Verschlüsselungsverfahren bei Webseiten

Venuspower · 22. November 2012

Moin moin,
Vorweg: Falls das der falsche Bereich ist bitte verschieben. Keine Ahnung wo das sonst hin soll ^__^

Ich muss in der Schule ein Referat über die Sicherheitsaspekte der Zahlungsabwicklung bei E-Commerce-Geschäfen halten-
Mein Lehrer meinte ich soll auch auf die Verschlüsselungsverfahren eingehen, mit der Websiten verschlüsselt sind. Aber wie soll ich auf etwas eingehen, von dem ich selber nur Bahnhof verstehe? Dementsprechend suche ich jetzt Hilfe bei euch
Aber kurz gesagt: Ich hab gar kein Plan von dem Thema (Also Verschlüsselungsverfahren)

Ich habe mich jetzt schon einige Stunden mit Recherche verbracht, bin aber nicht wirklich schlauer gewurden.
Ich bin jetzt über folgende Begriffe gestoßen:

- Symetrische Verfahren
- Asymetrische Verfahren
- Hybride Verfahren
- SSL/TLS
- HTTPS

Von den hier aufgelisteten Punkten taucht allerdings in nur 3 das Wort "Verfahren" auf.
Frage: Gibt es also nur 3 Verfahren zur Verschlüsselung einer Website?

SSL/TLS zählt meines Wissens nach zu den hybriden Verfahren, richtig?

HTTPS habe ich immer im Zusammenhang mit SSL gelesen. Des Weiteren steht z.B. auf Wikipedia das Einsatzgebiet: "Verschlüsselte Übertragung". Wozu zählt HTTPS also? Symetrische-, Asymetrische- oder Hybride Verfahren? Oder zu gar nichts von den Sachen?

Ich hoffe, dass irgentwer hier Ahnung von der Materie hat und mir die Fragen bis hier hin beantworten kann.
Danke schonmal im Vorraus.

florian0 · 22. November 2012

Eigentlich gibt es nur eine gängige Methode, transaktionen auf Webseiten zu verschlüsseln. Und die ist SSL.
Webseiten werden in der Regel über HTTPS verschlüsselt. HTTPS verwendet SSL/TLS (Secure Socket Layer/Transport Layer Security (wurde umbenannt, daher 2 Namen)) welches ein hybrides Verschlüsselungsverfahren (kombination aus symmetrisch und asymetrisch) ist.

Wenn du selbst nichts/nicht viel davon verstehst, dann würde ich auch nicht so tief auf das Verfahren selbst eingehen (was man selbst nicht versteht, kann man schlecht erklären). Aber auf mögliche Sicherheitsprobleme kannst du eingehen.

SSL ist eigentlich ganz einfach zu verstehen.
Grundsätzliches: Server und Client haben jeweils 2 Schlüssel. Einen öffentlichen und einen privaten Schlüssel.
Mit dem öffentlichen Schlüssel des Server, verschlüsselt der Client die Daten die er an den Server schickt. Entschlüsselt werden können die Daten jedoch nur mit dem privaten Schlüssel des Servers. Umgedreht genauso (Server->Client)
Beim Verbindungsaufbau werden die öffentlichen Schlüssel getauscht. Die privaten Schlüssel bleiben geheim.

Hier gäbe es ein Sicherheitsproblem, da ein Angreifer sich theoretisch zwischen Client und Server schalten könnte (Bei den heutigen WLan-Verhältnissen ein Kinderspiel) und so Schlüsseltausch abfangen kann. Dann authentifiziert der Angreifer den Client mit einem eigenen privaten Schlüssel, d.H. er kann den Datenverkehr entschlüsseln. Gleichzeitig leitet er die Daten an den Server weiter, damit der Client unbeirrt weiter surfen kann.
So KÖNNTE man unbemerkt alle Daten, Transaktionen, usw. mitschneiden und bei Bedarf sogar verändert, OHNE das der Nutzer davon etwas mitbekommt.
(Stichwort: Man-in-the-Middle-Attack)

Um das zu verhindern gibt es Zertifikate, mit denen sich die Server beim Clienten authentifizieren. Der private Schlüssel ist an das Zertifikat gebunden. Das heist, wenn ein Angreifer sich dazwischen schalten möchte, muss er ein neues Zertifikat generieren (spoofen). Und das erzeugt einen Fehler beim Anwender (Zertifikat ungültig).

Vielen Nutzern scheint die Fehlermeldung aber egal zu sein. Die meisten Surfen einfach unbeirrt weiter. Zu der Zeit wo ich noch regelmäßig am Hauptbahnhof zwischenstopp hatte, hatte ich im Starbucks-WLan zwischen 70% und 80% Erfolgsquote (jeden Tag 1. Stunde aufenthalt, 2 Jahre lang). Das Programm dazu gibts als Ready-To-Run und kann von jedem Volliditoten bedient werden.

SSL implementiert RSA, ein asymetrisches Verschlüsselungsverfahren, das sehr simpel, aber auch mächtig ist.
Eine gute Erklärung zu RSA findest du hier:
http://www.scoberlin.de/conten…rmatik/rsa/rsavollmer.pdf

Die öffentlichen Schlüssel werden mit dme Diffie-Hellman-Verfahren getauscht:
http://de.wikipedia.org/wiki/D…n-Schl%C3%BCsselaustausch

Ein schönes Bild zu HTTPS:
http://www.softed.de/fachthema/https.aspx

Gruß
florian0

Venuspower · 22. November 2012

Spoiler anzeigen

florian0 schrieb:

Eigentlich gibt es nur eine gängige Methode, transaktionen auf Webseiten zu verschlüsseln. Und die ist SSL.
Webseiten werden in der Regel über HTTPS verschlüsselt. HTTPS verwendet SSL/TLS (Secure Socket Layer/Transport Layer Security (wurde umbenannt, daher 2 Namen)) welches ein hybrides Verschlüsselungsverfahren (kombination aus symmetrisch und asymetrisch) ist.

Wenn du selbst nichts/nicht viel davon verstehst, dann würde ich auch nicht so tief auf das Verfahren selbst eingehen (was man selbst nicht versteht, kann man schlecht erklären). Aber auf mögliche Sicherheitsprobleme kannst du eingehen.

SSL ist eigentlich ganz einfach zu verstehen.
Grundsätzliches: Server und Client haben jeweils 2 Schlüssel. Einen öffentlichen und einen privaten Schlüssel.
Mit dem öffentlichen Schlüssel des Server, verschlüsselt der Client die Daten die er an den Server schickt. Entschlüsselt werden können die Daten jedoch nur mit dem privaten Schlüssel des Servers. Umgedreht genauso (Server->Client)
Beim Verbindungsaufbau werden die öffentlichen Schlüssel getauscht.

Hier gäbe es ein Sicherheitsproblem, da ein Angreifer sich theoretisch zwischen Client und Server schalten könnte (Bei den heutigen WLan-Verhältnissen ein Kinderspiel) und so Schlüsseltausch abfangen kann. Dann authentifiziert der Angreifer den Client mit einem eigenen privaten Schlüssel, d.H. er kann den Datenverkehr entschlüsseln. Gleichzeitig leitet er die Daten an den Server weiter, damit der Client unbeirrt weiter surfen kann.
So KÖNNTE man unbemerkt alle Daten, Transaktionen, usw. mitschneiden und bei Bedarf sogar verändert, OHNE das der Nutzer davon etwas mitbekommt.
(Stichwort: Man-in-the-Middle-Attack)

Um das zu verhindern gibt es Zertifikate, mit denen sich die Server beim Clienten authentifizieren. Der private Schlüssel ist an das Zertifikat gebunden. Das heist, wenn ein Angreifer sich dazwischen schalten möchte, muss er ein neues Zertifikat generieren (spoofen). Und das erzeugt einen Fehler beim Anwender (Zertifikat ungültig).

Vielen Nutzern scheint die Fehlermeldung aber egal zu sein. Die meisten Surfen einfach unbeirrt weiter. Zu der Zeit wo ich noch regelmäßig am Hauptbahnhof zwischenstopp hatte, hatte ich im Starbucks-WLan zwischen 70% und 80% Erfolgsquote (jeden Tag 1. Stunde aufenthalt, 2 Jahre lang).

SSL implementiert RSA, ein asymetrisches Verschlüsselungsverfahren, das sehr simpel, aber auch mächtig ist.
Eine gute Erklärung zu RSA findest du hier:
http://www.scoberlin.de/conten…rmatik/rsa/rsavollmer.pdf

Die öffentlichen Schlüssel werden mit dme Diffie-Hellman-Verfahren getauscht:
http://de.wikipedia.org/wiki/D…n-Schl%C3%BCsselaustausch

Ein schönes Bild zu HTTPS:
http://www.softed.de/fachthema/https.aspx

Gruß
florian0

Alles anzeigen

DANKE
Das hat mir riesig geholfen

Teilen