E2EE (von Englisch „end-to-end encryption“) bedeutet, dass Nachrichten beim Sender verschlüsselt und erst beim Empfänger wieder entschlüsselt werden.
Marketing Jobs bei Boxcryptor
Jonathan Zimmermann | Marketing Manager
@JonZmoep
2019 M06 13, Thu

Ende-zu-Ende Verschlüsselung (E2EE) für Dropbox, Google Drive & Co.

Wenn Sie einen Cloudspeicherdienst nutzen um Ihre Dateien zu speichern, wollen wir sicher gehen, dass Ihre Inhalte in der Cloud gut geschützt sind. Egal ob es sich um wichtige Dokumente oder Ihre Urlaubsfotos handelt – außer Ihnen sollte niemand Zugriff auf diese Dateien und Ordner haben.

Einige Cloud-Provider bieten einen gewissen Schutz. Dennoch werden Sie als Benutzer solcher Speicherdienste besser schlafen können, wenn Sie Gewissheit haben, dass Ihre wichtigen Dateien zu keinem Zeitpunkt in ihrer lesbaren (also ungeschützten) Form auf fremden Servern liegen. Ebenso wichtig ist der Schutz der Daten auf der Übertragungsstrecke, also auf dem Weg von Ihrem Gerät hin zum Server des Cloud-Anbieters.

Dies geht nur mit einer echten Ende-zu-Ende Verschlüsselung. Hier erklären wir Ihnen das Prinzip der Ende-zu-Ende Verschlüsselung und ihre Funktionsweise.

Was ist Ende-zu-Ende Verschlüsselung (E2EE)?

E2EE (von Englisch „end-to-end encryption“) bedeutet, dass Nachrichten beim Sender verschlüsselt und erst beim vorhergesehenen Empfänger wieder entschlüsselt werden. Sie dürfen dazwischen niemals in unverschlüsselter Form vorliegen. Um letzteres zu garantieren, darf der Schlüssel für die Entschlüsselung der Nachricht, ausschließlich dem Sender und dem Empfänger zur Verfügung stehen. Dies ist der entscheidende Aspekt für echte Ende-zu-Ende Verschlüsselung.

  • Sollte der Schlüssel zum Entschlüsseln der Datei auf einem Server, welcher auch die Nachricht an sich speichert oder weiterleitet, gespeichert sein, ist es keine echte E2EE.

  • Kann der Schlüssel von einem Server auf dem Weg berechnet oder anderweitig abgeleitet werden, ist es keine echte E2EE.

Die Schwierigkeit für echte E2EE Protokolle besteht in der Praxis darin, dem Empfänger den Schlüssel zur Entschlüsselung zukommen zu lassen. Das ist einfach, wenn man sich persönlich treffen könnte, um vor dem Versand einen Dateischlüssel auszutauschen - aber das ist nur in den seltensten Fällen möglich.

In der Praxis wird deshalb oft auf eine Public-Key-Infrastruktur zurückgegriffen. D.h. der Empfänger veröffentlicht einen öffentlichen Schlüssel, den Public Key. Mit dem Public Key kann nur verschlüsselt, nicht jedoch entschlüsselt werden. Der Sender kann nun die Nachricht mit diesem Public Key verschlüsseln, und dem Empfänger zusenden. Dieser besitzt als einziger den privaten Schlüssel, also den Private Key, und kann daher als einziger die Nachricht entschlüsseln. Diese Form der Verschlüsselung wird als Ende-zu-Ende Verschlüsselung bezeichnet.

Damit ist zwar das Problem des Schlüsseltausches gelöst, es ergeben sich jedoch andere: Woher weiß der Sender, dass der Public Key, den er erhalten hat, tatsächlich der des Empfängers ist, und dass sich nicht ein (unbefugter) Dritter als Empfänger ausgibt? Dieses Problem ist schwer zu lösen und ohne eine zentrale Instanz, welche die Zuordnung zwischen (berechtigtem) Nutzer und Public Key vornimmt, nicht zu lösen. Boxcryptor fungiert als solch eine zentrale Instanz. Das ist übrigens auch der Grund dafür, dass sich unsere Nutzer für Boxcryptor registrieren müssen.

Wie funktioniert Ende-zu-Ende Verschlüsselung?

Die Nachricht (oder Datei) wird auf dem Gerät des Senders mit hybrider Verschlüsselung unlesbar gemacht. Die hybride Verschlüsselung wird aus Effizienzgründen verwendet und bedeutet, dass die Nachricht mit einem symmetrischen Schlüssel (z.B. AES) verschlüsselt wird. Der verwendete AES-Schlüssel wird mit dem Public Key des Empfängers verschlüsselt und sowohl die verschlüsselte Nachricht, als auch der verschlüsselte AES-Schlüssel, werden an den Empfänger geschickt. Dieser kann nun zunächst den AES-Schlüssel mit seinem Private Key, dann die Nachricht mit dem mitgesendeten AES-Schlüssel entschlüsseln.

Häufigste Anwendungsfelder

E2EE kann überall da eingesetzt werden, wo Nachrichten verschlüsselt übertragen werden sollen - und auf dem Übertragungsweg nicht analysiert werden müssen. Ein "klassisches" Anwendungsgebiet gibt es nicht. Verwendet wird es aber oft für Chats oder für verschlüsselten Dateiversand.

Wie implementiert Boxcryptor Ende-zu-Ende Verschlüsselung?

Das Schlüsselpaar des Boxcryptor-Nutzers wird auf dessen Gerät erzeugt. Dieses besteht aus einem Private- und einem Public Key. Das Schlüsselpaar wird dann auf den Server von Boxcryptor geladen. Dabei wird der Private Key mit dem Passwort des Boxcryptor-Nutzers verschlüsselt.

Dadurch haben wir zwei Vorteile:

  • Zum einen kann der Nutzer die Ver- und Entschlüsselung von jedem Gerät aus bedienen, ohne seine Schlüssel physikalisch mitnehmen zu müssen, da der Boxcryptor-Server sie auf Anfrage ausliefern kann.
  • Zum anderen können wir trotzdem nicht auf die Schlüssel des Nutzers zugreifen, da diese mit dem Passwort des Nutzers verschlüsselt sind - das ist eine der Voraussetzungen für E2EE.

Wird nun eine Datei geteilt, holt Boxcryptor zunächst den Public Key des Nutzers, mit dem die Datei geteilt werden soll, vom Boxcryptor Server. Der Public Key ist nicht geheim, da mit ihm ja lediglich verschlüsselt werden kann. Er befindet sich daher im Klartext auf dem Boxcryptor Server. Mit dem Public Key verschlüsselt Boxcryptor nun den AES-Schlüssel, mit dem die Datei verschlüsselt ist. Dieser verschlüsselte AES-Schlüssel wird nun an die Datei angehängt.

Die Synchronisationssoftware der Cloudspeicheranbieter synchronisiert die verschlüsselte Datei (inklusive verschlüsseltem AES-Schlüssel) auf das Gerät des Empfängers, wo dieser zunächst den AES-Schlüssel mit seinem Privaten Schlüssel und anschließend die Datei entschlüsseln kann.

Das in diesem Artikel beschriebene Verschlüsselungsprotokoll ist eine vereinfachte Darstellung, da jede Menge Details hinter dem Vorgang der Ende-zu-Ende-Verschlüsselung stecken. Für eine genaue Beschreibung des gesamten Verschlüsselungsprotokolls bieten wir Ihnen einen technischen Überblick über die Funktionsweise von Boxcryptor.

Schützen Sie Dropbox, Google Drive, oder eine von 30 anderen Clouds mit Boxcryptor

Ende-zu-Ende-Verschlüsselung gibt Ihnen volle Kontrolle und Schutz Ihrer Daten. Schützen Sie jetzt Ihre Daten und Dokumente in der Cloud mit Boxcryptor.

Beitrag teilen