Sie befinden sich hier:

Was ist der Unterschied zwischen Transport- und Ende-zu-Ende-Verschlüsselung?

Kryptografischer Schutz bei Datenübertragungen kann in Form einer Verbindungs- (Point-to-Point, Transportverschlüsselung) oder einer Ende-zu-Ende-Verschlüsselung realisiert werden.

Transportverschlüsselung

Eine Transportverschlüsselung wird durch solche Verfahren realisiert, die den Datenstrom nur zwischen bestimmten Netzknoten (z. B. Servern) chiffrieren - ungeachtet der an einer Kommunikation beteiligten Endgeräte. Bei einer Transportverschlüsselung wird ein Transportkanal (Tunnel) verwendet, wodurch die Daten während der Übertragung nicht von einem Angreifer zur Kenntnis genommen werden können. Allerdings können die Daten (nach der Entschlüsselung) bereits von der empfangenden Stelle (z. B. einem Provider) und nicht erst vom eigentlichen Empfänger gelesen werden. Eine Transportverschlüsselung bietet einen Basisschutz, reicht aber für sensible Daten oft nicht aus.

Ende-zu-Ende-Verschlüsselungen

Ende-zu-Ende-Verschlüsselungen dagegen schützen die Daten auf der gesamten Strecke zwischen Absender und Empfänger. Dazu muss die Nachrichten vor dem Versand auf dem eigenen Gerät verschlüsselt werden. So ist sichergestellt, dass weder ein Angreifer, der die Internetleitung anzapft, noch der Serverprovider bzw. die Systemadministratoren des Absenders oder des Empfängers selbst die Nachrichten lesen können. Lediglich Metadaten (wer mit wem kommuniziert) bleiben für einen Provider sichtbar.

Eine Ende-zu-Ende-Verschlüsselung gewährleistet höchste Vertraulichkeit und Integrität für Nachrichten. Der Nachteil einer Ende-zu-Ende-Verschlüsselung besteht darin, dass vor der Entschlüsselung kein Schutzprogramm die übertragenen Daten auf einen möglichen Schadensbefall überprüfen kann. Auch eine Archivierung der verschlüsselten E-Mails macht häufig keinen Sinn.

Eine Ende-zu-Ende-Verschlüsselung setzt immer eine vorherige Abstimmung der Kommunikationsteilnehmer bezüglich der Verschlüsselungsart sowie den Austausch von Zertifikaten und Schlüsseln voraus.

Realisierung

Die Transportverschlüsselung wird auf den unteren Schichten des OSI-Referenzmodells (Schicht 1-4), die Ende-zu-Ende-Verschlüsselung auf den oberen Schichten (Schicht 3-7) realisiert.

Der Vorteil der Verschlüsselung auf unteren Netzwerkschichten liegt darin, dass der bereitgestellte Schutz für sämtliche darüber liegenden Dienste und Anwendungen wirkt und somit Anforderungen einer Verschlüsselungsinfrastruktur erfüllt. Allerdings liegen die Daten in Vermittlungsstationen entsprechend höherer Schichten dann unverschlüsselt vor, was – je nach administrativer Kontrolle über diese Stationen – unerwünscht sein kann.

Die Verschlüsselung auf höheren Schichten vermeidet diese Unterbrechungen im kryptografischen Schutz, setzt jedoch die Einbindung von Verschlüsselungsfunktionalität in jeden Dienst bzw. jede Anwendung voraus, mit der schützenswerte Daten übermittelt werden. Die Verschlüsselung rückt damit auch näher zum Benutzer, was Vorteile (z. B. Möglichkeit persönlicher Schlüssel) und Nachteile (z. B. zusätzlicher Aufwand) mit sich bringt.

Sowohl bei der Transport- als auch bei der Ende-zu-Ende-Verschlüsselung kommt ein Public-Key-Verfahren zum Einsatz, bei dem es einen öffentlichen Schlüssel zum Verschlüsseln und einen privaten Schlüssel zum Entschlüsseln gibt. Nur der Empfänger kann die Nachricht mit seinem privaten Schlüssel entschlüsseln. Meist wird RSA als Algorithmus für Publiy-Key-Krypto verwendet.

nach oben