- III -

Inhaltsverzeichnis

Abbildungsverzeichnis   IV

Abk  ürzungsverzeichnis.  V

1  Die Entwicklung des Sicherheitsproblems im Internet.  1

2  Der TCP/IP-Protokollstack  2

2.1  Die Netzwerkschicht  4

2.1.1  Internet Protocol (IP)  4

2.1.2  Internet Control Message Protocol (ICMP)  5

2.1.3  Address Resolution Protocol (ARP)  5

2.2  Die Transportschicht  6

2.2.1  Transmission Control Protocol (TCP)  6

2.2.2  User Datagram Protocol (UDP)  8

3  Kryptographische Basisverfahren.  9

3.1  Verschlüsselungsverfahren  9

3.2  Kryptographische Prüfsummen und digitale Signaturen.  10

3.3  Zertifikate.  11

4  Sicherheitsprotokolle im Internet.  13

4.1  Internet Protocol Security (IPSec)  13

4.1.1  Security Association Database  14

4.1.2  Authentication Header (AH)  15

4.1.3  Encapsulation Security Payload (ESP)  16

4.2  Secure Sockets Layer (SSL)  20

4.2.1  Das Handshake Protokoll  20

4.2.2  Das Record Protokoll  23

4.3  Secure Electronic Transaction (SET)  24

4.3.1  In SET benötigte Zertifikate und Verschlüsselungsalgorithmen.  25

4.3.2  Der SET- Zahlungsprozess  26

5  Zusammenfassung und Ausblick  29

Literaturverzeichnis   30

Anhang.   31

A  Well-Known Port Numbers  31

B  Port-Nummern von mit SSL gesicherten Anwendunge n  32

- IV -

Abbildungsverzeichnis   

Abb.  2.1: Der TCP-IP Protokollstack  

Abb.  2.2: Nachrichtentransport im TCP/IP-Protokollstack  

Abb.  3.1: Schlüsselzertifikat im X.509-Format  

Abb.  4.1: Einordnung der Sicherheitsprotokolle in den TCP/IP-Protokollstack  

Abb.  4.2: Der Authentication Header (AH)  

Abb.  4.3: Der Encapsulation Security Payload (ESP) Header  

Abb.  4.4: Anwendungsfälle für die ESP-Modi.  

Abb.  4.5: Der Encapsulation Security Payload Header im Tunnelmodus  

Abb.  4.6: SSL-Handshake  

Abb.  4.7: Ablauf der Funktionen des Record-Protokolls  

Abb  4 8: Nachrichtenaustausch in SET  

^{- V -} Abkürzungsverzeichnis

AES AH ARP ARPANet CA CBC DES DoD ESP FTP HTTP IANA ICMP IDEA IETF IP IPSec ISAKMP MAC SET SHA1 SPI SSL TCP TLS UDP URL VPN ZS

^{- 1 -} 1 Die Entwicklung des Sicherheitsproblems im Internet

Anfang der 70er Jahre entwickelte das amerikanischen Department of Defense (DoD) das ARPANet ¹ , ein Netzwerk, dass heute als Internet bekannt ist. Dieses Netzwerk sollte Leitungsausfälle erkennen und automatische alternative Übertragungswege suchen. Die Lösung bestand darin, ein Netzwerk ohne zentrale Vermittlungsstelle aufzubauen, so dass bei einem Ausfall eines Netzwerkknotens die übrigen Rechner trotzdem weiter miteinander kommunizieren konnten. Diese Aufgabe erfüllte das dafür entwickelte Internet Protocol (IP), das eine verbindungslose und paketorientierte Kommunikation ermöglicht. Da nur das Militär Zugriff auf dieses damals noch geschlossene Netzwerk hatte, machte man sich um Sicherheitsfragen wie Authentizität, Integrität und Vertraulichkeit keine Gedanken. Auch als Mitte der 70er Jahre Universitäten, Bildungs- und Forschungseinrichtungen an das ARPANet angeschlossen wurden, kümmerte man sich nicht groß um Sicherheitsaspekte, da die paketorientierte Vermittlung selbst noch ein Experiment war. Erst als Anfang der 90er Jahre die Zahl der angeschlossenen Rechner explosionsartig stieg und vor allem der E-Commerce seinen Durchbruch hatte, waren Sicherheitsanforderungen dringend notwendig. Das Sicherheitsproblem bestand dabei für eine Person nicht nur aus dem Einbruch in seinen privaten Rechner, sondern auch aus dem Einbruch in einen Router, wodurch direkt mehrere Kommunikationsverbindungen abgehört werden konnten. Das erste Auftreten von so genannten Internet-Würmern in dieser Zeit verstärkte den Ruf nach sicheren Kommunikationsnetzen. Diese Probleme gelten auch he ute noch, so dass Sicherheitsprotokollen eine große Bedeutung zukommt. 2

Um den Ablauf der Kommunikation im Internet zu verstehen, werden zunächst in Kapitel 2 die wichtigsten Protokolle des TCP/IP-Protokollstacks erklärt. In Kapitel 3 werden dann grundlegende kryptographische Verfahren erläutert, die in den in Kapitel 4 vorgestellten Sicherheitsprotokollen zum Einsatz kommen. Abschließend wird in Kapitel 5 eine Zusammenfassung und ein Ausblick gegeben.

¹ Advanced Research Projects Agency Net

² Vgl. Smith (1998) S. 34ff.; Raepple (1998) S. 3.

^{- 2 -} 2 Der TCP/IP-Protokollstack

Die an das Internet angeschlossenen Rechner weisen zusammen eine sehr heterogene Netwerktopologie auf. Um Daten im Internet auszutauschen bzw. damit Anwendungen über das Internet kommunizieren können, ist es notwendig, Kommunikationsregeln zwischen den beteiligten Systemen festzulegen. Solche Kommunikationsregeln sind in Protokollen definiert. Ein so komplexes Kommunikationssystem wie das Internet kann allerdings nicht alleine durch ein einziges Protokoll beschrieben werden, das sämtliche Aufgaben abdeckt. Es existieren daher mehrere Protokolle für das Internet, die jeweils auf eine Aufgabe spezialisiert sind, und sich zu der TCP/IP-Protokollfamilie ³ zusammenfassen lassen. Diese einzelnen Protokolle lassen sich in vier funktionale Schichten einteilen: Die Datensicherungs ⁴ -, die Netzwerk ⁵ -, die Transport- und die Anwendungschicht (Abb. 2.1).

Abb. 2.1: Der TCP-IP Protokollstack

In diesem TCP/IP-Protokollstack baut j ede Schicht auf den Dienstleistungen auf, die von der darunterliegenden Schicht bereitgestellt werden. Dadurch steigt mit der Höhe der Schicht neben dem Leistungsumfang auch der Abstraktionsgrad. Anwender und Entwickler können somit direkt auf die bereitgestellten (abstrakten) Funktionen einer höheren Schicht zugreifen, ohne die Dienstleistungen darunterliegender Funktionen verstehen zu müssen. 6

³ „TCP“ steht für „Transmission Control Protocol“ und „IP“ für „Internet Protocol“, den beiden

Kernprotokollen des Internets.

⁴ Oft auch Netz-Zugangs-Schicht genannt; Vgl. Hein (1998), S. 66.

⁵ Oft auch Internet-Schicht genannt; Vgl. Hein (1998), S. 66.

⁶ Vgl. Raepple (1998), S. 28f.

Quelle: Vgl. Raepple (1998), S. 32f.

Abb. 2.2: Nachrichtentransport im TCP/IP-Protokollstack

Werden nun Daten von einem Rechner zu einem anderen übertragen (z. B. eine Datei via FTP), durchlaufen sie zunächst auf der Senderseite alle Schichten bzw. Protokollebenen in absteigender Reihenfolge. Dabei hängt jede Schicht ihren protokollspezifischen Header an die Nutzdaten, der dazu benötigt wird, die Daten auf der jeweiligen Schicht korrekt zu verarbeiten. Auf der Datensicherungsschicht bestehen die Daten somit aus den Nutzdaten, dem Anwendung-Header, dem TCP/UDP-Header, dem IP-Header und dem Datensicherungs-Header (Abb. 2.2). Auf der untersten Schicht - der Datensicherungsschicht - werden die Daten dann über ein physisches Medium zu dem anderen Rechner übertragen. Der Rechner des Empfängers interpretiert zunächst den Datensicherungs-Header auf der Datensicherungsebene, löscht ihn und gibt die übrig gebliebenen Daten (d. h. Nutzdaten, Andwendung-, TCP/UDP- und IP-Header) an die darüberliegende Netzwerkschicht weiter. Diese und die darüberliegenden Schichten arbeiten die Daten analog ab, bis sie schließlich als reine Nutzdaten auf der Benutzeroberfläche des Empfängers ankommen. 7

Um den Datentransfer - ohne Sicherheitsmechanismen - im Internet verstehen zu können, werden die Protokolle der Transport- und der Netzwerkschichten des TCP/IP-Protokollstacks in den folgenden beiden Kapiteln näher erläutert.

⁷ Vgl. Raepple (1998), S. 31.