Home » Theorie » Verschlüsselung, Zertifikate, SSL und TLS
- Anzeige -
Software Asset Management beim Fachmann

Verschlüsselung, Zertifikate, SSL und TLS

SSL und TLS

SSL (Secure Sockets Layer) ist ein Übertragungsprotokoll für verschlüsselte Daten. Es ist mittlerweile veraltet und wird nicht mehr verwendet. Aktuell ist der Nachfolger TLS (Transport Layer Security), der sicherer ist, in Verwendung.

Zertifikat

Ein digitales Zertifikat bestätigt...


Digitale Zertifikate werden von vertrauenswürdigen Zertifizierungsanbietern ausgestellt. Dein Computer kennt sogenannte Root-Zertifikate, die wiederum definieren, welchen Zertifizierungsstellen vertraut wird. Dadurch wird auch allen Zertfikaten vertraut, die von diesen vertrauenswürdigen Zertifizierungsstellen herausgegeben werden. Wird kein entsprechendes Root-Zertifikat gefunden, meldet das Programm, dass die Echtheit/Vertrauenswürdigkeit des Zertifikats nicht bestätigt werden kann und fragt Dich, ob Du das Zertifikat trotzdem als vertrauenswürdig einstufen willst.

Wenn ein Anbieter einer Webseite also seine Website mit einem Zertifikat absichern will, so kauft er bei einem Zertifizierunganbieter ein entsprechendes Zertifikat. Beim Kaufprozess muss er nachweissen, dass er auch wirklich der ist, der er vorgibt zu sein.

Zertifikate verwenden ein Schlüsselpaar welches mathematisch verknüpft ist. Wichtig ist für das Verständnis die folgende Vorrausetzung zu akzeptieren:

Mathematischer Hintergrund ist, dass das Produkt zweier grosser Primzahlen nur schwer in seine Faktoren zu zerlegen ist.

Es ist nicht einfach, sich die Beziehung zwischen Public Key und Private Key vorzustellen. Die Generierung geschieht auf Basis von komplexen mathematischen Algorithmen. Es wird ausgenutzt, dass das Produkt zweier grosser Primzahlen nur schwer in seine Faktoren zu zerlegen ist. Wer sich intensiver mit den mathematischen Verfahren auseinander setzen will, sollte sich die Videos von Prof. Christian Spannagel von der PH Heidelberg dazu anschauen.

In diesem Video erklärt er den Zusammenhang zwischen Public und Private Key mathematisch:

Der öffentliche Schlüssel ist also für jedemann aus dem Zertifikat lesbar, der private muss jedoch geheim gehalten werden.

Der Public Key (auch von anderen) kann von einem beliebigen Absender zur Verschlüsselung einer Klartext-Nachricht verwendet werden. Anders als z.B. bei der symmetrischen Verschlüsselung ist es nicht möglich, mit ihm den Klartext zurück zu gewinnen. Dazu benötigt man zwingend den Private Key.

Dieses Einführungsvideo kommt ohne mathematischen "Ballast" aus:

SSHL und TLS ist ohne eine zertifikatsbasierte Authentifizierung anfällig für sogenannte Man-in-the-Middle-Angriffe: Der Hacker Carlo kann beiden Seiten einen Schlüssel vorgaukeln und so den gesamten Datenverkehr im Klartext auslesen.

Zertifikate an sich werden aber nicht nur für Verschlüsselung verwendet, sondern z.B. auch um die Authentizität einer Nachricht nachzuweisen. So kann ein E-Mail Versender mit einem Zertifikat das Mail quasi "unterschreiben" und der Empfänger kann sicher sein, dass der Absender auch der ist, der er vorgibt zu sein.

Wie werden die Schlüssel / Keys ausgetauscht und wie ist der Kommunikationsablauf?

  1. Heidi will eine sichere Verbindung mit dem Server aufbauen
  2. Heidis Client sendet "CLIENT HELLO" an den Server
  3. Der Server schickt "SERVER HELLO" zurück an Heidis Client und sendet sein Zertifikat
  4. Heidis Client überprüft das Zertifikat und liesst den öffentlichen Schlüssel daraus aus.
  5. Heidis Client erzeugt einen Session-Key und verschlüsselt ihn mit dem öffentlichen Schlüssel des Servers.
  6. Der Server entschlüsselt den Session-Key mit seinem Private Key. Da nur mit dem Private Key entschlüsselt werden kann, ist das Abhören des Session-Keys durch Carlo unmöglich.
  7. Die weitere Kommunikation wird mit dem Session-Key verschlüsselt, den nur Heidis Client und der Server kennen.

Zertifizierungstelle / Certification Authority

Mit Windows Server (und natürlich auch Produkten von anderen Herstellern) können Sie eine eigene Zertifizierungsstelle aufbauen. Innerhalb ihres Netzwerkes lässt sich das so einrichten, dass Ihren Zertifikaten getraut wird, jedoch nicht in externen.

Eine Zertifizierungsstelle besteht aus den folgenden Komponenten:

Zertifikat

Der öffentliche Schlüssel eines jeden Nutzers wird in Form eines Zertifikats zur Verfügung gestellt. Dieser enthält mindestens die Kennung der Zertifizierungsinstanz, die Kennung des Nutzers, seiner öffentlichen Schlüssel und einer Angabe zur Gültigkeitsdauer des Zertifikats.

RA (Registration Authority / Registrierungsstelle)

Anträge auf Zertifizierung erfassen und Identität des Auftragssteller überprüfen.

CA (Certification Authority / Zertifizierungsstelle)

Vergibt eindeutige Identitäten und verwaltet für jeden Teilnehmer eines oder mehrere Schlüsselpaare mit den zugehörigen Zertifikaten.

DIR (Directory Service / Verzeichnisdienst)

Hier werden die gültigen zertifizierten öffentlichen Schlüssel der Teilnehmer veröffentlicht. Zurückgezogene oder komprimitierte Schlüssel hält der Verzeichnisdienst in einer Sperrliste (Certificate Revocation List, CRL) zum Abruf bereit).

Time Stamping Service / Zeitstempeldienst

Dient dazu, gesichtete Zeitsignaturen gemäss der Leitlinie zu erstellen. Dabei wir ein Dokument oder eine Transaktion mit der aktuellen Zeitangabe verknüpft und diese Gesamtinformationen anschliessend digital signiert.

PSE (Personal Security Environment)

Das PSE ist die Sammlung aller sicherheitsrelevanten Daten eines Teilnehmers. Dazu gehören seine geheimen Schlüssel, die Zertifikate seines Kommunikationspartners sowie der öffentliche Ordner der Zertifizierungsinstanz.

Leitlinie

Public-Key-Infrastrukturen bestehen aus Hardware, Software und einem abgestimmten Regelwerk, der Leitlinie. Diese definiert, nach welchen Sicherheitsregeln die Dienstleistungen um die Zertifikate erbracht werden. Dazu zählen das Betriebskonzept der PKI, die Nutzerrichtlinien sowie Organisations- und Arbeitsanweisungen.

Quellen:



War der Artikel hilfreich? Bitte liken und sharen. Danke!

it-zeugs.de ist auch auf Facebook...

Schreibe einen Kommentar - aber kein SPAM - der wird zuverlässig gefiltert!

  • Erforderliche Felder sind markiert mit *.

If you have trouble reading the code, click on the code itself to generate a new random code.