E2EE (End-to-End Encryption) – Ende-zu-Ende-Verschlüsselung

E2EE ist die Abkürzung für End-to-End Encryption, was sich mit Ende-zu-Ende-Verschlüsselung übersetzen lässt. Es handelt sich hier um eine Art der sicheren Kommunikation. Dritte können auf die Daten während der Übertragung nicht zugreifen, während sie von einem Endgerät oder System zum anderen gesendet werden.

Bei E2EE werden die Daten auf dem System oder dem Gerät des Senders verschlüsselt und nur der Empfänger kann sie wieder entschlüsseln. Niemand dazwischen ist in der Lage, die Daten zu lesen oder sie zu manipulieren. Dabei ist es egal, ob es sich um einen ISP (Internet Service Provider), Application Service Provider oder böswilligen Hacker handelt.

Die kryptografischen Schlüssel, die für die Verschlüsselung und Entschlüsselung verwendet werden, sind exklusiv auf den Endgeräten gespeichert. Die sogenannte Public Key Ecnryption oder Verschlüsselung mit einem öffentlichen Schlüssel macht das möglich. Der Schlüsselaustausch bei dieser Art gilt mit der derzeitigen Rechenleistung und den bekannten Algorithmen als unknackbar. Dennoch gibt es mindestens zwei bekannte Schwachstellen, die außerhalb der Mathematik existieren. Zunächst einmal muss jeder Endpunkt den öffentlichen Schlüssel des Gegenstücks erhalten. Würde ein Angreifer einem Endgerät oder sogar beiden Endpunkten einen eigenen öffentlichen Schlüssel unterjubeln, dann könnte er einen sogenannten MitM-Angriff (Man-in-the-Middle) durchführen. Ebenso nutzt E2EE nichts, wenn einer der Endpunkte kompromittiert wurde. In diesem Fall kann ein Cyberkrimineller die Inhalte entweder vor der Verschlüsselung oder nach der Entschlüsselung lesen.

Um sicherzustellen, dass der entsprechende öffentliche Schlüssel auch von der Instanz ist, die sie vorgibt zu sein, unterschreibt man sie normalerweise mit einem digitalen Zertifikat, das wiederum von einer anerkannten Zertifizierungsstelle (CA) stammt. Weil der öffentliche Schlüssel einer Zertifizierungsstelle bekannt und weit verbreitet ist, kann man sich in der Regel darauf verlassen. Ist ein Zertifikat mit so einem öffentlichen Schlüssel signiert, kann man davon ausgehen, dass es authentisch ist. So ein Zertifikat beinhaltet den Namen des Empfängers und den öffentlichen Schlüssel. Eine Zertifizierungsstelle würde mit hoher Wahrscheinlichkeit kein Zertifikat mit gleichem Namen aber unterschiedlichem öffentlichen Schlüssel unterschreiben.

Die erste Software, die großflächig auf E2EE setzte, war PGP (Pretty Good Privacy). Damit ließen sich E-Mails und Dateien verschlüsseln. Auch digitale Signaturen konnte der Anwender absichern.Weiterhin verwenden Anwendungen für Textnachrichten oftmals Ende-zu-Ende-Verschlüsselung. Dazu gehören Jabber, TextSecure und Apples iMessage und inzwischen auch WhatsApp.