FAQ Transportverschlüsselung
TLS/SSL - Fragen und Antworten
Was hat Verschlüsselung mit Zertifikaten zu tun?
Um die Echtheit eines Schlüssels zu erkennen, wird zusätzlich ein Zertifikat - vergleichbar mit einer digitalen Unterschrift - benötigt. Dessen Echtheit lässt sich mit dem öffentlichen Schlüssel des Zertifikatausstellers prüfen. In der Summe der Kommunikationsanfragen entsteht so eine Reihe von Zertifikaten. Diese nennt sich Validierungspfad oder Zertifizierungspfad. Diese Nachweiskette ist wichtig, da sich die User auf die Echtheit des letzten Zertifikates und des letzten zertifizierten Schlüssels verlassen können müssen.
Welche Anwendungen verwenden SSL-Zertifikate?
TLS- beziehungsweise SSL-Zertifikate unterstützen alle wesentlichen Protokolle der Kommunikationsarchitektur im Internet. Dazu gehören beispielsweise vorrangig die Protokolle HTTP, FTP, SMTP und POP3.
Wie verläuft ein typischer SSL-Verbindungsaufbau?
Ein Internetnutzer ruft über seinen Browser eine Website auf. Der Server der Zielseite überträgt das Zertifikat der Webseite an den Client des Users. Damit weist das Zertifikat die Identität und Vertrauenswürdigkeit der Webseiten gegenüber dem Empfänger aus. Die übermittelten Daten umfassen neben dem Namen des Servers und des Zertifikatausstellers auch den bekannten öffentlichen Schlüssel (Public Key).
Im nächsten Schritt prüft der Browser das Zertifikat auf Gültigkeit. Dies ist notwendig, um Missbrauch durch manipulierte Webseiten zu verhindern. Prüfsummen schützen Zertifikate vor unerlaubter Veränderung. Diese auch Hash-Summen genannten Zahlenkombinationen werden automatisch erzeugt. Dabei werden unverwechselbare Merkmale wie die Bit-Anzahl der insgesamt zu übertragenden Daten mit einem definierten Faktor multipliziert. Das Ergebnis entspricht der individuellen Prüfsumme. Diese wird zusammen mit der Nachricht an den Empfänger übertragen. So lässt sich aus den gesendeten Daten ebenfalls eine Hash-Sum errechnen. Stimmt diese mit der vom Sender übertragenen Prüfsumme überein, wird die Nachricht als sicher eingestuft.
- Fühlen Sie sich sicher?
Spätestens nach dieser Bilderstrecke sind Sie dieses Gefühl garantiert los ... - Mythos: Das Internet ist so unendlich groß. Niemand wird gerade mich angreifen.
Fakt: Es gibt vollautomatisierte Angriffs-Tools, die Hacker einsetzen, um Schwachstellen aufzudecken. Ein neuer, ungeschützter Computer, der erstmalig mit dem Internet verbunden wird, ist in der Regel innerhalb von sieben Minuten kompromittiert. - Mythos: Ich besitze überhaupt keine wertvollen digitalen Informationen.
Fakt: Jeder Computernutzer besitzt wertvolle Daten. Und seien es nur lokal gespeicherte Passwörter fürs Online-Banking, Kreditkartendaten, E-Mail- oder Web-Accounts. Diese Infos sind gerade für Identitätsdiebe äußerst wertvoll. - Mythos: Security und Usability gehen nicht zusammen.
Fakt: Usability-Experten bemühen sich schon lange, diesen Widerspruch aufzulösen. Viele Dinge lassen sich heute bequem, gleichwohl sicher erledigen. - Mythos: AV und Firewall genügen dann aber auch, um meinen Computer sicher zu machen.
Fakt: Jede installierte Software birgt potenzielle Schwachstellen und sollte mit Updates auf dem Stand gehalten werden - das gilt für Security-Software ebenso wie für jede andere Applikation. Wichtig ist auch, dass persönliche Passwörter und weitere Informationen über einen selbst vertraulich und sicher aufbewahrt werden. - Mythos: Ich habe die kritischen Daten auf meiner Festplatte gelöscht - nun sind sie weg.
Fakt: Auch wenn die Datei nicht mehr angezeigt und gefunden wird, ist doch nur der Verweis darauf entfernt worden. Die eigentliche Information ist noch solange auf der Festplatte gespeichert, bis sie mit einer neuen überschrieben wird. Erst mit speziellen Wipe-Tools, die Festplatten sektorweise überschreiben, werden Daten endgültig gelöscht. - Mythos: Gefährliche Websites lassen sich direkt erkennen.
Fakt: Cyberkriminelle tun alles, um eben das zu verhindern. Die besten entwickeln Websites, die seriös und professionell aussehen - oft sogar vertrauten Angeboten eins zu eins gleichen, um die Besucher zu täuschen. Und dann reicht ein einziger kompromittierter Link, und der ahnungslose Besucher sitzt in der Falle. - Mythos: Ich bekomme es mit, wenn mein Computer infiziert oder unterwandert wurde.
Fakt: Früher vielleicht ja, heute nur noch bei schlecht gemachten Attacken. Die Entwicklung im Untergrund ist soweit fortgeschritten, dass kaum ein Nutzer noch merkt, wenn sein Rechner als Teil eines Botnetzes als Spam-Schleuder missbraucht wird oder andere Computer angreift. - Mythos: E-Mails meiner Freunde und Bekannten kann ich gefahrlos öffnen.
Fakt: Es ist einfach geworden, sich beim Versenden einer Mail als jemand anders auszugeben. Ein wenig Stöbern im Social Web, überzeugende Argumente, ein falscher Name im Absender-Feld, eine geklaute oder kaum sichtbar abgeänderte E-Mail-Adress als Absender - fertig ist der Stress für dem Empfänger. Halten Sie also die Augen immer offen!
In einem nächsten Schritt generiert der Browser automatisch einen Session-Key. Dieser wird mit dem Public Key des Servers verschlüsselt und an die Ziel-Website übertragen. Ab sofort lässt sich der Session-Key vom Zielserver nur mit dem geheimen Server-Key entschlüsseln. Jetzt ist der Verbindungsaufbau abgeschlossen. Alle übermittelten Daten werden fortan mithilfe des Session-Keys symmetrisch verschlüsselt. Gleichzeitig wird laufend die Prüfsumme kontrolliert, um eventuelle Angriffe aufzuspüren.