das gesicherte Netz mit dem Namen "Time Capsule" finden, werden sie es zunächst mit einfach zu erratenden Begriffen wie "Passwort" oder "Time Capsule" versuchen und danach mit Hilfe des Dudens und einer geduldigen Software alle möglichen Wörter versuchen.

Einen solchen Schlüssel kann man aber schwerlich mit seiner Bank oder dem Online-Versandhaus vereinbaren, deshalb kommt beim sicheren Datenverkehr im Web ein anderes Verschlüsselungsverfahren zum Einsatz. Meldet man sich etwa über https://www.meine-hausbank.de zum Online-Banking an, verwendet der Browser zur Kommunikation den öffentlichen Schlüssel des Kreditinstitutes. Mit dem nur der Bank bekannten geheimen Schlüssel übersetzt die Software die vom Kunden stammenden Daten in Klartext zurück. Aus praktischen Gründen geschieht dies jedoch nur zum Austausch eines symmetrischen Schlüssels, der im eigentlichen Datenverkehr zum Einsatz kommt. Würde man die gesamte Kommunikation asymmetrisch verschlüsseln, ginge das deutlich zu Lasten der Geschwindigkeit. Nur den Schlüssel zu verschlüsseln reicht völlig aus, bis dato sind keine mathematischen Methoden bekannt, eine asymmetrische Verschlüsselung, die große Primzahlen verwendet, mit zumutbaren Aufwand umzukehren. Multipliziert sind zwei 25stellige Primzahlen schnell, die so entstandene 625stellige Zahl aber auch mit den heute schnellsten Rechner nicht in endlicher Zeit in ihre Primfaktoren zu zerlegen. Das Kombi-Verfahren, das Banken und Online-Händler verwenden, ist sicher genug. Solange das WLAN zu Hause gesichert ist. Und solange weder das Passwort für die Time Capsule noch das für das Bankkonto dem Namen der Ehefrau entsprechen.

0 Kommentare zu diesem Artikel
1002926