Was ist Kryptografie

Unter den Bedingungen einer relativen Unkontrollierbarkeit von Daten- und Informationsströmen innerhalb global ausgedehnter Computernetzwerke haben sich kryptografische Verfahren als vielversprechendste Möglichkeit zum Datenschutz respektive zur Errichtung von stabilen, gegen Angreifende geschützten Informationsbarrieren bewährt.

Allgemein gesprochen basieren kryptografische Verfahren auf mathematischen Problemen, welche nur äußerst schwer beziehungsweise nur mit immensen Rechenressourcen, also ausreichend Zeit, leistungsfähigen Prozessoren, Speicher etc., rechnerisch gelöst werden können. Die Auflösung dieser mathematischen Probleme ist immer dann erforderlich, sobald man keine Berechtigung hat, auf bestimmte Informationen zuzugreifen. Andernfalls ist man – zumindest der Theorie nach – im Besitz von Schlüsseln, mit denen das mathematische Problem nicht aufgelöst werden muss. Kryptografie schafft auf diese Weise Informationssicherheit, da kryptografische Verfahren nur dann gebrochen werden können, wenn jene bislang praktisch ungelösten und nicht in Polynomialzeit auflösbaren mathematischen Verfahren doch praktisch innerhalb eines vertretbaren Zeitrahmens gelöst werden, was jedoch mit sehr hoher Wahrscheinlichkeit ausgeschlossen werden kann. Die Schwierigkeit der mathematischen Probleme garantiert die Sicherheit der Kryptosysteme.

Traditionelle kryptografische Verfahren setzen auf symmetrische Schlüsselsysteme, bei denen die Kommunikationspartner jeweils denselben Schlüssel zur Entschlüsselung übermittelter Informationen verwenden, welcher geheim gehalten werden muss. Diese Secret-Key-Kryptosysteme sind im Kontext von internetbasierten Anwendungen ungeeignet, da der Schlüsseltausch, welcher vor dem Informationsaustausch zwischen den Kommunikationspartnern durchgeführt werden muss, eine Schwachstelle darstellt, welche von Angreifern ohne größeren Aufwand ausgenutzt werden kann. Moderne Kryptografie setzt daher auf asymmetrische Public-Key-Kryptosysteme, bei denen jeweils verschiedene, also private und öffentliche Schlüssel zur Anwendung kommen.

Anwendungsarten

Es existieren verschiedene Anwendungen für Kryptografie in der informationstechnischen Kommunikation: Eine Datei- oder Festplattenverschlüsselung sorgt z.B. dafür, dass dort gespeicherte Informationen nur durch authentifizierte Personen gelesen werden können. Beispiele sind das sehr bekannte aber mittlerweile eingestellte TrueCrypt sowie BitLocker. Eine Transportverschlüsselung hingegen sorgt dafür, dass die Kommunikation zwischen einem Server und einem Client (also Computer, Smartphone o.Ä.) nicht mitgelesen werden kann und wird bei vielen Webseiten wie z.B. beim Online-Banking oder beim Zugriff auf Kundenkonten eingesetzt. Die gebräuchlichste Form der Transportverschlüsselung nennt man TLS (Transport Layer Security), in früheren Versionen auch als SSL bekannt. Die übertragenen Daten liegen aber auf dem Server bzw. beim Computer unverschlüsselt vor. Bei der Ende-zu-Ende-Verschlüsselung wird wiederum darauf Wert gelegt, dass bei einer Kommunikation zwischen zwei Geräten die dazwischenliegenden und die Daten transportierenden Server selbst ebenso wenig mitlesen können wie Fremde. PGP im E-Mail-Verkehr oder auch das Signal-Protokoll bei Smartphone-Messengern (u.a. eingesetzt bei WhatsApp) sorgen dafür, dass nur die beiden Kommunizierenden die Inhalte sehen können, nicht aber die Infrastrukturbetreiber. Natürlich sind diese verschiedenen Formen der Verschlüsselung auch kombinierbar.

Informationssicherheit

Kryptosysteme sollen die Vertraulichkeit der Kommunikation bzw. der Informationsübermittlung sichern. Deshalb spielen sie durchaus eine relevante Rolle in Debatten um Privatheit, weil häufig (aber nicht immer) Privatheit mit geschützten Informationen gleichgesetzt wird. Zudem sollen sie die Integrität der übermittelten Informationen garantieren. Vertraulichkeit bei der elektronischen Telekommunikation kann durch den Einsatz sicherer Verschlüsselungsmethoden hergestellt werden, sodass überhaupt die Bedingungen dafür geschaffen sind, dass geschützte Informationen in Datenpaketen an eine*n Kommunikationspartner*in übermittelt werden. Zudem ist die Integrität von Informationen immer dann gegeben, wenn sichergestellt werden kann, dass die Informationen bei ihrer Übermittlung über einen potentiell unsicheren Kommunikationskanal zwischen Sender*in und Empfänger*in nicht manipuliert worden sind. Darüber hinaus wird bei einigen Verfahren durch Verifizierung sichergestellt, dass die Kommunikation nur zwischen zwei untereinander ausgewiesenen Endpunkten stattfindet und sich niemand drittes als einer dieser Endpunkte ausgeben kann.

Eine Interpretation der Bedeutung von Kryptografie für Privatheit schließt an Theorien der informationellen Kontexte an: Nach dieser Lesart schaffen Verschlüsselungstechnologien die Bedingungen für die Herstellung von Privatheit, indem sie es ermöglichen, im Rahmen der über informationstechnische Systeme vermittelten Kommunikation unterschiedliche Informationskontexte voneinander zu trennen.¹ Durch Verschlüsselung kann z.B. der Kontext des Austauschs unter Freunden vom Kontext der Arbeit getrennt werden, oder der Kontext der Arzt-Patienten-Beziehung vom Kontext der Wirtschaft. Das bedeutet, dass kryptografische Verfahren verschiedene sozial entstandene Informationskontexte innerhalb informationstechnischer Systeme reproduzieren. Diese aufrecht erhaltenen Informationskontexte sorgen wiederum dafür, dass die jeweiligen Normen des angemessenen Informationsflusses (die bestimmen, wer Empfänger*in bestimmter Informationen sein darf und wie Informationen verbreitet werden dürfen) auch im Rahmen vernetzter informationstechnischer Systeme eingehalten werden. Kryptografische Verfahren sind daher eine der Technologien, mit welcher auf den globalen Trend der wachsenden Verbreitung von Daten- und Informationsströmen reagiert wird. Verschlüsselung spielt deshalb in Debatten um Privatheit eine große Rolle, weil sie als eine Möglichkeit verstanden wird, ein bestimmtes Verständnis von Privatheit (das der getrennten Informationskontexte) umzusetzen.

Aber auch für ein Privatheitsverständnis, das Privatheit v.a. über die erfolgreiche individuelle Informationskontrolle definiert, ist Verschlüsselung zentral. Denn sie stellt ein Instrument dar, Informationen vor anderen zu schützen und selbst zu kontrollieren, wer wann darauf Zugriff haben soll.