Was die Voraussetzungen für sichere Datenübertragung im Internet sind, was Kryptographie eigentlich ist, diese Fragen beantwortet Ihnen die kurze Einführung. Desweiteren erfahren Sie, was die Übertragungsprotokolle SET und SSL leisten und wie sie funktionieren.
Grundbegriffe
Sichere Zahlungen im Internet sind dann möglich, wenn drei Bedingungen erfüllt sind:
Vertraulichkeit:
Es muss gewährleistet sein, dass kein Dritter die übermittelteten Daten mitlesen, also beispielsweise Kreditkartennummern ausspähen kann.
Integrität:
Die Daten dürfen auf dem Weg vom Absender zum Empfänger nicht verändert werden können
Authentizität:
Die beiden Kommunikationspartner müssen sich gegenseitig ausweisen, damit sichergestellt ist, dass sie wirklich diejenigen sind, die sie zu sein vorgeben. Dazu dienen elektronische Ausweise, sog. “ digitale Zertifikate“
Kryptografie
Um die drei unter Grundbegriffe genannten Bedingungen zu erfüllen, versendet man die Daten nicht offen, sondern verschlüsselt. Sie erinnern sich sicher noch an Ihre Kindheit, als Sie geheime Nachrichten an Freunde verschickten, indem Sie beispielsweise ein A durch eine 1, ein B durch eine 2 usw. ersetzt haben. Der Empfänger musste dann die Zahlen nur wieder in umgekehrter Richtung ersetzen, und konnte dann die Botschaft lesen. Nach diesem Verfahren steht z. B. „1,6,6,5“ für „AFFE“. Die heutigen Verfahren sind wesentlich komplizierter, so dass eine eigene Wissenschaft entstanden ist, die sich mit dem Ver- und Entschlüsseln von Nachrichten beschäftigt, die Kryptografie.
Man unterscheidet zwei Arten von Verschlüsselungsmethoden: symmetrische und asymmetrische. Bei der symmetrischen Verschlüsselung ist das Kennwort für die Ver- und Entschlüsselung identisch. Das ist solange eine sichere Lösung, wie die damit verschlüsselten Daten an einem Ort bleiben, also beispielsweise, wenn Sie Ihre Exceltabellen mit einem Paßwort schützen. Schwierigkeiten entstehen allerdings dann, wenn Sie diese Daten übertragen wollen. Sie benötigen nämlich einen sicheren Weg, den Schlüssel, also das Kennwort, zu übertragen.
Diese Schwierigkeit wurde 1976 aus dem Weg geräumt, als Whitfield Diffie und Martin Hellmann die sogenannte Public-Key- Verschlüsselung erfanden, ein asymmetrisches Verfahren. Nun hat man zwei verschiedene, aber miteinander verbundene Schlüssel für Ver- und Entschlüsselung. Der sogenannte öffentliche Schlüssel („public key“), den ruhig jeder kennen darf, dient zur Verschlüsselung der Daten. Um die Daten wieder lesbar zu machen, benötigt man einen zweiten, den sogenannten privaten Schlüssel (private key). Anschaulich gesprochen, verschlüsseln Sie einen Text mit dem Kennwort „Schneewittchen“ als öffentlichem Schlüssel, erzeugen damit einen Text, der so aussieht, als wäre eine Katze über die Tastatur gelaufen, und können ihn mit „Schneewittchen“ nicht in den Ursprungstext zurückverwandeln, weil das nur mit dem privaten Schlüssel, meinetwegen „7 Zwerge“ geht. Nun können Sie Ihren öffentlichen Schlüssel „Schneewittchen“ aller Welt bekannt geben, ihn in Anzeigen und im Briefpapier veröffentlichen, so dass jeder Ihnen nun eine damit verschlüsselte Mitteilung senden kann, die nur Sie selbst entziffern können, weil niemand sonst weiß, dass dafür „7 Zwerge“ nötig sind.
Bekannt geworden ist das Public Key-Verfahrens durch das Email-Verschlüsselungsprogramm PGP – Pretty Good Privacy – von Phil Zimmermann.
Natürlich gibt es auch hier wieder einen Haken: Public-Key-Verfahren brauchen bis zu tausendmal länger für das Verschlüsseln als Private-Key- (= symmetrische) Verfahren und benötigen Schlüssel, die bis zu zehnmal so lang sind, um einen gleichen Sicherheitsstandard zu gewährleisten.
Über die Sicherheit im elektronischen Datenaustausch erhalten Sie detaillierte Informationen in unserer Rubrik EDI & Sicherheit
SSL- Secure Socket Layer
Die gängigen Browser haben ein Verfahren zur sicheren Datenübertragung eingebaut, dass die Stärken der symmetrischen und asymmetrischen Verschlüsselung nutzt und die Nachteile vermeidet: Zuerst wird eine „langsame“ Public-Key-Verbindung zwischen Browser (= Kunde) und Server (= Anbieter) aufgebaut, über die ein symmetrischer Schlüssel und die elektronischen Ausweise = Zertifikate sicher ausgetauscht werden. Für die eigentliche Datenübertragung benutzt man nun das schnellere symmetrische Verfahren. Dieses von Netscape Communications entwickelte sog. SSL-Protokoll war im Netscape Navigator von Anfang an und Im Microsoft Internet Explorer ab der Version 3.0 eingebaut.
Webseiten, die Daten nach diesem Verfahren gesichert in Empfang nehmen, erkennt man in der Adresse am „s“ in https://www… anstatt http://www…, sowie am unteren Bildschirmrand im Netscape Navigator am geschlossenen Schlüssel, der sonst unterbrochen ist, bzw. im IE am geschlossenen Vorhängeschloß, das sonst offen ist.
1995 hat Microsoft eine Variante von SSL, die sog. Private Communications Technology (PCT), vorgeschlagen und in den IE 3.0 eingebaut, und im Mai 1997 hat die Internet Engineering Task Force – IETF -, die für die Internetstandards zuständig ist, ebenfalls eine Erweiterung des SSL-Protokolls namens Transport Layer Security (TLS) in Angriff genommen.
SET – Secure Electronic Transactions
So gut und verbreitet das SSL-Verfahren auch ist – man stößt schließlich andauernd auf https-Seiten – so nimmt man dabei doch einige Nachteile in Kauf, die durch ein neues Verfahren, eben SET, überwunden werden sollen.
Die Verbesserung liegt nicht nur in der Verlängerung des Schlüssels, also einer geringfügigen technischen Modifikation, die man bei SSL auch einführen könnte, sondern in der Änderung und Erweiterung des Kauf- und Abrechnungsvorgangs. Es sind nicht mehr nur Händler und Käufer, sondern zusätzlich eine Bank an einem Geschäft beteiligt und bei sämtlichen Kommunikationsvorgängen zwischen den beteiligten Rechnern muss sich jedesmal jeder gegenüber jedem durch einen elektronischen Ausweis, ein digitales Zertifikat, legitimieren. Diese digitalen Zertifikate werden von Institutionen, die allgemein für vertrauenswürdig gehalten werden, wie beispielsweise Banken, ausgestellt.
Der Händler bekommt die Kreditkartennummer nicht zu sehen, die Bank erfährt nicht, was der Kunde gekauft hat, und zum Schluß ist das Geschäft für alle Beteiligten sicher abgewickelt. Der elektronische Handel soll durch den Schutz der Privatsphäre gefördert werden.
Im einzelnen läuft das so ab: Wenn ein Kunde etwas kaufen will, klickt er auf einen entsprechenden Link, und der Händler schickt ihm eine spezielle Datei, die beschreibt, was der Kunde kaufen will. Der Kundencomputer verschlüsselt nun diese Kaufanweisung in einer bestimmten Weise, so dass auch die Kreditkarteninformationen mit übertragen werden. Beide Teile, der Auftrag und die Kreditkarteninformation, werden elektronisch signiert und wieder zum Händler geschickt. Der Händler entschlüsselt den Bestellteil und schickt den Rest an seine Bank. Diese entschlüsselt die Kreditkarteninformation, autorisiert die Abbuchung und schickt verschlüsselt dem Händler eine Bestätigung. Der Händler entschlüsselt die Nachricht, überprüft sie und schickt eine Bestätigung an den Kunden.
Klingt kompliziert? Ist es im Prinzip auch. Glücklicherweise läuft das ganze vollautomatisch ab, so dass man als Kunde bzw. Händler nur einmal ein entsprechendes SET-fähiges Konto bei der Bank aufgesetzt haben und die nötige Software auf dem Server bzw. dem heimischen PC installiert haben muss, um danach bequem damit arbeiten zu können.
SET ist von MasterCard und VISA unter Beteiligung anderer namhafter Konzerne wie IBM, Netscape, Microsoft und VeriSign entwickelt worden und es ist zu erwarten, dass diese SET als Standard durchsetzen werden.
SET-Einstiegsinformationen für Händler und Unternehmen erhalten Sie in unserem Gastbeitrag
