FAQ Transportverschlüsselung

TLS/SSL - Fragen und Antworten

26.09.2014 von Melih Abdulhayoglu
Seit den NSA-Enthüllungen und dem OpenSSL-Desaster fragen sich viele Anwender, wie sicher die Webserver und der Datenverkehr im Internet überhaupt sein können. Was steckt hinter dem "Transport Layer Security"-Protokoll? Antworten finden Sie in unseren FAQ.
Verschlüsselung hilft der Datensicherheit enorm.
Foto: Maksym Yemelyanov - Fotolia.com

Das Internet ist eine reiche Fundgrube für persönliche Daten aller Art. Cyberkriminellen gelingt es häufig, unerlaubt in den Besitz vertraulicher Information zu gelangen und diese zu missbrauchen. Gleichzeitig blüht der Handel mit personenbezogenen Daten. Ein sicherer Kommunikationskanal ist deshalb nicht nur für Online-Banking, Online-Shopping und eGovernment-Dienste, sondern auch für E-Mail und alle anderen Web-basierten Anwendungen unabdingbar. Verschlüsselung ist nach wie vor die sicherste Möglichkeit, Daten vor Missbrauch zu schützen. Doch auch hier setzen Schadprogramme an mit dem Ziel, Verschlüsselungsmethoden auszuhebeln. Digitale Zertifikate gewährleisten das Vertrauen in die Sicherheit von Links, die Vertraulichkeit der Datenübermittlung sowie den Inhalt der besuchten Webseite.

Wie funktioniert Verschlüsselung?

Stellen Sie sich vor, sie tätigen über das Online-Portal Ihrer Bank eine Überweisung oder sie hinterlegen persönliche Daten im Profil eines Business-Netzwerks. In beiden Fällen geben Sie vertrauliche Informationen preis, deren Missbrauch für Sie unangenehme Folgen hat. Durch die Verschlüsselung digitaler Daten (engl.: Encryption) werden alle verständlichen Informationen auf Basis eines oder mehrerer "Schlüssel" in eine nicht interpretierbare Zeichenfolge übersetzt. Dies gewährleistet die Integrität der Datenübertragung und die Verwendung der Daten entsprechend geltender Sicherheitsstandards.

Tools für die mobile Verschlüsselung -
Verschlüsselung bei den mobilen Plattformen
Windows Phone 8 kann zwar mittels Bitlocker den Telefonspeicher aber nicht die SD-Cards verschlüsseln. Diese Verschlüsselung kann zudem nur durch einen Administrator mittels ActiveSync-Richtlinie aktiviert werden.
Verschlüsselung ab Android 3.0 möglich
Wie hier unter Android 4.4.2 können zwar die Daten auf dem Tablet verschlüsselt werden – wird die Verschlüsselung aufgehoben, führt das aber zu Datenverlust.
Sophos Secure Workspace
Daten verschlüsselt auf diversen Cloud-Speichern oder auch lokal auf der SD-Karte ablegen: Die Lösung Sophos Secure Workspace (früher Sophos Mobile Encryption) stellt die verschiedenen Möglichkeiten übersichtlich bereit (hier ist auch eine Verbindung zu Microsofts OneDrive eingerichtet).
Verschlüsselt in die Wolke
Wurde Sophos Secure Workspace auf dem Gerät installiert, steht dem Nutzer die Möglichkeit offen, beispielsweise seine Dateien bei einem Upload auf einen Cloud-Speicher zu verschlüsseln.
Privilegien erforderlich
Auch wenn die mit verschlüsselte Datei noch die normale Dateiendung besitzt: Verwenden und auf die Daten darin zugreifen kann nur ein Nutzer, der den entsprechenden Schlüssel besitzt und das Kennwort eingibt.
Boxcryptor
Es ist eher selten, dass Verschlüsselungs-Apps auch für die Windows Phone-Geräte zur Verfügung stehen: Die Lösung "Boxcryptor" ist eine angenehme Ausnahme, die auch unter Windows Phone 8.1 problemlos funktioniert.
Zugriff auf unterschiedliche Cloud-Anbieter
Die meisten Nutzer werden "ihren Cloud-Speicher sicher in der Auflistung der Boxcryptor-App wiederfinden.
Ab in die Cloud
Der Nutzer kann mit Hilfe von Boxcryptor schnell und einfach die Dateien sowohl verschlüsselt als auch offen übertragen.
Sichere WhatsApp-Alternative
Mit der freien App "Signal" können Android-Nutzer sehr sicher verschlüsselte Textnachrichten versenden und empfangen. Mittels eines Passworts werden dazu die lokalen Daten und Nachrichten verschlüsselt.
Verschlüsselt texten
Auch die bereits auf dem Mobil-Gerät vorhandenen SMS-Nachrichten kann Signal (das früher TextSecure hieß) importieren und somit sicher abspeichern.
Verifikation der Nutzer untereinander
Sie können mit Hilfe eines Public Keys sicherstellen, dass die Nachricht tatsächlich vom entsprechenden Anwender stammt.
USB-Sticks sicher verschlüsseln
Die Open-Source-Lösung "SecurStick" verwendet ein zunächst etwas ungewöhnliches Konzept, lässt sich aber ideal auch über Plattformgrenzen hinweg einsetzen.
SecurStick im Einsatz
Nach Eingabe des Passworts werden die Daten aus dem verschlüsselten Bereich mittels WebDAV auf einer montierten Dateifreigabe zur Verfügung gestellt.
Ganze Platte verschlüsseln
Betriebssystempartition verschlüsseln oder auch nur einen USB-Stick sichern? Der freie "DiskCryptor" stellt all diese Möglichkeiten übersichtlich zur Verfügung.
Algorithmische Vielfalt
Besonders beeindruckend bei DiskCryptor: Es werden eine ganze Reihe unterschiedlicher Verschlüsselungsalgorithmen unterstützt.
Die eingebaute Verschlüsselung
Die modernen Microsoft-Betriebssysteme wie Windows 7 und Windows 8 stellen mit der Software Bitlocker bereits in vielen Versionen eine Verschlüsselung bereit, die in der "To Go"-Variante auch für USB-Sticks einzusetzen ist.

Welche Verschlüsselungsmethoden kommen im Internet zum Einsatz?

Am häufigsten wird das Transport Layer Security-Protokoll (TLS) für die Kommunikation im Internet verwendet. TLS ist eine Erweiterung des Secure Sockets Layer-Protokolls (SSL). TLS und SSL kombinieren symmetrische Verschlüsselungsverfahren (Sender und Empfänger verwenden einen gemeinsamen, geheimen Schlüssel) mit asymmetrischen Algorithmen (die Daten werden durch einen öffentlich bekannten Schlüssel verschlüsselt und durch einen geheimen Private Key entschlüsselt). Diese Methode wird auch als Public-Key-Technologie bezeichnet.

Was sind die Aufgaben von SSL bzw. TLS?

Wie der Name bereits verrät, garantiert das Transport Layer Security-Protokoll eine abgesicherte und zuverlässige Datenübertragung zwischen Kommunikationspartnern. Dabei gewährleistet ein hybrides Verschlüsselungsverfahren nicht nur die Sicherheit der Informationen, sondern sorgt auch für die gegenseitige Authentifizierung der Kommunikationspartner. Digitale Zertifikate stellen sicher, dass die verwendeten Schlüssel nicht durch Unbefugte manipuliert wurden. Ziel ist der Aufbau einer vertraulichen Ende-zu-Ende-Datenübertragung unter Verwendung eines gemeinsamen Sitzungsschlüssels. Dabei werden die zu übertragenden Daten vom Sender verschlüsselt und erst vom Empfänger wieder entschlüsselt.

Was hat Verschlüsselung mit Zertifikaten zu tun?

Um die Echtheit eines Schlüssels zu erkennen, wird zusätzlich ein Zertifikat - vergleichbar mit einer digitalen Unterschrift - benötigt. Dessen Echtheit lässt sich mit dem öffentlichen Schlüssel des Zertifikat-Ausstellers prüfen. In der Summe der Kommunikationsanfragen entsteht so eine Reihe von Zertifikaten - Validierungspfad oder Zertifizierungspfad genannt. Diese Nachweiskette ist wichtig, da sich die User auf die Echtheit des letzten Zertifikates und des letzten zertifizierten Schlüssels verlassen können müssen.

Welche Anwendungen verwenden SSL-Zertifikate?

TLS- beziehungsweise SSL-Zertifikate unterstützen alle wesentlichen Protokolle der Kommunikationsarchitektur im Internet. Dazu gehören vorrangig die Protokolle HTTP, FTP, SMTP, POP3 und andere.

Wie verläuft ein typischer SSL-Verbindungsaufbau?

Ein Internetnutzer ruft über seinen Browser eine Website auf. Der Server der Zielseite überträgt das Zertifikat der Webseite an den Client des Users. Damit weist das Zertifikat die Identität und Vertrauenswürdigkeit der Webseiten gegenüber dem Empfänger aus. Die übermittelten Daten umfassen neben dem Namen des Servers und des Zertifikatausstellers auch den bekannten öffentlichen Schlüssel (Public Key).

Im nächsten Schritt prüft der Browser das Zertifikat auf Gültigkeit. Das ist notwendig, um Missbrauch durch manipulierte Webseiten zu verhindern. Prüfsummen schützen Zertifikate vor unerlaubter Veränderung. Diese auch Hash-Summen genannten Zahlenkombinationen werden automatisch erzeugt. Dabei werden unverwechselbare Merkmale wie die Bit-Anzahl der insgesamt zu übertragenden Daten mit einem definierten Faktor multipliziert. Das Ergebnis entspricht der individuellen Prüfsumme. Diese Prüfsumme wird zusammen mit der Nachricht an den Empfänger übertragen, der sich aus den gesendeten Daten wiederum ebenfalls eine Hash-Sum errechnen kann. Stimmt diese mit der vom Sender übertragenen Prüfsumme überein, wird die Nachricht als sicher eingestuft.

Die Grafik zeigt auf, wie der TLS/SSL-Prozess en detail funktioniert.
Foto: Blue Coat

In einem nächsten Schritt generiert der Browser automatisch einen Session-Key, der mit dem Public Key des Servers verschlüsselt und an die Zielwebseite übertragen wird. Ab sofort lässt sich der Session-Key vom Zielserver nur mit dem geheimen Server-Key entschlüsseln. Jetzt ist der Verbindungsaufbau abgeschlossen. Alle übermittelten Daten werden fortan mit Hilfe des Session-Keys symmetrisch verschlüsselt. Gleichzeitig wird laufend die Prüfsumme kontrolliert, um eventuelle Angriffe aufzuspüren.

Schützen Zertifikate vor Datendiebstahl?

Durch den Authentifizierungsvorgang bei der Datenübertragung bieten Zertifikate bereits ein gewisses Maß an Sicherheit vor Phishing- und Pharming-Attacken. Beide Angriffstypen haben zum Ziel, illegal Benutzerdaten zu sammeln. Beim Phishing werden Anwender durch harmlos oder vertraut wirkende Links auf Webseiten gelockt, die Informationen über den nichts ahnenden Besucher ausspähen. Beim Pharming wird der User durch vorsätzlich veränderte Hostnamen ebenfalls auf betrügerische Webinhalte geleitet. Der Einsatz von Zertifikaten schützt den Anwender allerdings nur davor, unabsichtlich auf gefährliche Seiten zu gelangen.

Welche digitalen Zertifikate gibt es?

In den letzten Jahren sind eine ganze Reihe unterschiedlicher Zertifikatstypen in Umlauf gekommen. Dies sind vor allem Domainvalidierte SSL-Zertifikate (DV), Organisationsvalidierte SSL-Zertifikate (OV) sowie Extended Validation-Zertifikate (EV). Darüber hinaus gibt es Wildcard-Zertifikate, Multi-Domain-Zertifikate (MDC) und Unified Communications-Zertifikate (UCC). Zunehmender Beliebtheit erfreuen sich in letzter Zeit die so genannten Extended Validation-Zertifikate. Dabei zeigt eine im Browser gut sichtbare Markierung an, dass die Webseite durch ein zuverlässiges Zertifikat abgesichert ist.

Sind alle Zertifikate gleich sicher?

Nein! In Sachen Sicherheit unterscheiden sich die aktuell verbreiteten Zertifikate stark. Generell muss man davon ausgehen, dass jedes Verschlüsselungssystem theoretisch überlistet werden kann. Dabei hängt die Sicherheit des Zertifikates von zwei Faktoren ab: der Anzahl der in einem Schlüssel verwendeten Zahlen sowie dem Algorithmus des gewählten Verschlüsselungsverfahrens. Weist dieser Schwächen auf, lässt er sich schnell überlisten. Als unsicher aufgrund einer zu kurzen Schlüssellänge gelten nach Aussagen der Bundesnetzagentur die Verschlüsselungsverfahren RC4 (56 Bits), DES und die Prüfsumme MD5 (je 128 Bits). Sicher sind hingegen die Methoden Triple-DES (168 Bits), AES (128 / 256 Bits) und die Prüfsumme SHA (160 bis 512 Bits).

Wer garantiert die Vertrauenswürdigkeit von Zertifikaten?

Die Comodo-Zertifikate beispielsweise werden von Web Trust, einer unabhängigen Auditierungsorganisation entsprechend geltender Sicherheitsstandards als vertrauenswürdig bewertet. Darüber hinaus werden alle Zertifikatsanbieter durch das CA Browser Forum kontrolliert. Die Zertifikate enthalten neben dem eigentlichen Schlüssel auch Zusatzinformationen, die zur Authentifizierung sowie zur Verschlüsselung und Entschlüsselung vertraulicher Daten dienen. Dazu gehören zum Beispiel die Gültigkeitsdauer sowie die Zertifikatssperrliste. Diese wird durch die CA mit in das Zertifikat eingebracht.

Die Zertifizierungsstelle (CA) ist für die Erzeugung und Überprüfung der digitalen Zertifikate zuständig. Zudem verantwortet sie die Bereitstellung, Zuweisung und Integritätssicherung der ausgegebenen Zertifikate. In dieser Funktion ist sie das zentrale Element der Public-Key-Infrastruktur. Zertifizierungsstellen können Unternehmen, interne Institutionen, aber auch öffentliche Organisationen oder Regierungsstellen sein. In Deutschland wäre dies beispielsweise die Bundesnetzagentur. (sh)

Zum Video: TLS/SSL - Fragen und Antworten