Transport Layer Security

SSL - beliebt, aber gefährlich

Durch die "Heartbleed"-Sicherheitslücke ist das SSL/TLS-Netzwerkprotokoll ein wenig in Verruf geraten - nicht zum ersten Mal. Wahr ist aber auch: Unternehmen haben für die Absicherung ihres Datenverkehrs keine wirklich brauchbare Alternative.

20 Jahre ist es her, dass Browser-Pionier Netscape die erste Version des SSL-Protokolls veröffentlicht hat - heute offiziell als TLS (Transport Layer Security) bekannt. In den frühen Tagen des Internets entwickelt, sollte SSL das Kommunikationsprotokoll TCP/IP um Funktionen für Sicherheit und Authentifizierung erweitern, weil dieses für solche Aufgaben nicht vorgesehen war. So sollte zumindest das Auslesen abgegriffener Inhalte verhindern werden, wenn Hacker es geschafft hatten, sich in die Verbindung zwischen zwei Rechnern einzuklinken.

"Heartbleed" und die Folgen: Bei einer so schwerwiegenden Sicherheitslücke in OpenSSL blutet vielen Servern das Herz ...
"Heartbleed" und die Folgen: Bei einer so schwerwiegenden Sicherheitslücke in OpenSSL blutet vielen Servern das Herz ...
Foto: Codenomicon

Heute ist SSL der Standard schlechthin für sichere Kommunikation im Internethandel, beim E-Banking und für die Nutzung von Web- respektive Cloud-basierten Business-Plattformen. Auf ihrer Reise durch das Netz soll das Verschlüsselungsprotokoll sensible Daten vor Diebstahl und Manipulation schützen. Etwa ein Viertel des Datenverkehrs in Unternehmen läuft über das SSL-Protokoll, in der Finanz- oder Gesundheitsbranche sogar die Hälfte aller Daten.

Weil die Nutzer heute zunehmend für Sicherheitsaspekte sensibilisiert sind und die Einbettung von Verschlüsselungstechniken auch für Hersteller und Integratoren einfacher wird, liegen beliebte (Web-)Anwendungen heute zunehmend in verschlüsselter Version vor. Marktauguren gehen davon aus, dass der SSL-Verkehr im Internet künftig um bis zu 20 Prozent pro Jahr zulegt.

Funktionsweise des Protokolls

SSL gewährleistet einen sicheren und vertraulichen Datenaustausch, indem es Funktionen für Authentifizierung, Verschlüsselung und Datenintegrität bereitstellt. Der Client kann sich sicher sein, dass der aufgerufene Server auch wirklich derjenige ist, der er vorgibt zu sein (Authentifizierung). Vertrauliche Daten wie beispielsweise Kreditkartennummern oder Passwörter werden verschlüsselt übertragen und können, selbst wenn es gelingt, sie abzufangen, nicht ausgelesen oder manipuliert werden (Datenintegrität).

Die Basis bilden Zertifikate, anhand derer sich SSL-fähige Browser und Server gegenseitig identifizieren können. Sie werden von professionellen Dienstleistern ausgegeben und erfüllen gleichsam die Funktion eines fälschungssicheren Personalausweises. Schließlich prüfen die Zertifikateanbieter vor der Ausgabe von Prüfsiegeln die Identität der anfragenden Organisation, um die Sicherheit auch tatsächlich zu gewährleisten.

Technikdetails: Das SSL- respektive TLS-Protokoll arbeitet nach einem dreistufigen Prozess.
Technikdetails: Das SSL- respektive TLS-Protokoll arbeitet nach einem dreistufigen Prozess.
Foto: Blue Coat

Eine SSL-Transaktion wird vom Client initiiert und ist am Protokollnamen "https" in der Adressleiste des Browsers erkennbar. Sie besteht aus zwei Phasen: dem SSL-Handshake, bei dem die Schlüssel ausgetauscht werden, wodurch die Authentifizierung erfolgt, und dem eigentlichen Datentransport. Beim Handshake verschlüsselt der Urheber die gefragten Inhalte mit dem öffentlichen Schlüssel des Servers. Entschlüsselt und damit verifiziert werden diese durch den privaten Schlüssel des Empfängers.

Die beiden Kommunikationspartner einigen sich im nächsten Schritt auf einen sogenannten Session Key, der während dieser Sitzung zur Verschlüsselung der ausgetauschten Daten benutzt wird. Selbst wenn Kriminelle diese Daten abfangen, können sie nichts damit anfangen, da die 128- beziehungsweise 256-Bit-Verschlüsselung so lang und komplex ist, dass sie selbst mit fortschrittlichen Methoden nur mit sehr hohem Aufwand und viel Zeit geknackt werden kann.