Donnerstag, 25. November 2004
Was ist SSL und wie funktioniert es?
wolfgang.auer.uni-linz, 21:56h
Eine wichtige Voraussetzung, dass Daten sicher übertragen werden ist eine sogenannte SSL-Verbindung:
SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security entwickelt. Das SSL-Protokoll gewährleistet, dass Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher. Alle gängigen Browser der neueren Generation SSL.
Das SSL-Protokoll wird dadurch initiiert, dass dem bekannten http ein s (=secure, dt. sicher) in der URL der Verbindung angehängt wird. Dann lautet die Internetadresse zum Beispiel: https://www.kusss.jku.at/ . Bei jedem Aufruf einer https-Seite, prüft der Browser, ob der Anbieter der Internetseite ein gültiges SSL-Zertifikat hat. Hat er das nicht, dann warnt der Browser mit einer Nachricht: "Diese Web Site kann leider nicht als sicher verifiziert werden. Wollen Sie wirklich weitermachen?"
Bei einer solchen Warnung des Browsers sollte man sich in jeden Fall überlegen, ob man auf den Seiten dieses Anbieters weitersurfen wollen, da dessen Zertifikat entweder unbekannt oder abgelaufen ist.
Technisch Funktionsweise von SSL:
Am "https" erkennt der Browser, dass er vom angesprochenen Server ein Zertifikat anfordern soll. Damit der Server dem Browser ein Zertifikat überhaupt zurückschicken kann, muss er sein Zertifikat von der Zertifizierungsstelle erhalten. Anschließend meldet der Server dieses Zertifikat direkt an den Browser zurück. Der Browser erhält dann vom Verzeichnisdienst der Zertifizierungsstelle die Information, ob das Zertifikat noch gültig ist. Anhand dieser übermittelten Daten kann der Browser nun überprüfen, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, gibt der Browser eine entsprechende Information. Beim Internet Explorer, sowei beim Mozilla Firefox erkennt man die SSL-Verbindung am geschlossenen Bügelschloss. Der Netscape signalisiert eine sichere Seite durch den intakten Schlüssel.
SSL bei IE 6SSL bei Mozilla Firefox
Anschließend verständigen sich die beiden Rechner auf einen symmetrischen Schlüssel. Diese Verständigung passiert in der sicheren asymmetrischen Verschlüsselung. Um wirklich auf Nummer sicher zu gehen, schickt der Browser dem Server vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten. Diese kann der Server nur beantworten, wenn es wirklich der Server ist, der er zu sein vorgibt.
Betrachtet man noch einmal die drei Ziele der Verschlüsselung: bewirkt das SSL-Protokoll damit eine sichere Verbindung:
1. Ihre Daten sind vertraulich, weil der Inhalt Ihrer Nachrichten nur verschlüsselt über das Netz geht.
2. Die Authentizität des Servers steht fest.
3. Ihre Daten sind vor Manipulation geschützt, da wirkungsvolle Algorithmen prüfen, ob die Daten vollständig und unverändert ihren jeweiligen Empfänger erreichen.
Inzwischen hat sich SSL als Standard für die Browser-Verschlüsselung etabliert. Oft wird aber auch schon TSL verwendet. Die Abkürzung steht für "Transport Layer Security". Das steht nämlich bereits als potenzieller Nachfolger von SSL in den Startlöchern, weil es noch mehr Sicherheit bei der Kommunikation im Internet verspricht. TLS basiert auf dem noch komplizierteren Verschlüsselungsverfahren Triple-DES (Data Encryption Standard - Datenverschlüsselungs-Standard) oder anderen Algorithmen. Es unterstützt die Verschlüsselung von E-Mails und den Identitätsnachweis für kommerzielle Online-Transaktionen.
Quellen:
http://www.bsi-fuer-buerger.de/browser/02_05.htm
http://www.ssl.de/ssl.html
http://www.ssw.uni-linz.ac.at/Teaching/Lectures/Sem/2000/Lehner/ (sehr detailliert)
SSL für Website-Betreiber:
Wie bereits oben erwähnt ist es ein Muss bei der Übertragung von sensiblen Daten auf eine SSL-Verbindung zu bestehen. Als Onlineshop-Betreiber ist es daher notwendig eine SSL-Verbindung zu betreiben. Dies ist jedoch auch mit gewissen Kosten verbunden.
Bei VeriSign (www.verisign.de) kostet das Startpaket € 349 ohne MwSt. Dies ist ein Zertifikat für 1 Jahr mit einer geringen 40-Bit Verschlüsselung.
Ohne einem eigenen Zertifikat, also lediglich mit einer verschlüsselten Verbindung gehts wesentlich billiger. Z.B. bei www.adino.at schon ab € 40,- im Jahr für eine 128-Bit Verschlüsselung. Dies hat aber den Nachteil, dasman über kein eigenes Zertifikat verfügt.
Was ist Triple-DES?
Triple-DES, oder verkürzt 3DES, ist eine Weiterentwicklung des Data Encryption Standard (DES).
Dieses ältere Verfahren arbeitet mit einer Schlüssellänge von nur 56 Bit.
3DES hingegen arbeitet mit drei Verschlüsselungsläufen und zwei oder drei Schlüsseln.
Die Verwendung von drei Schlüsseln garantiert eine effektive Schlüssellänge von 112 Bit.
Quelle: http://www.computerlexikon.com/kategorie.php?kategorie=1005
Beiträge von Kollegen zum Thema SSL:
katrin.sonnweber.salzburg, Januar 2004
david.roeck.salzburg, Januar 2004
--------------------------------
SSL steht für Secure Socket Layer (dt. "sichere Sockelschicht") und wurde von der Firma Netscape und RSA Data Security entwickelt. Das SSL-Protokoll gewährleistet, dass Daten während der Übertragung nicht gelesen oder manipuliert werden können und stellt die Identität einer Internetseite sicher. Alle gängigen Browser der neueren Generation SSL.
Das SSL-Protokoll wird dadurch initiiert, dass dem bekannten http ein s (=secure, dt. sicher) in der URL der Verbindung angehängt wird. Dann lautet die Internetadresse zum Beispiel: https://www.kusss.jku.at/ . Bei jedem Aufruf einer https-Seite, prüft der Browser, ob der Anbieter der Internetseite ein gültiges SSL-Zertifikat hat. Hat er das nicht, dann warnt der Browser mit einer Nachricht: "Diese Web Site kann leider nicht als sicher verifiziert werden. Wollen Sie wirklich weitermachen?"
Bei einer solchen Warnung des Browsers sollte man sich in jeden Fall überlegen, ob man auf den Seiten dieses Anbieters weitersurfen wollen, da dessen Zertifikat entweder unbekannt oder abgelaufen ist.
Technisch Funktionsweise von SSL:
Am "https" erkennt der Browser, dass er vom angesprochenen Server ein Zertifikat anfordern soll. Damit der Server dem Browser ein Zertifikat überhaupt zurückschicken kann, muss er sein Zertifikat von der Zertifizierungsstelle erhalten. Anschließend meldet der Server dieses Zertifikat direkt an den Browser zurück. Der Browser erhält dann vom Verzeichnisdienst der Zertifizierungsstelle die Information, ob das Zertifikat noch gültig ist. Anhand dieser übermittelten Daten kann der Browser nun überprüfen, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, gibt der Browser eine entsprechende Information. Beim Internet Explorer, sowei beim Mozilla Firefox erkennt man die SSL-Verbindung am geschlossenen Bügelschloss. Der Netscape signalisiert eine sichere Seite durch den intakten Schlüssel.
SSL bei IE 6
SSL bei Mozilla FirefoxAnschließend verständigen sich die beiden Rechner auf einen symmetrischen Schlüssel. Diese Verständigung passiert in der sicheren asymmetrischen Verschlüsselung. Um wirklich auf Nummer sicher zu gehen, schickt der Browser dem Server vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten. Diese kann der Server nur beantworten, wenn es wirklich der Server ist, der er zu sein vorgibt.
Betrachtet man noch einmal die drei Ziele der Verschlüsselung: bewirkt das SSL-Protokoll damit eine sichere Verbindung:
1. Ihre Daten sind vertraulich, weil der Inhalt Ihrer Nachrichten nur verschlüsselt über das Netz geht.
2. Die Authentizität des Servers steht fest.
3. Ihre Daten sind vor Manipulation geschützt, da wirkungsvolle Algorithmen prüfen, ob die Daten vollständig und unverändert ihren jeweiligen Empfänger erreichen.
Inzwischen hat sich SSL als Standard für die Browser-Verschlüsselung etabliert. Oft wird aber auch schon TSL verwendet. Die Abkürzung steht für "Transport Layer Security". Das steht nämlich bereits als potenzieller Nachfolger von SSL in den Startlöchern, weil es noch mehr Sicherheit bei der Kommunikation im Internet verspricht. TLS basiert auf dem noch komplizierteren Verschlüsselungsverfahren Triple-DES (Data Encryption Standard - Datenverschlüsselungs-Standard) oder anderen Algorithmen. Es unterstützt die Verschlüsselung von E-Mails und den Identitätsnachweis für kommerzielle Online-Transaktionen.
Quellen:
http://www.bsi-fuer-buerger.de/browser/02_05.htm
http://www.ssl.de/ssl.html
http://www.ssw.uni-linz.ac.at/Teaching/Lectures/Sem/2000/Lehner/ (sehr detailliert)
SSL für Website-Betreiber:
Wie bereits oben erwähnt ist es ein Muss bei der Übertragung von sensiblen Daten auf eine SSL-Verbindung zu bestehen. Als Onlineshop-Betreiber ist es daher notwendig eine SSL-Verbindung zu betreiben. Dies ist jedoch auch mit gewissen Kosten verbunden.
Bei VeriSign (www.verisign.de) kostet das Startpaket € 349 ohne MwSt. Dies ist ein Zertifikat für 1 Jahr mit einer geringen 40-Bit Verschlüsselung.
Ohne einem eigenen Zertifikat, also lediglich mit einer verschlüsselten Verbindung gehts wesentlich billiger. Z.B. bei www.adino.at schon ab € 40,- im Jahr für eine 128-Bit Verschlüsselung. Dies hat aber den Nachteil, dasman über kein eigenes Zertifikat verfügt.
Was ist Triple-DES?
Triple-DES, oder verkürzt 3DES, ist eine Weiterentwicklung des Data Encryption Standard (DES).
Dieses ältere Verfahren arbeitet mit einer Schlüssellänge von nur 56 Bit.
3DES hingegen arbeitet mit drei Verschlüsselungsläufen und zwei oder drei Schlüsseln.
Die Verwendung von drei Schlüsseln garantiert eine effektive Schlüssellänge von 112 Bit.
Quelle: http://www.computerlexikon.com/kategorie.php?kategorie=1005
Beiträge von Kollegen zum Thema SSL:
katrin.sonnweber.salzburg, Januar 2004
david.roeck.salzburg, Januar 2004
--------------------------------
... link (0 comments) ... comment
... older stories
Online for 7458 days
Last update: 2004.11.25, 23:47
Last update: 2004.11.25, 23:47
status
You're not logged in ... login
menu
search
calendar
November 2004 |
||||||
Mo |
Di |
Mi |
Do |
Fr |
Sa |
So |
1 |
2 |
3 |
4 |
5 |
7 |
|
8 |
9 |
10 |
11 |
12 |
13 |
14 |
15 |
16 |
17 |
18 |
19 |
20 |
21 |
22 |
23 |
24 |
26 |
27 |
28 |
|
29 |
30 |
|||||
recent updates
Was ist SSL und wie funktioniert...
Eine wichtige Voraussetzung, dass Daten sicher übertragen...
Eine wichtige Voraussetzung, dass Daten sicher übertragen...
by wolfgang.auer.uni-linz (2004.11.25, 23:47)
Wer ich bin und was ich...
Damit jeder, der meine geistigen Ergüsse auf diesem...
Damit jeder, der meine geistigen Ergüsse auf diesem...
by wolfgang.auer.uni-linz (2004.11.16, 09:17)
