Network Hacks â Intensivkurs by Bastian Ballmann
Autor:Bastian Ballmann
Die sprache: deu
Format: epub
ISBN: 9783662616369
Herausgeber: Springer Berlin Heidelberg
7.12 HTTPS
Die gesamte Web-Sicherheit sowie die Sicherheit von einzelnen Diensten wie SMTP, IMAP, POP3, IRC, Jabber oder gar ganze VPNs, verlassen sich beim Thema Verschlüsselung und Authentifizierung auf das Transport Layer Security-Protokoll (TLS) früher bekannt als Secure-Socket-Layer-Protokoll, kurz SSL. Um es noch etwas verwirrender zu machen, wurde die Weiterentwicklung von SSLv3 zu TLS mit Version 1.0 fortgestzt. TLS Version 1.0 ist also eigentlich SSL Version 4.
TLS basiert auf x509-Zertifikaten, Certificate Authorities (CA), die eine Public-Key-Infrastruktur (PKI) aufbauen und zum Verschlüsseln und Signieren Public-Key-Verfahren verwenden. Was so kompliziert daherkommt und so schöne Worte wie Authority, Verschlüsselung und Zertifikat beinhaltet, das muss doch einfach super und sicher sein, nicht?;)
Doch wie genau funktioniert nun TLS? Eine CA, d. h. irgendeine Firma oder ein Staat, erzeugt ein Public-Key-Schlüsselpaar. Der öffentliche Schlüssel wird an alle verteilt, die die Echtheit eines Zertifikats überprüfen wollen. Der Private Key dient zum Signieren von Zertifikaten. Ein Zertifikat ist nichts anderes als ein Public-Key mit ein paar Zusatztinformationen wie Common-Name (Host- oder Domainname) und Adressdaten.
Eine Webseite, die sich mittels TLS absichern möchte, erzeugt sich zunächst ebenfalls ein Public-Key-Schlüsselpaar. Der Public-Key wird mit den Zertifikat-Meta-Daten wie Name und Anschrift in einen Certificate Signing Request (CSR) verpackt. Wir werden gleich sehen wie das konkret funktioniert. Diesen CSR sendet man an die Certificate Authority, die wiederum ihren eigenen Private Key verwendet, um den CSR zu signieren und daraus ein Zertifikat zu erstellen. Das Zertifikat wird auf dem Webserver abgelegt.
Wenn sich nun ein Browser per HTTPS zu der Webseite verbinden will, initiiert er einen TLS-Handshake. Der Client schickt in einer ,,Client Helloâ-Nachricht zunächst die unterstützten SSL/TLS-Versionen sowie Verschlüsselungs-/Authentifizierungsverfahren. Falls der Server eine davon spricht, schickt er eine ,,Server Helloâ-Nachricht inklusive des Server-Zertifikats als Antwort. Optional kann der Server ein Client-Zertifikat anfordern. Nachdem der Client die Signatur des Server-Zertifikats mit dem in ihm integrierten Public-Key der CA überprüft hat, schickt er dem Server eine mit seinem Public-Key verschlüsselte Zufallszahl. Diese Zufallszahl dient dazu den Session-Key zu erzeugen, der dazu verwendet wird den Traffic zu verschlüsseln. AbschlieÃend bestätigen sich beide Seiten noch mit einer ,,Client finishedâ- bzw. ,,Server finishedâ-Nachricht, das der Handshake zu Ende ist und sie zufrieden sind.
So weit so gut. Dieser Prozess gilt übrigens für alle SSL/TLS-Protokolle und nicht nur für HTTPS. Doch wir erinnern uns an die Grundprinzipien von Sicherheit, zu denen zählt, dass Einfachheit der Schlüssel zum Erfolg ist.
Werfen Sie doch mal einen Blick in die Liste der CAs, denen Ihr Browser und damit auch Sie vertraut. Unter Firefox geht das in den Sicherheits-Einstellungen über Zertifikate anzeigen und dann im Menu Zertifizierungsstellen. Bei Chrome findet man die Information unter den erweiterten Einstellungen, Zertifikate verwalten und dort ebenfalls unter Zertifizierungsstellen. Ihnen dürfte schwindelig bei der Anzahl werden. So ist es nicht weiter verwunderlich, dass es unter eben diesen CAs Firmen gibt wie DigiNotar, die die Sicherheit ihrer Computer nicht im Griff haben und so die Sicherheit des Gesamtsystems gefährden, denn die Qualität der Sicherheit von TLS ist nur so gut wie die schlechteste Komponente. DigiNotar wurde dazu missbraucht gültige Zertifikate für populäre Seiten
Download
Diese Site speichert keine Dateien auf ihrem Server. Wir indizieren und verlinken nur Inhalte von anderen Websites zur Verfügung gestellt. Wenden Sie sich an die Inhaltsanbieter, um etwaige urheberrechtlich geschützte Inhalte zu entfernen, und senden Sie uns eine E-Mail. Wir werden die entsprechenden Links oder Inhalte umgehend entfernen.
03 by Peter Läpple(1334)
Richter by unknow(1329)
06 by Peter Läpple(1312)
0222 - Letzter Gruß für einen G-man by Letzter Gruß für einen G-man(1304)
Kaffee und Zigaretten by Schirach Ferdinand von(1281)
Born to Run by Springsteen Bruce(1280)
Die Vermessung der Psychiatrie by Stefan Weinmann(1253)
Über das Sterben by Gian Domenico Borasio(1236)
Eine perfekte Familie by A.K. Alexander(1227)
2590 by Der Tote und der Sterbende(1217)
Eine perfekte Familie by Alexander A.K(1206)
Sarah by Weiß Yvonne(1188)
26 by Lilith x 2 = ¿(1149)
Postscript - Was ich dir noch sagen möchte (German Edition) by Cecelia Ahern(1144)
Elektronik-Fibel (German Edition) by Patrick Schnabel(1116)
006 by Die Töchter der Unsterblichkeit(1112)
005 - Gekauftes Glück by Unbekannt(1112)
Das Geschenk by 2.0 ikarus(1102)
Control (German Edition) by Suarez Daniel(1101)