Da ich ein paar Minuten Zeit habe, hier noch mal ein paar Grundlagen warum - was - wie funktioniert:
1) Es gibt symmetrische und asymmetrische Verschlüsselung
2) Die aktuelle symmerische AES-basierende Verschlüsselung gilt - wenn man sich an die Regeln hält - als absolut unknackbar, egal wie viel Rechenpower man heute hat oder in Zukunft haben wird.
3) Die aktuelle asymmetrische RSA-Verschlüsselung gilt derzeit noch als ungeknackt, es gibt jedoch akademische Ansätze, diese Verschlüsselung mit Quantencomputern zu brechen
4) Es gibt neue Konzepte für asymmetrische Verschlüsselungen, die auf ellyptiptischen Kurven basieren, die auch (nach aktuellem mathematischen Kenntnisstand) für Quantencomputer nicht brechbar sind
5) Symmetrische AES-Verschlüsselung kann rasend schnell durchgeführt werden
6) Asymmetrische Verschlüsselung ist extrem rechenaufwändig in der Durchführung
7) Quantenkryptographie hat mit all dem nichts zu tun, sie basiert auf einem anderen grundkonzeptionellem Ansatz (nämlich der Quantenverschränkung) und ist bis weit in die Zukunft hinein eher ein akademischer Denkansatz, als tatsächlich anwendbare Kryptographie
Warum macht man jetzt was und wie:
Der große Nachteil der symmetrischen Verschlüsselung ist, dass Absender und Empfänger den gleichen Schlüssel kennen müssen, da der gleiche Schlüssel sowohl für die Verschlüsselung als auch die Entschlüsselung verwendet wird. Sämtliche Kryptosysteme bis Ende der 70iger Jahre (egal ob mechanisch oder per Computer) basierten auf einer - irgend gearteten - symmetrischen Verschlüsselung.
Das Problem war (und ist immernoch), wie man den Schlüssel vom Absender zum Empfänger bringt (Codebücher oder was auch immer). Die meisten Angriffsszenarien auf symmetrische Verschlüsselungen basieren schlicht auf dem Diebstahl der Codes (die ja irgendwo stehen, bzw. mitgeteilt werden müssen).
Mit Beginn der siebziger Jahre haben sich Rivest, Shamir und Adleman grundsätzliche mathematische Gedanken darüber gemacht, ob es nicht möglich ist, eine sog. asymmetrische Verschlüsselung zu entwerfen. Das bedeutet, dass man einen anderen Schlüssel zum Verschlüsseln verwendet, als den, den man zum Entschlüsseln verwendet. Bis dahin hielt man das für mathematisch unmöglich. Um's einfach zu sagen: Sie haben's hinbekommen und bewiesen, dass es funktioniert. Die mathematischen Ausarbeitungen sind bis heute die Grundlage von PGP.
Der große Vorteil der asymmetrischen Verschlüsselung ist, dass man seinen öffentlichen Schlüssel (also den, den man zum Verschlüsseln nimmt) "in die Welt hinausposaunen kann". Beim beA kann man diesen Schlüssel für jeden Empfänger beim sog. SAFE-Verzeichnis abfragen. Verschlüsselt man eine Nachricht mit einem solchen Schlüssel, dann kann nur der Empfänger (der den geheimen Schlüssel hat), diese Nachricht wieder dekodieren.
Warum verschlüsselt man nicht einfach alle Nachrichten auf diesem asymmetrischen Wege?
Dafür gibt es unterschiedliche Gründe. Einerseits ist die Mathematik, also das Chiffrieren von Nachrichten unglaublich rechenintensiv und andererseits kann man immer nur komplette Nachrichten verschlüsseln (das funktioniert also nicht mit einem kontinuierlichem Datenstrom (z.B. beim Telefonieren, Telefaxen o.ä.).
Die Lösung:
Eine Kombination aus symmetrischer und asymmetrischer Verschlüsselung.
Wenn eine Nachricht versendet werden soll, dann erzeugt der Computer eine große Zahl an Zufallsbytes (das geht heutzutage ziemlich gut). Mit diesen Zufallsbytes wird die eigentliche Nachricht symmetrisch verschlüsselt. Das geht rasend schnell, egal, wie groß die Nachricht ist. Diese Nachricht kann dann auf einem beliebigen Weg "durch das Netz geblasen werden", keiner kann das dechiffrieren.
Um die Nachricht zu dechiffrieren, braucht man den Schlüssel (also die zuvor erzeugten Zufallsbytes). Dieser Schlüssel ist immer ziemlich klein (1 bis 2 Kilobyte). Der Schlüssel wird jetzt also asymmetrisch verschlüsselt. Dafür holt sich der Computer den öffentlichen Schlüssel des Empfängers (beim beA steht der im öffentlich zugänglichen SAFE-Verzeichnis), verschlüsselt damit den Schlüssel und sendet den ebenfalls zum Empfänger.
Nur der Empfänger kann jetzt die Nachricht dekodieren. Bei der zu dekodierende Nachricht handelt es sich erstmal um den Schlüssel. Der Schlüssel wird also dekodiert. Danach wird mit diesem Schlüssel die eigentliche Nachricht dekodiert.
Wenn man das so macht, dann spricht man von einer Ende-zu-Ende-Verschlüsselung.
Was ist beim beA anders?
Im SAFE-Verzeichnis stehen NICHT die öffentlichen Schlüssel der Empfänger, sondern:
Das beA erzeugt für jeden Empfänger eine neue Kombination bestehend aus öffentlichem und geheimem Schlüssel. Innerhalb seines HSMs speichert das beA den öffentlichen Schlüssel des finalen echten Empfängers sowie das neu - selbst - erzeugte Schlüsselpaar (bestehend aus öffentlichem und privatem Schlüssel). Der vom HSM selbst erzeugte öffentliche Schlüssel wird im SAFE-Verzeichnis öffentlich gemacht.
Wenn nun jemand an jemand anderen sendet, dann übermittelt er den (aus Zufallswerten bestehenden) Kryptokey nicht an den finalen Empfänger, sondern er sendet diesen Kryptokey (verschlüsselt) an das HSM. Nur das HSM kann diesen Kryptokey "auspacken". Genau das macht es und verpackt (chiffriert) ihn danach neu für die finalen Empfänger.
Das HSM "sieht" zwar die ursprüngliche Nachricht nicht, aber es "sieht" die Schlüssel, mit denen diese Nachricht kodiert wurde. Tatsächlich und faktisch wird der geheime Schlüssel also nicht zur ausschließlichen Dechiffrierung durch (bzw. an) den Empfänger verpackt und gesendet, sondern er (der Schlüssel) wird zur Dechiffierung durch bzw. an das HSM (das steht im Rechenzentrum der BRAK) gesendet; das HSM packt den Schlüssel aus, verpackt ihn neu (diesmal für den bzw. die finalen Empfänger) und senden ihn an den bzw die Empfänger. Das gesamte Sicherheitskonzept basiert darauf, dass niemand irgendwie an das HSM rankommt. Sowie das HSM in irgend einer Form kompromittiert wird, sind sämtliche Nachrichten aller Anwälte und aller Gerichte schlagartig dechiffrierbar.
Was macht man als "Geheimdienst"?
Man speichert sämtliche geheimen Nachrichten aller Anwälte und Gerichte, die jemals übertragen wurden (das kostet nur einige 100T€ pro Jahr) und versucht auf irgend einem Wege an das HSM ranzukommen (Erpressung, Sex, Designfehler, Blödheit, was auch immer).
Das HSM ist also der Dreh- und Angelpunkt. Wenn das Ding auf irgend einem Wege "ausgehebelt wird", dann war's das. Blöderweise "war's das" dann auch gleich für alle Gerichte und alle Anwälte. Die gesamte Kommunikation aller ist auf einen Schlag offenliegend. Genau hier liegt ein weiterer wesentlicher Kritikpunkt. Bei einer echten Ende-zu-Ende-Verschlüsselung kann immer nur einer angegriffen werden, d.h. im schlimmsten Fall wird ein Anwalt oder ein Gericht "geknackt", durch den HSM-Einsatz reicht der - erfolgreiche - Angriff auf dieses eine Gerät, um absolut die gesamte geheime Kommunikation aller schlagartig (auch rückwirkend) vollständig zu kompromittieren (offenzulegen).
Abschließend noch ein Argument gegen all die Leute, die sagen, dass Telefaxe und Briefe viel leichter "abzufangen" oder abzuhorchen/zu lesen sind:
Bei Telefaxen, Briefen u.v.m. muss man einen schier gigantischen Aufwand betreiben. Man kann damit immer nur einzelne Personen oder kleine Gruppen ausspionieren. Es ist quasi unmöglich auf diesem Wege sämtliche Post "mitzulesen", schlicht weil niemand alle Briefsendungen aller Anwälte und Gerichte gleichzeitig abfangen kann. Durch die digitale beA-Kommunikation läuft alles in einem singulärem Gerät zusammen. Wenn man das knackt, ist das Mandantengeheimnis für alle Anwälte in Deutschland gleichzeitig gebrochen.
Meiner Ansicht nach ist damit der Einsatz eines HSMs (um eine solche Konstruktion zu bauen) ganz grundsätzlich abzulehnen, denn das Ding müsste schon tatsächlich unendlich sicher sein, da in ihm ja alles singulär zusammenläuft. Und unendliche Sicherheit gibt es nicht, sondern nur Sicherheit nach menschlichem Ermessen (nicht mal kryptographische/mathematische Sicherheit, sondern "nur" menschliche Sicherheit).
Ich hoffe, dass dieser "Ausflug" in das Gesamte für die Neueinsteiger informativ war.
