Eigentlich gibt es nur eine gängige Methode, transaktionen auf Webseiten zu verschlüsseln. Und die ist SSL.
Webseiten werden in der Regel über HTTPS verschlüsselt. HTTPS verwendet SSL/TLS (Secure Socket Layer/Transport Layer Security (wurde umbenannt, daher 2 Namen)) welches ein hybrides Verschlüsselungsverfahren (kombination aus symmetrisch und asymetrisch) ist.
Wenn du selbst nichts/nicht viel davon verstehst, dann würde ich auch nicht so tief auf das Verfahren selbst eingehen (was man selbst nicht versteht, kann man schlecht erklären). Aber auf mögliche Sicherheitsprobleme kannst du eingehen.
SSL ist eigentlich ganz einfach zu verstehen.
Grundsätzliches: Server und Client haben jeweils 2 Schlüssel. Einen öffentlichen und einen privaten Schlüssel.
Mit dem öffentlichen Schlüssel des Server, verschlüsselt der Client die Daten die er an den Server schickt. Entschlüsselt werden können die Daten jedoch nur mit dem privaten Schlüssel des Servers. Umgedreht genauso (Server->Client)
Beim Verbindungsaufbau werden die öffentlichen Schlüssel getauscht. Die privaten Schlüssel bleiben geheim.
Hier gäbe es ein Sicherheitsproblem, da ein Angreifer sich theoretisch zwischen Client und Server schalten könnte (Bei den heutigen WLan-Verhältnissen ein Kinderspiel) und so Schlüsseltausch abfangen kann. Dann authentifiziert der Angreifer den Client mit einem eigenen privaten Schlüssel, d.H. er kann den Datenverkehr entschlüsseln. Gleichzeitig leitet er die Daten an den Server weiter, damit der Client unbeirrt weiter surfen kann.
So KÖNNTE man unbemerkt alle Daten, Transaktionen, usw. mitschneiden und bei Bedarf sogar verändert, OHNE das der Nutzer davon etwas mitbekommt.
(Stichwort: Man-in-the-Middle-Attack)
Um das zu verhindern gibt es Zertifikate, mit denen sich die Server beim Clienten authentifizieren. Der private Schlüssel ist an das Zertifikat gebunden. Das heist, wenn ein Angreifer sich dazwischen schalten möchte, muss er ein neues Zertifikat generieren (spoofen). Und das erzeugt einen Fehler beim Anwender (Zertifikat ungültig).
Vielen Nutzern scheint die Fehlermeldung aber egal zu sein. Die meisten Surfen einfach unbeirrt weiter. Zu der Zeit wo ich noch regelmäßig am Hauptbahnhof zwischenstopp hatte, hatte ich im Starbucks-WLan zwischen 70% und 80% Erfolgsquote (jeden Tag 1. Stunde aufenthalt, 2 Jahre lang). Das Programm dazu gibts als Ready-To-Run und kann von jedem Volliditoten bedient werden.
SSL implementiert RSA, ein asymetrisches Verschlüsselungsverfahren, das sehr simpel, aber auch mächtig ist.
Eine gute Erklärung zu RSA findest du hier:
http://www.scoberlin.de/conten…rmatik/rsa/rsavollmer.pdf
Die öffentlichen Schlüssel werden mit dme Diffie-Hellman-Verfahren getauscht:
http://de.wikipedia.org/wiki/D…n-Schl%C3%BCsselaustausch
Ein schönes Bild zu HTTPS:
http://www.softed.de/fachthema/https.aspx
Gruß
florian0
(Das sind doch MBit/s die da angezeigt werden oder?)
