Sicherheit von Internetdiensten
TLS- Transportlayer Security
RFCs und Herkommen
- TLS 1.2 nach RFC5246 seit August 2008
- TLS 1.1 nach RFC4346 seit April 2008
- TLS 1.0 wird im RFC2246 definiert.
- SSL
-
Ursprünglich wurde es von Netscape unter dem Namen SSL für Socket Security Layer erfunden, deshalb heißt es im Volksmund immernoch SSL. Hier dieNetscape-SSL_Einführung und SSL-3.0 Spezifikation.
Zweck
Es dient zur verschlüsselten Kommunikation über das Internet.
Man kann beliebige Anwendungsprotokolle über die TLS-Verbindungen fahren.
Folgende Gefahren werden abgewendet:
- eavsdropping
- tampering
- message forgery
.
TLS ist ein Framework, es kann verschiedene Verschlüsselungsmethoden
erweitert werden.
Zudem soll das Protokoll relativ effeizent sein, obwohl kyrptograhische Algotithmen sehr Rechenaufwendig sind. Dieses wird durch einen session-chaching-Mechanismus erreicht.
Arbeitsweise
TLS hat zwei Phasen:
- Handshake
-
Die Identität eines Partners (Peer) kann mit hilfe von assymetischen oder public-Key-Kryptographischen Verfahren (RSA,DSS, uws. ) gesichert werden.
(Es wird gesichert, das das Aushandeln des geteilten Geheimnisses für die
Übertragung geheimbliebt, auch gegen eavsdroppes oder bei Angreifern in der Mitte der Kommunikation.
Es wird gesichert, daß diese auch zuverlässig ohne Störungen passiert)
- Übertragung
-
Die übertragenden Daten selber werden einer symmetischen
Kryptographiemethode wie DES,RC4 oder so verschlüsselt. Die Schüssel dafür
werden für jede Verbindung neu ausgehandelt (via TLS Handshakeprotokoll).
Die Zuverlässigkeit der Verbindung selber wird durch sicheren Hash-Wert (MD5,SHA) von einer MAC-Adresse gesichert.
Implementierungen
- Openssl ist eine freie Implementierung.
- GnuTLS The GNU Transport Layer Security Library
Vergleich verschiedener Implementierungen der englischsprachigen Wikipedia
Einordnung
siehe auch Kerberos vers SSL
Sonstiges
Kerberized SSL stattet
openssl mit Kerberos aus
Links
- Wikipedia zu TLS
- SSL-Einführung des Apache-WWW-Servers
- ORACLE-SSL-Whitepaper
-
- https://cc.dcsec.uni-hannover.de/
- testet welche Verschlüsselungsverfahren ein Browser kann und bevorzugt.
Vergleiche mit anderen Mechanismen
- IPsec vs. TLS/SSL vs. SSH
Informatik- und Netzwerkverein Ravensburg e.V
Rudolf Weber