28 Mai 2007

Technikwürze 74 (S01/E74) SSL, wie geht das?

Datenverkehr zwischen Client und Server wird meist unsicher übertragen und kann von versierten Menschen im Klartext abgehört werden. Gerade bei sensibelen Daten, wie Passwörtern und Kreditkartennummern ist das ein großes Sicherheitsrisiko. Eine Lösung: SSL.

Höre Technikwürze auf SoundCloud: Diese Folge | Alle Folgen

In dieser Ausgabe von Technikwürze erklärt Daniel Mitmoderator Sascha was es mit SSL und der Verschlüsselung von Client-Server-Kommunikation auf sich hat. Der hat zwar schon mal was von synchroner und asynchroner Verschlüsselung gehört, kommt aber mit SSL und TLS lediglich in Berührung wenn sich die Adressleiste im Browser einfärbt und das Protokoll in https:// verändert.

SSL (Secure Socket Layer) ist der Vorgänger von TLS (Transport Layer Security) aber irgendwie hat sich der neue Name nicht durchgesetzt und so wird auch hier weiterhin von SSL gesprochen. Das SSL Protokoll besteht aus zwei Hauptphasen. In der ersten Phase, dem Handshake, die vor der eigentlichen Datenübertragung stattfindet, wird die Identität des Webservers sichergestellt und ein sicherer Kommunikationskanal ausgehandelt. Diese Phase wird durch asynchrone Verschlüsselung abgesichert. Deshalb und weil die Authentifizierung des Servers durch sein Zertifikat aufwendig ist, läuft der Handshake relative langsam ab.
Die zweite Phase ist die eigentliche verschlüsselte Datenübertragung. Hier werden die HTTP Daten mit einem zufällig generierten Sitzungsschlüssel synchron (=schnell) verschlüsselt übertragen.

Das ursprünglich angedachte zweite Thema “Was ist Cross-Site-Scripting und was tue ich dagegen?” wird in einer der nächsten Ausgaben untergebracht.

Am Ende dieser Folge sprechen Daniel uns Sascha noch über die Urban Challenge, ein Wettbewerb der amerikanischen DARPA in dem autonom agierende Fahrzeuge eine Strecke durch eine Stadtumgebung mit etlichen eingebauten Schwierigkeiten überwinden müssen. Daniel ist Teil eines deutschen Teams, dass an der Ralley beteiligt ist und in den nächsten Wochen nach Amerika fliegt.

Von Euch wollen wir wissen ob Ihr Interesse an einem Bericht aus Californien habt und Daniel im Laufe des kommenden Monats etwas aus dem Nähkästchen plaudern soll. Schreibt uns dazu doch einfach einen Kommentar!

PS: Daniel und sein Vista sind gerade leider noch auf Kriegsfuß, entschuldigt deshalb bitte die ab und zu schlechtere Tonqualität.

Musik

Die Musik stammt wieder aus dem Podsafe Music Network und kommt von Jealousy Curve. Sie spielen “Until We Are Free”.

Tags: ,

Dieser Beitrag wurde am Montag, 28. Mai 2007 um 00:00 Uhr in der Kategorie Podcast veröffentlicht.
Kommentare sind im Moment nicht erlaubt, du kannst aber einen Trackback von deiner Seite aus senden.

Kommentare

  • 1.
    Sebastian Ullherr
    am 28. Mai 2007, 07:12 Uhr

    Bei der Anzahl der nötigen Schlüssel bei symmetrischer Verschlüsselung habt ihr euch glaub ich verrechnet. Jedenfalls komme ich auf 9! verschiedene Schlüssel für 10 verschiedene Kommunikationspartner, die alle miteinander kommunizieren wollen.

    Ansonsten interessante Einführung in SSL!

  • 2.
    Sascha Postner
    am 28. Mai 2007, 09:12 Uhr

    Mist! Erwischt! :)

    Danke…

  • 3.
    Markus Wulftange
    am 28. Mai 2007, 12:26 Uhr

    Ihr liegt beide falsch. Es werden bei n Knoten genau n×(n-1)÷2 Schlüssel benötigt. Bei zehn Knoten sind es also nur 45 Schlüssel statt 9!=362880 Schlüssel.

  • 4.
    Sebastian Ullherr
    am 28. Mai 2007, 12:37 Uhr

    Stimmt natürlich, nicht 9! sondern die Summe von 1 bis 9 … soviel zum Thema Grundrechenarten :D

  • 5.
    Nico
    am 28. Mai 2007, 14:24 Uhr

    Um mal auf das 2. Thema zu sprechen zu kommen: Mich würde die Urban Challenge sehr interessieren. Es wäre schön, wenn ihr in einer der nächsten Folgen mal darüber berichten könntet.

    Was SSL angeht: Warum ist es nicht möglich eine SSL-Verbindung ohne Zertifikat auf zu bauen? Oder habe ich da etwas falsch verstanden? Mit dem Zertifikat stellt man doch sicher, dass es sich um den richtigen Server handelt und mit der Verschlüsselung verschlüsselt man die Daten, die übertragen werden. Die beiden Dinge sind doch folglich unabhängig voneinander.

  • 6.
    Markus Wulftange
    am 28. Mai 2007, 15:12 Uhr

    Auch ohne gültiges oder durch eine Verifizierungsstelle bestätigtes Zertifikat ist eine Verschlüsselung möglich. Nur kann dabei eben nicht die Authentizität der Website gewährleistet werden. So kann sich prinzipiell jeder sein eigenes Zertifikat ausstellen.
    Und genau deswegen gibt es die Verifizierungsstellen, die die ausgestellten Zertifikate der Websites verifizieren. So hat jeder Webbrowser eine Liste vertrauenswürdiger Verifizierungsstellen. Taucht die angegebene Verifizierungsstelle dort nicht auf, gibt es eine Warnung (etwa „Dieses Zertifikat wurde von einer unbekannten Verifizierungsstelle signiert.“). Doch die meisten ignorieren solche eigentlich wichtigen Warnungen und klicken einfach auf Weiter.

  • 7.
    Karl
    am 30. Mai 2007, 08:41 Uhr

    Da hat sich schon einer gefunden, Sascha. Bin auch PHP-Entwickler und hab (noch) keine Ahnung von Cross-Side-Scripting. Aber nach der nächsten Technikwürze-Folge sollte dass schon anders ausschauen ;)

    LG aus Wien

  • 8.
    Jens Schulze | Webdesign Blog
    am 1. Juni 2007, 13:45 Uhr

    Der Podcast kam genau im richtigen Moment. Ich mußte gerade SSL auf einer meiner Webseiten einbauen. Dickes Danke für die Einführung :)

    Gruß Jens

  • 9.
    Thomas
    am 3. Juni 2007, 00:37 Uhr

    Hmm.. Geht leider nicht :( Download kaputt

  • 10.
    Konstantin Klein
    am 4. Juni 2007, 15:52 Uhr

    bitte auf jeden fall mehr über die urban challenge berichten.

  • 11.
    Frank
    am 6. Juni 2007, 09:52 Uhr

    Hier noch ein Link zur Erklärung von assymetrischer und symetrischer Verschlüsselung.

    http://www.bsi-fuer-buerger.de/schuetzen/07_0301.htm

    War auch für mich sehr interessant zu wissen, da ich gerade einen Webshop realisiere.

    Mich würde noch interessieren, wie ich dann die Daten per email-Versand auch verschlüsselt an den Shopanbieter vom Server aus übertragen kann??

    viele Grüße aus München
    Frank

    PS: Macht weiter so!

  • 12.
    Daniel Jagzent
    am 6. Juni 2007, 17:48 Uhr

    Hi Frank,

    wenn Du die Bestellungen per E-Mails verschickst, musst Du die E-Mails konsequenterweise verschlüsseln. Dafür gibt es zwei Standards: S/MIME und (Open-)PGP. Für dein Anwendungsfall würde ich PGP benutzen. Zum einen brauchst Du keine ausgefeilte Zertifikatsverwaltung, wie S/MIME sie hat, und zum anderen ist die Verschlüsselung per PGP sehr leicht automatisierbar durch das Open-Source Kommandozeilenprogramm GPG (GNU Privacy Guard). Nachteil bei Verschlüsselten E-Mails: Man kann vielleicht nicht von jedem Shopbetreiber erwarten, dass er damit zurechtkommt.

    Eine andere Möglichkeit ist natürlich aber auch, gar keine sensitiven Daten über E-Mails zu verschicken. Du könntest ja auch bei einer neuen Bestellung nur eine E-Mail verschicken, dass eine neue Bestellung eingetroffen ist und einen Link auf eine SSL (und Passwort) gesicherten Seite dazu auf der dann die Daten der Bestellung stehen.

  • 13.
    Juniperus
    am 20. Juni 2007, 20:25 Uhr

    Für SSL (unter anderem) muss man ein Zertifikat haben, wie man das für (private) Zwecke selbst erstellen kann kann man in meinem Blog nachlesen: GUXX

Dein eigener Kommentar

Die Kommentarfunktion für diesen Beitrag wurde deaktiviert.