Riemer´s Creperie mit den 5 Sternen / alles über Crepes und Pfannkuchen -SSL-

W i e f u n k t i o n i e r t S S L

TCP/IP:
Sicher und unsicher zugleich

SSL ist die Abkürzung für Secure Socket Layer.
Mit Layer sind die Transportschichten angesprochen, mit denen der Datenaustausch zwischen zwei Rechner bildhaft dargestellt wird. Auf der obersten Ebene sind die Anwendungen angeordnet. Ganz unten befindet sich in dem Modell die Hardware.
Im Idealfall lassen sich sieben Schichten definieren, denen sich wiederum im Idealfall jeweils ein Protokoll oder Programm zuordnen läßt. Alle Schichten tragen dazu bei, den Datenfluß zwischen den beiden Rechnern sicherzustellen.
Im wirklichen Leben paßt das Modell nicht immer so ideal. Das Übertragungsprotokoll TCP/IP deckt mit seinen zwei Komponenten (TCP und IP) mindestens vier Schichten ab. Das Protokoll ist eine Art Esperanto in der Rechnerwelt. Mit Ausnahme der Zuse-Rechner und des ZX81 unterstützen wohl alle Rechner und Betriebssysteme TCP/IP. Es ist einfach zu implementieren, robust und sicher -- betriebssicher.
Als TCP/IP vor fast 30 Jahren erfunden wurde, stand vor allem die Absicht im Vordergrund, eine ausfallsichere und stabile Verbindung mit hoher Betriebssicherheit zu schaffen. Die Sicherheit und Authenzität der übermittelten Daten spielte eine untergeordnete Rolle.

Neue Schichten

Mit TCP/IP war der Wunsch nach sicheren Verbindungen im Sinne von Datensicherheit nicht zu verwirklichen. Ohne TCP/IP gibt es kein Internet.
Die Firma Netscape löste das Problem auf folgende elegante Weise: Die Entwickler erweiterten TCP/IP um zwei weitere Schichten. SSL Record Protokoll
SSL Handshake Protocol

Das erklärt auch die Bezeichnung »Layer«; Sie liegen funktional zwischen dem Aufgabenbereich von TCP/IP und den Anwendungen. Diese beiden Schichten liegen bildlich betrachtet unmittelbar aufeinander und werden darum von einigen Autoren auch als eine einzige Schicht angesprochen. Obgleich sich in diesen beiden Schichten während einer sicheren Verbindung allerlei Software-Know-How austobt, ist sie für die angrenzenden Schichten transparent: Weder die Anwendung (der Browser, noch die unter der dem SLL-Protokoll liegende Transportschicht bemerken das Wirken des SLL-Protokoll. Im Klartext: SSL erfordert weder massive Änderungen vorhandener Anwendungen noch neue Transportprotokolle.
Während einer sicheren Verbindung kommunizieren die beteiligten Rechner ausschließlich über den Mechanismus, der von SSL bereit gestellt wird. Steht die sichere Verbindung nicht zur Verfügung, schaltet sich das SSL-Protokoll gleichsam aus.

Sicherheit durch SSL

Das SSL-Protokoll schafft unter drei Gesichtspunkten sichere Verbindungen:

Die Verbindung ist im besten Sinne privat, weil ihr Inhalt nur verschlüsselt über das Netz geht.
Die Identität des Servers steht fest.
Wirkungungsvolle Algorithmen prüfen, ob die Daten vollständig und unverändert ihren jeweiligen Empfänger errreichen.

Das SSL-Protokoll wird dadurch initiiert, dass dem bekannten http ein s angehängt wird z.B. https://www.ssl.de.
Das ist für den Browser der Anlaß, vom angesprochenen Server ein Zertifikat und seinen öffentlichen Schlüssel abzufordern. Dieser Schlüssel wird zusammen mit einer Prüfsumme und einer ID an den Browser zurückgemeldet. Diese Informationen werden von einigen wenigen Zertifizierungsfirmen errechnet. Die bekannteste ist VeriSign; Dieser Zertifizierungsprozeß ist gleichermaßen zeitaufwendig wie Kostenintensiv und speziell für Anwender, die nicht in den USA wohnen, mit einigen Problemen behaftet.
Der Browser prüft anhand der übermittelten Daten, ob er wirklich mit dem Server verbunden ist, der in der URL angegeben ist. Ist das der Fall, gibt der Browser dem Anwender eine entsprechende Information: Beim Internet Explorer schließt sich das Bügelschloß, der Navigator/Communicator signalisiert eine sichere Seite durch den intakten Schlüssel.
In der folgenden Phase verständigen sich die beiden Rechner auf einen symetrischen Schlüssel (Session Key). Da diese Absprache in asymetrischer Verschlüsselung vollzogen wird, ist die Sicherheit gegeben. Der Browser schickt dem Server vor dem Beginn des eigentlichen Datenaustausches einige Testnachrichten, die der Server nur beantworten kann, wenn es wirklich der Server ist, der er zu sein vorgibt.

Zertifizierung

Im Zentrum des SSL-Protokoll steht das digitale Schüsselpaar aus öffentlichem und privaten Schlüssel des Servers sowie die ID der Zertifizierungsstelle. Jeder virtueller Websserver benötigt ein eigenes Schlüsselpaar, weil bei der ID unter anderem der Domain-Namen einfließt.

Zurück

Quelle: http://www.ssl.de