|
W i e
f u n k t i o n i e r t
S S L |
TCP/IP:
Sicher und unsicher zugleich |
SSL ist die Abkürzung für Secure Socket Layer.
Mit Layer sind die Transportschichten angesprochen, mit denen der
Datenaustausch zwischen zwei Rechner bildhaft dargestellt wird. Auf der
obersten Ebene sind die Anwendungen angeordnet. Ganz unten befindet sich
in dem Modell die Hardware.
Im Idealfall lassen sich sieben Schichten definieren, denen sich wiederum
im Idealfall jeweils ein Protokoll oder Programm zuordnen läßt. Alle
Schichten tragen dazu bei, den Datenfluß zwischen den beiden
Rechnern sicherzustellen.
Im wirklichen Leben paßt das Modell nicht immer so ideal. Das Übertragungsprotokoll
TCP/IP deckt mit seinen zwei Komponenten (TCP und IP) mindestens vier
Schichten ab. Das Protokoll ist eine Art Esperanto in der Rechnerwelt. Mit
Ausnahme der Zuse-Rechner und des ZX81 unterstützen wohl alle
Rechner und Betriebssysteme TCP/IP. Es ist einfach zu implementieren,
robust und sicher -- betriebssicher.
Als TCP/IP vor fast 30 Jahren erfunden wurde, stand vor allem die Absicht
im Vordergrund, eine ausfallsichere und stabile Verbindung mit hoher
Betriebssicherheit zu schaffen. Die Sicherheit und Authenzität der übermittelten
Daten spielte eine untergeordnete Rolle.
|
Neue Schichten |
Mit TCP/IP war der Wunsch nach sicheren Verbindungen im Sinne von
Datensicherheit nicht zu verwirklichen. Ohne TCP/IP gibt es kein Internet.
Die Firma Netscape löste
das Problem auf folgende elegante Weise: Die Entwickler erweiterten TCP/IP
um zwei weitere Schichten.
SSL Record Protokoll
SSL Handshake Protocol
Das erklärt auch die Bezeichnung »Layer«; Sie liegen funktional
zwischen dem Aufgabenbereich von TCP/IP und den Anwendungen. Diese beiden
Schichten liegen bildlich betrachtet unmittelbar aufeinander und werden
darum von einigen Autoren auch als eine einzige Schicht angesprochen.
Obgleich sich in diesen beiden Schichten während einer sicheren
Verbindung allerlei Software-Know-How austobt, ist sie für die
angrenzenden Schichten transparent: Weder die Anwendung (der Browser, noch
die unter der dem SLL-Protokoll liegende Transportschicht bemerken das
Wirken des SLL-Protokoll. Im Klartext: SSL erfordert weder massive Änderungen
vorhandener Anwendungen noch neue Transportprotokolle.
Während einer sicheren Verbindung kommunizieren die beteiligten Rechner
ausschließlich über den Mechanismus, der von SSL bereit gestellt wird.
Steht die sichere Verbindung nicht zur Verfügung, schaltet sich das
SSL-Protokoll gleichsam aus. |
Sicherheit durch SSL |
Das SSL-Protokoll schafft unter drei Gesichtspunkten sichere
Verbindungen:
- Die Verbindung ist im besten Sinne privat, weil ihr Inhalt nur
verschlüsselt über das Netz geht.
- Die Identität des Servers steht fest.
- Wirkungungsvolle Algorithmen prüfen, ob die Daten vollständig und
unverändert ihren jeweiligen Empfänger errreichen.
Das SSL-Protokoll wird dadurch initiiert, dass dem bekannten http ein s
angehängt wird z.B. https://www.ssl.de.
Das ist für den Browser der Anlaß, vom angesprochenen Server ein
Zertifikat und seinen öffentlichen Schlüssel
abzufordern. Dieser Schlüssel wird zusammen mit einer Prüfsumme und
einer ID an den Browser zurückgemeldet. Diese Informationen werden von
einigen wenigen Zertifizierungsfirmen errechnet. Die bekannteste ist VeriSign;
Dieser Zertifizierungsprozeß ist gleichermaßen zeitaufwendig wie
Kostenintensiv und speziell für Anwender, die nicht in den USA wohnen,
mit einigen Problemen behaftet.
Der Browser prüft anhand der übermittelten Daten, ob er wirklich mit dem
Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, gibt
der Browser dem Anwender eine entsprechende Information: Beim Internet
Explorer schließt sich das Bügelschloß, der Navigator/Communicator
signalisiert eine sichere Seite durch den intakten Schlüssel.
In der folgenden Phase verständigen sich die beiden Rechner auf einen symetrischen
Schlüssel (Session Key). Da diese Absprache in asymetrischer Verschlüsselung
vollzogen wird, ist die Sicherheit gegeben. Der Browser schickt dem Server
vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten,
die der Server nur beantworten kann, wenn es wirklich der Server ist, der
er zu sein vorgibt. |
Zertifizierung |
Im Zentrum des SSL-Protokoll steht das digitale Schüsselpaar aus öffentlichem
und privaten Schlüssel des Servers sowie die ID der
Zertifizierungsstelle. Jeder virtueller Websserver benötigt ein eigenes
Schlüsselpaar, weil bei der ID unter anderem der Domain-Namen einfließt. |
Zurück
Quelle: http://www.ssl.de |