Verschlüsselungsverfahren bei Webseiten

  • Moin moin,
    Vorweg: Falls das der falsche Bereich ist bitte verschieben. Keine Ahnung wo das sonst hin soll ^__^



    Ich muss in der Schule ein Referat über die Sicherheitsaspekte der Zahlungsabwicklung bei E-Commerce-Geschäfen halten-
    Mein Lehrer meinte ich soll auch auf die Verschlüsselungsverfahren eingehen, mit der Websiten verschlüsselt sind. Aber wie soll ich auf etwas eingehen, von dem ich selber nur Bahnhof verstehe? Dementsprechend suche ich jetzt Hilfe bei euch :thumbsup:
    Aber kurz gesagt: Ich hab gar kein Plan von dem Thema (Also Verschlüsselungsverfahren) :D


    Ich habe mich jetzt schon einige Stunden mit Recherche verbracht, bin aber nicht wirklich schlauer gewurden.
    Ich bin jetzt über folgende Begriffe gestoßen:


    - Symetrische Verfahren
    - Asymetrische Verfahren
    - Hybride Verfahren
    - SSL/TLS
    - HTTPS



    Von den hier aufgelisteten Punkten taucht allerdings in nur 3 das Wort "Verfahren" auf.
    Frage: Gibt es also nur 3 Verfahren zur Verschlüsselung einer Website?



    SSL/TLS zählt meines Wissens nach zu den hybriden Verfahren, richtig?


    HTTPS habe ich immer im Zusammenhang mit SSL gelesen. Des Weiteren steht z.B. auf Wikipedia das Einsatzgebiet: "Verschlüsselte Übertragung". Wozu zählt HTTPS also? Symetrische-, Asymetrische- oder Hybride Verfahren? Oder zu gar nichts von den Sachen?



    Ich hoffe, dass irgentwer hier Ahnung von der Materie hat und mir die Fragen bis hier hin beantworten kann.
    Danke schonmal im Vorraus.

    Rechtschreibfehler sind Spezialeffekte meiner Tastatur und dienen ausschließlich der allgemeinen Belustigung!!!

  • Eigentlich gibt es nur eine gängige Methode, transaktionen auf Webseiten zu verschlüsseln. Und die ist SSL.
    Webseiten werden in der Regel über HTTPS verschlüsselt. HTTPS verwendet SSL/TLS (Secure Socket Layer/Transport Layer Security (wurde umbenannt, daher 2 Namen)) welches ein hybrides Verschlüsselungsverfahren (kombination aus symmetrisch und asymetrisch) ist.


    Wenn du selbst nichts/nicht viel davon verstehst, dann würde ich auch nicht so tief auf das Verfahren selbst eingehen (was man selbst nicht versteht, kann man schlecht erklären). Aber auf mögliche Sicherheitsprobleme kannst du eingehen.


    SSL ist eigentlich ganz einfach zu verstehen.
    Grundsätzliches: Server und Client haben jeweils 2 Schlüssel. Einen öffentlichen und einen privaten Schlüssel.
    Mit dem öffentlichen Schlüssel des Server, verschlüsselt der Client die Daten die er an den Server schickt. Entschlüsselt werden können die Daten jedoch nur mit dem privaten Schlüssel des Servers. Umgedreht genauso (Server->Client)
    Beim Verbindungsaufbau werden die öffentlichen Schlüssel getauscht. Die privaten Schlüssel bleiben geheim.


    Hier gäbe es ein Sicherheitsproblem, da ein Angreifer sich theoretisch zwischen Client und Server schalten könnte (Bei den heutigen WLan-Verhältnissen ein Kinderspiel) und so Schlüsseltausch abfangen kann. Dann authentifiziert der Angreifer den Client mit einem eigenen privaten Schlüssel, d.H. er kann den Datenverkehr entschlüsseln. Gleichzeitig leitet er die Daten an den Server weiter, damit der Client unbeirrt weiter surfen kann.
    So KÖNNTE man unbemerkt alle Daten, Transaktionen, usw. mitschneiden und bei Bedarf sogar verändert, OHNE das der Nutzer davon etwas mitbekommt.
    (Stichwort: Man-in-the-Middle-Attack)


    Um das zu verhindern gibt es Zertifikate, mit denen sich die Server beim Clienten authentifizieren. Der private Schlüssel ist an das Zertifikat gebunden. Das heist, wenn ein Angreifer sich dazwischen schalten möchte, muss er ein neues Zertifikat generieren (spoofen). Und das erzeugt einen Fehler beim Anwender (Zertifikat ungültig).


    Vielen Nutzern scheint die Fehlermeldung aber egal zu sein. Die meisten Surfen einfach unbeirrt weiter. Zu der Zeit wo ich noch regelmäßig am Hauptbahnhof zwischenstopp hatte, hatte ich im Starbucks-WLan zwischen 70% und 80% Erfolgsquote (jeden Tag 1. Stunde aufenthalt, 2 Jahre lang). Das Programm dazu gibts als Ready-To-Run und kann von jedem Volliditoten bedient werden.


    SSL implementiert RSA, ein asymetrisches Verschlüsselungsverfahren, das sehr simpel, aber auch mächtig ist.
    Eine gute Erklärung zu RSA findest du hier:
    http://www.scoberlin.de/conten…rmatik/rsa/rsavollmer.pdf


    Die öffentlichen Schlüssel werden mit dme Diffie-Hellman-Verfahren getauscht:
    http://de.wikipedia.org/wiki/D…n-Schl%C3%BCsselaustausch


    Ein schönes Bild zu HTTPS:
    http://www.softed.de/fachthema/https.aspx


    Gruß
    florian0




  • DANKE :D
    Das hat mir riesig geholfen :thumbsup:

    Rechtschreibfehler sind Spezialeffekte meiner Tastatur und dienen ausschließlich der allgemeinen Belustigung!!!