Homebanking

In Deutschland benutzten etwa 1,8 Millionen Anwender via T-Online Homebanking. Daß Homebanking viele Vorteile mit sich bringt, ist offensichtlich; Überweisungen von zu Hause aus und Kontoauszüge sollen hier nur stellvertretend genannt sein.

Was in T-Online genügend zuverlässig und sicher klappt, soll jetzt auf das Internet transferiert werden. Ziel der Banken ist es, Homebanking nicht mehr nur über T-Online anzubieten, sondern auch über das Internet. Dabei ergibt sich aber ein großes Sicherheitsproblem. T-Online ist ein in sich geschlossenes System, d.h., man kann jeden "Hack" genau zurückverfolgen und den Hacker fassen. Im Internet ist dies etwas schwierger, da man bei den derzeitigen Protokollen die Datenspur nicht immer genau zurückverfolgen kann. Deswegen versuchen die Banken ein sicheres Protokoll zu entwickeln, das es ohne Gefahr einem Anwender ermöglicht, seine PIN und TAN zu übertragen. Hierfür werden aber Verschlüsselungsverfahren gebraucht, die nur sehr schwer zu knacken sind. Klassische Verschlüsselungsverfahren wie der Data Encryption Standard (DES) und das daraus abgeleitete Triple-DES oder IDEA (International Data Encryption Algorithm) arbeiten symmetrisch, zur Kodierung wie zur Dekodierung wird also der gleiche Schlüssel verwandt. Das Problem: Dieser Schlüssel muß geheim bleiben, aber dennoch beiden Seiten bekannt sein. Zum Austausch des Schlüssels wird also ein anderes, nicht abhörbares Medium benötigt. Hinzu kommt, daß ein eigener Schlüssel für jeden Kommunikationspartner erforderlich ist. Last but not least taugen DES & Co. auch nicht zur Authentifizierung, da beide Seiten den gleichen Schlüssel verwenden.
Eine Lösung dieser Probleme bringen asymmetrische Public-Key-Verfahren: Statt eines einzigen Schlüssels gibt es bei Public-Key-Verfahren grundsätzlich zwei Schlüssel, einen öffentlichen und einen geheimen, den nur der Empfänger kennt. Zum Verschlüsseln einer Nachricht verwendet der Absender den öffentlichen Schlüssel des Empfängers, der wiederum die Nachricht mit seinem privaten Schlüssel dechiffrieren kann. Der Vorteil: Die öffentlichen Schlüssel können problemlos ohne besondere Sicherheitsmechanismen ausgetauscht werden. Jeder Anwender benötigt zudem nur ein einziges Paar von Schlüsseln, da kein anderer den privaten Schlüssel kennt. Netter Nebeneffekt: Verschlüsselt ein Absender eine Nachricht mit seinem eigenen privaten Schlüssel, kann der Empfänger durch Entschlüsseln mit dem öffentlichen Schlüssel des Absenders die Echtheit der Nachricht prüfen - dadurch eignen sich Public-Key-Verfahren auch für digitale Unterschriften. Die heute im Internet gängigen Public-Key-Technologien basieren zumeist auf den von der RSA entwickelten Public-Key Cryptography Standards (PKCS), im E-Mail-Bereich kommt darüber hinaus das Kodier-Tool "Pretty Good Privacy" zum Einsatz.

Bei der Verschlüsselung von Informationen im Internet wird oftmals eine Kombination aus symmetrischen und asymmetrischen Verfahren angewandt: Geschützt durch eine asymmetrische Public-Key-Kodierung handeln Client und Server einen Session Key aus, der anschließend als Grundlage für eine symmetrische Kodierung der eigentlichen Information dient. Als symmetrisches Verfahren wird dabei oftmals die von RSA entwickelte RC2- respektive RC4-Kodierung verwandt, da diese bei begrenzter Schlüsselgröße frei aus den USA exportiert werden darf - ganz im Gegensatz zu DES, welches unter das Kriegswaffen-Kontrollgesetz fällt.



Links im WWW:

http://www.rsa.com RSA