Im heutigen Zeitalter des Internets gehen täglich wichtige Informationen über die elektrischen Leitungen. Eine wichtige Informationsquelle von ca. 48% der Frauen sowie ca. 63 % der Männer in Deutschland ist in der heutigen Zeit das World Wide Web (WWW) [1] in welchem hauptsächlich das Hypertext Transfer Protocoll (HTTP) eingesetzt wird. Um wichtige, vertrauenswürdige Informationen wie z.B. Banküberweisungen oder Wareneinkäufe zu schützen und deren Sicherheit zu gew¨ahrleisten wurden einige Methoden entwickelt. Der am weitesten verbreitete Standard ist das SSL- bzw. TLS-Protokoll, welches in Kombination mit dem HTTP als HTTPS-Protokoll genutzt wird. Das ”S“ hierbei steht für ”Secure“. Diese Arbeit stellt die Authentisierungsmethoden direkt im HTTP-Protokoll als Grundlage vor und geht dann tiefer in die TLS-Protokolle ein.
Inhaltsverzeichnis
1 Einfuhrung
2 Authentisierungsmethoden im HTTP
2.1 Basic Authentication
2.2 Digest Access Authentication
3 SSL / TLS
3.1 Historie
3.2 TLS Protokollubersicht
3.3 Record Layer Protokoll
3.3.1 Ablauf einer Verschlusselung
3.3.2 Ein Record Layer Datenpacket (Record)
3.4 Handshake Protokoll
3.4.1 Uberblick: Ablauf eines Handshakes
3.4.2 HelloRequest
3.4.3 ClientHello
3.4.4 ServerHello
3.4.5 Certificate
3.4.6 CertificateRequest
3.4.7 ServerHelloDone
3.4.8 ClientKeyExchange
3.4.9 CertificateVerify
3.4.10 ChangeCipherSpec
3.4.11 Finished
3.4.12 Verkurzter Handshake
3.5 Change-Cipher-Spec Protokoll
3.6 Alert Protokoll
3.7 Angriffe auf SSL/TLS
4 Ausblick
Zielsetzung & Themen
Die Arbeit untersucht die Mechanismen der Transportsicherheit im Internet, insbesondere die Absicherung des HTTP-Protokolls durch SSL/TLS, um die Vertraulichkeit und Integrität bei der Datenübertragung zu gewährleisten.
- Grundlagen der HTTP-Authentisierungsmethoden (Basic & Digest).
- Historische Entwicklung und Protokollarchitektur von SSL/TLS.
- Detaillierte Analyse des Handshake-Protokolls und des Record Layer.
- Untersuchung von Angriffsvektoren auf verschlüsselte Verbindungen.
Auszug aus dem Buch
3.4 Handshake Protokoll
Das Handshake Protokoll ist der komplexeste aber auch wichtigste Teil von TLS. Hier wird der symmetrische Schlussel (Master Secret) zur späteren Verschlusselung im Record Layer zwischen Client und Server ausgehandelt.
Ein symmetrischer Schlussel wäre theoretisch nicht nötig, denn heutige Public-Key-Verfahren wie z.B. RSA benötigen keinen Schlussel, der beiden Parteien bekannt ist. Public-Key-Verfahren sind jedoch wesentlich rechenintensiver als symmetrische Verfahren, da diese im Wesentlichen mit einfach zu implementierbaren XOR-Operationen auskommen.[13]
Beim HTTP-Protokoll wird TLS initialisiert indem eine URL mittels https:// im Browser aufgerufen wird:
https://www.sichereseite.de
Zusammenfassung der Kapitel
1 Einfuhrung: Einleitung in die Bedeutung von SSL/TLS für die Sicherheit im World Wide Web und die Zielsetzung der Arbeit.
2 Authentisierungsmethoden im HTTP: Vorstellung der Verfahren Basic und Digest Access Authentication sowie deren Sicherheitsdefizite.
3 SSL / TLS: Umfassende technische Erläuterung der SSL/TLS-Protokollfamilie, inklusive Aufbau, Handshake-Mechanismen, Alert-Protokoll und bestehenden Sicherheitsrisiken.
4 Ausblick: Diskussion zukünftiger Entwicklungen wie IPv6 und die wachsende Bedeutung von SSL/TLS im VPN-Umfeld.
Schlüsselwörter
SSL, TLS, HTTPS, HTTP, Authentisierung, Handshake Protokoll, Record Layer, Master Secret, Verschlüsselung, Public-Key-Infrastruktur, IT-Sicherheit, Man-in-the-Middle, X.509, Hashfunktion, Netzwerksicherheit.
Häufig gestellte Fragen
Worum geht es in dieser Arbeit grundsätzlich?
Die Arbeit behandelt die grundlegenden Sicherheitsmechanismen, die zur Absicherung der Datenübertragung im Internet eingesetzt werden, insbesondere das SSL/TLS-Protokoll in Kombination mit HTTP.
Welche zentralen Themenfelder werden beleuchtet?
Die Themen umfassen Authentisierungsmethoden auf Applikationsebene, die Struktur der SSL/TLS-Protokollschichten sowie potenzielle Sicherheitsrisiken und Angriffsvektoren.
Was ist das primäre Ziel der Untersuchung?
Ziel ist es, die Funktionsweise von SSL/TLS detailliert darzustellen, insbesondere wie durch den Handshake-Prozess eine sichere, verschlüsselte Kommunikation zwischen Client und Server etabliert wird.
Welche wissenschaftliche Methode wird verwendet?
Die Arbeit basiert auf einer deskriptiven und analysierenden Literaturstudie der relevanten RFCs und Fachliteratur zur IT-Sicherheit.
Was wird im Hauptteil der Arbeit behandelt?
Im Hauptteil liegt der Fokus auf der technischen Analyse der vier Protokolle von TLS, der detaillierten Beschreibung der einzelnen Handshake-Schritte und einer Bewertung gängiger Angriffsarten.
Welche Schlüsselwörter charakterisieren diese Arbeit?
Zu den wichtigsten Begriffen zählen SSL, TLS, HTTPS, Authentisierung, Handshake-Protokoll, Record Layer und Public-Key-Kryptographie.
Warum wird SSL/TLS heute noch neben IPv6 eingesetzt?
Obwohl IPv6 Verschlüsselung auf der Netzwerkschicht unterstützt, wird SSL/TLS aufgrund seiner Flexibilität auf der Transportschicht weiterhin als zusätzliche Absicherung für host-to-host Verbindungen geschätzt.
Was unterscheidet die Basic von der Digest Access Authentication?
Während Basic Authentication Anmeldedaten im Klartext überträgt, nutzt Digest Access Authentication ein Challenge-Response-Verfahren mit Hashwerten, um die Übertragung von Passwörtern zu schützen.
- Quote paper
- Philipp Dosch (Author), 2006, Transportsicherheit SSL TLS, HTTPS, Munich, GRIN Verlag, https://www.grin.com/document/61025
