
Emil-Plattform - durchgängig verschlüsselt ...
... und schon heute für die Zeit der Quantencomputer gerüstet
Mit der komenden Version der EMIL-Plattform haben wir die gesamte verschlüsselte Kommunikation auf ein einheitliches, modernes Fundament gestellt. Server, Client und sämtliche Schnittstellen nutzen jetzt durchgängig die quelloffene Krypto-Bibliothek OpenSSL 3.5 LTS. Der bisher als Zwischenschritt genutzte Windows-eigene HTTPSys-Stack entfällt damit.
Das klingt zunächst nach einem internen Detail, ist aber eine bewusst langfristig gedachte Verbesserung - mit spürbaren Vorteilen für die Datensicherheit.
Warum die Umstellung?
In Vorversionen lief ein Teil der verschlüsselten Verbindungen über den HTTPSys-Stack von Windows. Dieser verwendete jeweils die vom Betriebssystem bereitgestellten Verschlüsselungsverfahren - also den Stand, der über Windows-Updates gerade installiert war. Zwei Nachteile waren damit verbunden: Der Ansatz ließ sich nicht für alle Verbindungsarten einsetzen und die tatsächlich genutzte Verschlüsselung hing vom Update-Stand des jeweiligen Windows ab.
Mit OpenSSL 3.5 LTS bringt EMIL-Plattform seine eigene, stets aktuelle Krypto-Komponente mit. Damit laufen ausnahmslos alle verschlüsselten Verbindungen über eine einheitliche, von EMIL-Plattform selbst gepflegte Basis - unabhängig vom Betriebssystem. Das Kürzel LTS steht dabei für "Long Term Support", also eine Version mit besonders langer Sicherheits- und Pflegeunterstützung.
Was sich konkret verbessert
Zwischen EMIL-Server und EMIL-Client kommt jetzt ausschließlich TLS 1.3 zum Einsatz, das aktuelle und modernste Verschlüsselungsprotokoll. Auch gegenüber Dritt- und Fremdsystemen wird bevorzugt TLS 1.3 ausgehandelt. Nur wenn eine Gegenstelle das noch nicht beherrscht, fällt EMIL-Plattform automatisch auf TLS 1.2 mit modernen, sicheren Verfahren zurück. Die veralteten Protokolle TLS 1.0 und 1.1 sind abgeschaltet.
Für den Schlüsselaustausch - also das sichere Vereinbaren des Sitzungsschlüssels zu Beginn jeder Verbindung - nutzen wir ausschließlich moderne Verfahren mit Perfect Forward Secrecy. Das bedeutet: Jede Sitzung erhält ihren eigenen, nur kurzzeitig gültigen Schlüssel. Selbst wenn der private Schlüssel des Servers irgendwann in falsche Hände geriete, ließen sich zuvor aufgezeichnete Verbindungen damit nicht nachträglich entschlüsseln.
Vorbereitet auf das Zeitalter der Quantencomputer
Der spannendste Teil betrifft die Zukunft. Leistungsfähige Quantencomputer könnten in einigen Jahren die heute übliche Verschlüsselung knacken. Das Problem beginnt aber schon heute: Angreifer können verschlüsselten Datenverkehr bereits jetzt aufzeichnen, um ihn später - sobald die nötige Technik verfügbar ist - zu entschlüsseln. Dieses Vorgehen ist als "jetzt aufzeichnen, später entschlüsseln" (harvest now, decrypt later) bekannt.
Um dem vorzubeugen, nutzt EMIL-Plattform über OpenSSL 3.5 LTS bereits einen quantensicheren Schlüsselaustausch - sofern beide Verbindungspartner ihn unterstützen, etwa zwischen EMIL-Server und -Client.
Vereinfacht gesagt sichern wir jede Verbindung mit zwei voneinander unabhängigen "Schlössern": einem altbewährten und einem neuen, das auch künftigen Quantencomputern standhält. Ein Angreifer müsste beide gleichzeitig knacken - gelingt ihm nur eines, bleibt die Verbindung geschützt.
Technisch dahinter steckt ein hybrides Verfahren: Es kombiniert die bewährte elliptische Kurve X25519 mit ML-KEM-768, einem neuen, gegen Quantencomputer resistenten Verfahren, das im US-Standard NIST FIPS 203 festgelegt wurde. In OpenSSL trägt diese Kombination die Bezeichnung X25519MLKEM768.
Der Vorteil gegenüber der Windows-eigenen Verschlüsselung
Weil EMIL-Plattform seine Krypto-Komponente selbst mitbringt und aktuell hält, stehen moderne Schutzverfahren - insbesondere der quantensichere Schlüsselaustausch - sofort und auf allen unterstützten Windows-Versionen einheitlich zur Verfügung. Die Windows-eigene Verschlüsselung (Schannel) unterstützt einen solchen Post-Quantum-Schlüsselaustausch erst in sehr neuen Windows-Versionen und je nach Update-Stand. Ältere, aber durchaus noch verbreitete Windows-Versionen blieben damit ohne diesen Schutz.
EMIL-Plattform ist hier also unabhängig vom Betriebssystem - einheitlich und zukunftssicher aufgestellt.
Fazit
Die Umstellung auf OpenSSL 3.5 LTS ist mehr als ein technischer Unterbau-Wechsel. Sie schafft eine einheitliche, langfristig gepflegte und zukunftssichere Grundlage für die Datensicherheit in EMIL-Plattform - heute schon vorbereitet auf Herausforderungen, die erst in den kommenden Jahren praktisch relevant werden.
*Hinweis: Welche Verfahren tatsächlich zum Einsatz kommen, hängt immer auch von der Gegenstelle ab - der quantensichere Austausch wird nur dann genutzt, wenn beide Seiten ihn beherrschen.*