Artikel HTTP-S wie Secure

thomas.sacher.uni-linz, 10. Jänner 2017, 01:43

 

Das Thema Datenschutz und Internet Sicherheit hat nicht nur seit dem Globalen Abhörskandal durch die NSA an Bedeutung gewonnen. Obgleich dies uns Internetnutzern eindrucksvoll veranschaulichte wie digitale Fußabdrücke universell gesammelt und ausgewertet werden (Q2). Bevor jedoch „Big Data“ zum Thema wurde, entstand ein Bedarf nach abhörsicheren Internetverbindungen im digitalen Zahlungsverkehr. Die nun flächendeckend vorangetriebenen HTTPS Verschlüsselung der Browser-Server Kommunikation ist dabei ein wichtiger Schritt, hin zu mehr Datenschutz im Web (Q1).

Verschlüsselung

 

 

Funktionsweise des Hypertext Transfer Protocol Secure

 

Netscape, einer der damals führenden Browserplattformen, entwickelte bereits 1994 das HTTPS Protokoll und band dieses in seine Browser ein. Bei der Herstellung einer Verbindung wird dabei die Identität der Verbindungspartner Browser und Server gegenseitig überprüft und dabei ein Schlüssel festgelegt mit welchem die ausgetauschten, verschlüsselten Daten wieder decodiert werden können. Bisher sind die im Internet gesendeten Daten für jeden der Zugang zum Netz hat in Klartext lesbar, was vor allem bei den immer häufiger genutzten offenen WLAN Netzwerken ein Sicherheitsrisiko darstellt. Dies soll vor allem „Man-in-the-Middle-Angriffe“ als auch Phishing Attacken verhindern (Q1). Bei sogenannten Man-in-the-Middle-Angriffen steht der Angreifer zwischen den beiden Kommunikationspartnern und kann den gesammten Inhalt der Kommunikation auslesen, speichern und sogar manipulieren (Q3).

 

Damit eine Website als vertrauenswürdig identifiziert werden kann, benötigt diese ein CA Zertifikat welches von einigen Open-Source-Communities, großen Host providern oder auch von regierungsnahen Organisationen ausgestellt werden kann. Der Aussteller eines solchen Zertifikats bestätigt damit die vertrauenswürdigkeit der Webseite. Zum erlangen eines solchen Zertifikats ist mittlerweile nicht nur der Name und die E-Mail Adresse, sondern auch die Postadresse des Webseiteneigntümers nötig welche vom Zertifikatsaussteller überprüft wird. Der Aussteller garantiert also mit seinem Namen beziehungsweise seinem CA Zertifikat, das die Webseiten, welche sein Identifikationszertifikat verwenden dürfen, als vertrauenswürdig eingestuft werden können.

 

Browser erhalten den Schlüssel zur Überprüfung dieser Zertifikate mit jedem Update. Das heißt der Browser benötigt nicht für jede Website einen Schlüssel, sondern überprüft lediglich ob diese Webseite ein gültiges CA Zertifikat von einer autorisierten Organisation erhalten hat (Q1).

 

Herstellung einer HTTPS Verbindung

 

  1. Verbindungsaufbau
  2. Server-Authentifizierung / Zertifikat (Server Hello)
  3. Zertifikat prüfen
  4. Symmetrische Sitzungsschlüssel erzeugen
  5. Mit dem öffentlichen Schlüssel des Servers verschlüsselten Sitzungsschlüssel an den server senden (Client Key Exchange)
  6. Verschlüsselten Sitzungsschlüssel mit privatem Schlüssel entschlüsseln
  7. Der Server bestätigt den geheimen Sitzungsschlüssel
  8. Verschlüsselter HTTP-Response und Request

 

Ablauf

(Q4)

 

Die Kosten für ein CA Zertifikat belaufen sich dabei von 39 bis 1200 US-$ (Q1). Es gibt mittlerweile jedoch auch kostenlose Zertifikate welche beispielsweise von Mozilla Firefox ebenfalls anerkannt werden. Bei StartCom oder Let´s Encrypt können solch kostenlose Zertifikate von jedem erlangt werden. Die zu Beginn unzureichende Überprüfung der Antragsteller wurde mittlerweile jedoch behoben (Q6).

 

Wie jeder zusätzliche Rechengang benötigt auch die HTTPS Verschlüsselung zusätzliche Rechenleistung welche sich jedoch durch speziell entwickelte CPU´s die zusätzlich in Server über PCI oder als Rack eingebaut werden können in Grenzen hält. Laut einer Untersuchung von Adam Langley, Nagendra Modadugu und Wan-Teh Chang benötigte die Verschlüsselung bei Gmail lediglich 1% der gesammten Rechenleistung und weniger als 1% Arbeitsspeicher. Zur Jahrtausendwende belastete die Verschlüsselung die Rechner noch stark (Q5).

 

Warum alles verschlüsseln?

 

Dass Online Banking oder Online Bezahlung in Webshops verschlüsselt werden muss ist relativ klar da es hier um den Austausch personenbezogener Daten und sogar des Geldverkehrs geht. Warum ist es jedoch nötig das Surfverhalten jedes einfachen Users zu verschlüsseln? Wie wir aus dem NSA Abhörskandal gelernt haben, verwenden Geheimdienste alle verfügbaren Verbindungsdaten um Profile möglichst vieler Menschen zu erstellen. Dabei passiert es immer wieder, dass Personen durch unglückliche Zufälle als „gefährlich“ eingestuft werden und ihnen beispielsweise die Einreise in die USA verwehrt wird, bloß weil sie auf kritischen Webseiten gesurft haben oder unpassende Suchbegriffe in Suchmaschienen verwendet haben. Wobei diese Beispiele noch sehr harmlos anmuten. So wäre es auch möglich gezielte Hackerangriffe auf Journalisten zu tätigen, welche durch ihren elektonischen Fußabdruck im Web den Eindruck erwecken an einem unliebsamen Bericht zu arbeiten (Q4).  

Neben den sicherheitstechnischen Argumenten werden werden die meisten Webseiten jedoch durch die Suchmaschine Google dazu gezwungen werden auf HTTPS auf zu rüsten. Der Konzern hat nämlich angekündigt ab Jänner 2017 vor nicht verschlüsselten HTTP Seiten zu warnen und diese in seinem Suchergebnis ranking schlechter zu bewerten (Q7).

Die durchaus positive Entwicklung der flächendeckenden Verschlüsselung unseres Surfverhaltens wird demzufolge nicht mehr lange auf sich warten lassen.

 

 

Quellen:

 

Q1: https://de.wikipedia.org/wiki/Hypertext_Transfer_Protocol_Secure#Phishing_und_HTTPS [07.01.2017]

 

Q2:  https://de.wikipedia.org/wiki/Globale_%C3%9Cberwachungs-_und_Spionageaff%C3%A4re [09.01.2017]

 

Q3: https://de.wikipedia.org/wiki/Man-in-the-Middle-Angriff [09.01.2017]

 

Q4: http://www.elektronik-kompendium.de/sites/net/1811281.htm [09.01.2017]

 

Q5: https://www.imperialviolet.org/2010/06/25/overclocking-ssl.html [09.01.2017]

 

Q6: https://www.heise.de/security/meldung/Mozilla-vertraut-kostenlosen-StartCom-Zertifikaten-129472.html [09.01.2017]

Q7: http://t3n.de/news/https-google-markiert-bald-alle-675146/ [09.01.2017]

 

 

0 comments :: Kommentieren