| Abbildung 2.3: | VPN-Architektur [Lie02, S. 22] |
Ich behandle hier VPN weil ich mich im Rahmen der Einrichtung des Internetzugangs über Wireless LAN damit beschäftigt habe. Der Zugang der HTW Aalen erfolgt über OpenVPN. Diese Software ist standardmäßig nicht auf dem Eee PC installiert.
VPN heisst Virtuelles Privates Netz. Es ist kein separates Netzwerk wie LAN, das nur bestimmten Nutzern zur Verfügung steht, sondern ein virtuelles Netz das durch Verschlüsslung der Öffentlichkeit verborgen bleibt. Das Internet wird als gemeinsames Netzwerk genutzt um private Daten zu übertragen. Für zeitkritische Kommunikation ist ein VPN nicht besonders gut geeignet. Als Verschlüsslung wird beim VPN der HTW Aalen offensichtlich der Advanced Encryption Standard (AES) verwendet, wie aus der Konfigurationsdatei hervorgeht. Dabei wird ein 256-Bit Schlüssel verwendet. AES ist der Nachfolger des Data Encryption Standard (DES) und Triple DES (3DES). Es handelt sich hier um einen symmetrischen 128-Bit-Blockchiffrieralgorithmus. Symmetrisch bedeutet, dass bei der Verschlüsslung und Entschlüsslung derselbe Schlüssel verwendet wird. AES wurde von den belgischen Wissenschaftlern Joan Daemon und Vicent Rijmen Ende 2000 entwickelt. Der AES-Algorithmus nennt sich auch Rijndael-Algorithmus. Er ist sehr effizient implementiert und benötigt deshalb bei der Ver-/Entschlüsslung nur wenig Rechenleistung und Speicherbedarf. Das Verschlüsslungsverfahren gilt als sicher und wird weltweit eingesetzt. Es kommt auch im Wireless LAN unter der Bezeichung WPA2 zum Einsatz. Der Schlüsselaustausch muss geheim erfolgen, so dass niemand den Schlüssel abfangen kann. Eine unverschlüsselte E-Mail ist dafür nicht geeignet. Das Passwort sollte möglichst lang und aus Buchstaben, gemischt mit Zahlen, bestehen. Zur Erhöhung der Sicherheit sollte es regemäßig geändert werden.
Zum Schlüsselaustausch werden asymmetrische Verschlüsslungsverfahren eingesetzt. Damit kann jeder mit einem öffentlichen Schlüssel Daten verschlüsseln aber nicht entschlüsseln. Dafür ist ein anderer Schlüssel notwendig der nur der Empfänger besitzt. Der Diffie-Hellmann-Schlüsseltausch wurde von den amerikanischen Kryptographen Whitfield Diffie und Martin Hellmann 1976 erfunden. Dabei nutzt man mathematische Gesetze aus die eine Entschlüsslung verhindern. Eine Exponentation ist leicht berechenbar, die Umkehrung ist nicht durchführbar. Daniel und Simon wollen einen identischen geheimen Schlüssel verwenden. Dafür legen sie gemeinsam eine sehr große Primzahl m und eine natürliche Zahl f fest. Diese Zahlen sind nicht geheim. Daniel und Simon denken sich jeweils eine große natürliche Zahl aus (w und x), die kleiner als die Primzahl m sind. Daniel berechnet z = fw(mod m), dies ist der öffentliche Schlüssel für Simon. Simon berechnet dann a = fx(mod m) und schickt diesen öffentlichen Schlüssel an Daniel. Mit diesen Schlüsseln berechnen nun beide den geheimen Schlüssel. Daniel rechnet j1 = aw(mod m), Simon j2 = zx(mod m). Es ergibt sich j1 = j2 = j, dabei ist j der geheime Schlüssel, den Daniel und Simon nun zur verschlüsselten Kommunikation verwenden werden. [Lie02]
