SSL (Secure Socket Layer)

Transkript

1 Rheinisch-Westfälische Technische Hochschule Aachen Lehrstuhl für Informatik IV Prof. Dr. rer. nat. Otto Spaniol SSL (Secure Socket Layer) Seminar: Kommunikationsprotokolle <Semester des Seminars> Ioannis Gatsioudis Matrikelnummer: Betreuung: Dögan Kesdögan Lehrstuhl für Informatik IV, RWTH Aachen file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (1 von 31) [ :11:21]

2 Diese Seminararbeit stellt das SSL Protokoll (Secure Sockets Layer) vor. Es handelt sich dabei um ein Protokoll zur sicheren Datenübertragung im Internet. Es wird kurz die Notwendigkeit einer sicheren Übertragung aufgezeigt und danach Ziele und Aufbau des Protokolls vorgestellt. Das Protokoll besteht aus zwei Schichten - einer Steuerungsschicht und einer Datenübertragungsschicht. Ein mögliche Realisierung der Steuerungsschicht ist das Handshake Protokoll, dieses wird näher erläutert. Es erfolgt eine Sicherheitsbetrachtung und zum Abschluß erfolgt eine Wertung von SSL. Gliederung 1. Motivation 2. Übersicht 3. Ziele 3.1.Einführung in die Kryptographie: symmetrische und asymmetrische Verschlüsselungsverfahren 4. Eingesetzte Techniken 5. Arbeitsweise file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (2 von 31) [ :11:21]

3 6. Aufbau 7. Handshake Protokoll 7.1 Aufgaben 7.2. Ablauf 7.3. Fehlerbehandlung 7.4. Sicherheitsbetrachtung 8. Caching der Verbindung 9. Entwicklungsstand 10. Bewertung 11. Zusammenfassung und Ausblick Literatur file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (3 von 31) [ :11:21]

4 1. Motivation Das Internet in seiner heutigen Form bietet keinerlei Datensicherheit. Alle Daten die über das Netz verschickt werden, können ohne größeren Aufwand abgehört und verfälscht werden. Der Grund dafür ist die benutzte Klartextübertragung aller Daten (das heißt, Daten werden so übertragen, wie die Anwendung sie verschickt). Eine sichere Übertragung wäre also nur gewährleistet, wenn sämtliche Leitungen sowie Zwischenstationen (physikalisch) vor dem Zugriff Dritter gesichert wären. Dies ist für das gesamte Netz offensichtlich nicht durchführbar. Auch sichere Teilstrecken sind wenig sinnvoll, da das Routing der Datenpakete dynamisch gemacht wird. Der Datenaustausch zwischen zwei Rechnern geschieht also nicht immer auf dem gleichen Weg. Eine Sicherung der Daten in Form einer physikalischen Unerreichbarkeit für Dritte ist also nicht möglich. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (4 von 31) [ :11:21]

5 Um die Nutzungsmöglichkeit des Internets weiter zu erhöhen, ist aber eine vertrauliche Datenübertragung dringend erforderlich - man denke nur an das (heute schon gängige) Übertragen von Kreditkarteninformationen über das Internet. Die Lösung des Problems besteht in der Verschlüsselung der Datenpakete, so daß sie zwar abgehört werden können aber die Lauscher mit den abgehörten Datenpaketen nichts anfangen können. Dies wird als sichere Datenübertragung verstanden. Unter sicher versteht man in diesem Zusammenhang Vertraulichkeit Ein Lauscher kann aus den abgehörten Daten nicht den Inhalt ermitteln. Integrität Die übertragenen Daten können nicht verfälscht werden (d.h. verfälschte Daten werden erkannt). Authentizität Die Daten stammen tatsächlich vom Sender (d.h. zusätzliche unechte Datenpakete werden erkannt). Idealerweise sollten diese Kriterien von der Netzwerkschicht erfüllt werden, dies wird aber im Falle des Internets erst mit dem IPnG (Internet Protocol new Generation) realisiert werden. Bis dahin muß man auf andere Lösungen zurückgreifen. Ein Vorschlag für eine solche Lösung ist das hier vorgestellte SSL Protokoll. 2. Übersicht file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (5 von 31) [ :11:21]

6 SSL steht für Secure Sockets Layer. Es ist ein Protokoll für die sicher Datenübertragung zwischen Client und Server. Es wurde von der Firma Netscape entwickelt und ist zur Zeit in der Standardisierung. 3. Ziele Das SSL Design verfolgt folgende Ziele: kryptographische Sicherheit Interoperabilität Erweiterbarkeit Effizienz Vertraulichkeit, Integrität und Authentizität soll gewährleistet sein. Es handelt sich um ein offenes Protokoll, d.h. Regeln der Kommunikation sind genau spezifiziert und bekannt, daher können unterschiedliche Implementationen zusammenarbeiten. SSL ermöglicht das Einbinden von neuen Verfahren zur Kompression und Verschlüsselung, ohne daß das Protokoll geändert werden muß. SSL ermöglicht das Caching von Verbindungen, d.h. einmal erfolgreich aufgebaute Verbindungen können später mit wenig Aufwand wieder benutzt werden. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (6 von 31) [ :11:21]

7 3.1 Einführung in die Kryptographie: symmetrische und asymmetrische Verschlüsselungsverfahren Was ist Kryptographie Definition Kryptographie ist die mathematische Wissenschaft, die sich mit Vertraulichkeit, Datenintegrität und Authentifikation befasst. Vertraulichkeit: Niemand ausser die dazu berechtigten Personen sollen die Daten lesen können. Datenintegrität: Niemand soll unbemerkt Daten verändern, hinzufügen, löschen oder ersetzen können. Authentifikation: Die beteiligten Personen sollen wissen, mit wem sie kommunizieren. Der Empfänger soll wissen, von wem die Information stammt, wann sie erzeugt wurde,... Über Kryptographie gäbe es sehr viel Interessantes zu erzählen. Im Folgenden müssen wir uns aber auf die Themen beschränken, die im direkten Zusammenhang mit dem Internet stehen. Doch zuerst ein paar wichtige Fachbegriffe: Symmetrische Verschlüsselungsverfahren Hier wird der Klartext, also die vertrauliche Information, mit einem Schlüssel/Passwort verschlüsselt. Jeder, der diesen Schlüssel kennt, kann den Text wieder entschlüsseln. Ein symmetrisches Verschlüsselungsverfahren funktioniert also wie ein Türschloss: Jeder, der im Besitz des Schlüssels ist, kann die Türe verschliessen und wieder öffnen. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (7 von 31) [ :11:21]

8 Bekannte Vertreter dieser Kategorie sind Algorithmen mit den Namen DES, IDEA, RC4, CAST, Blowfish. Symmetrische Verschlüsselungsverfahren sollten mindesten einen 128 bit langen Schlüssel haben. Das heisst ein Schlüssel besteht aus einer 128 Zeichen langen Folge von Nullen und Einsen. Es gibt also 2^128 verschiedene Schlüssel. Wer sich darunter nichts vorstellen kann: 2^128 = 340'282'366'920'938'463'463'374'607'431'768'211'456. Also ungefähr 3*10^38, "dreihundert millionen billiarden Billiarden". Wie kann man ein solches Verschlüsselungsverfahren knacken? Dazu gibt es im wesentlichen zwei Möglichkeiten: Entweder man findet eine Schwachstelle im Verfahren, oder man probiert alle möglichen Schlüssel aus. Zu oben genannten Verfahren kennt man keine Schwachstellen. Also muss man versuchen durch rohe Gewalt (brute force) den richtigen Schlüssel zu finden, indem man alle Varianten ausprobiert. Im Schnitt wird man nach der Hälfte aller möglichen Schlüssel fündig werden. Bei 128 bit langen Schlüsseln gibt es aber so viele Möglichkeiten, dass man selbst mit allen Computern dieser Welt zusammen noch ein paar tausend Mal das Alter des Universums hindurch rechnen müsste, um einen Schlüssel zu knacken! Solche Verfahren sind also sicher. DES hingegen verwendet nur einen 56 bit langen Schlüssel. Die 2^56 Möglichkeiten kann man relativ schnell alle durchprobieren. Es wird aber auch heute noch behauptet (z.b. von amerikanischen Behörden), dass DES unknackbar sei. Das Gegenteil wurde jedoch spätestens im Frühling 1999 von der Electronic Frontier Foundation und distributed.net bewiesen: Innerhalb von weniger als 24 Stunden wurde ein DES-Schlüssel von dem spezialisierten Computer Deep Crack, unterstützt von Tausenden ans Internet angeschlossenen Computern, geknackt. Deep Crack kostete etwa 250'000 US$. Für einen Geheimdienst oder zur Industriespionage sicher eine lohnende Investition, wenn man bedenkt, was heute noch alles mit DES verschlüsselt wird. Sichere symmetrische Schlüssel sollten mindestens eine Länge von 128 bit haben Asymmetrische Verfahren / Public-Key-Verfahren Hier sind jetzt (im Gegensatz zu den symmetrischen Verfahren) zwei verschiedene Schlüssel im Spiel: Ein geheimer Secret-Key, den nur der Besitzer kennt und ein öffentlicher Public-Key. Den Public-Key kann man veröffentlichen und verteilen. Mit diesem Schlüssel kann jeder Nachrichten verschlüsseln. entschlüsselt werden kann der Text jedoch nur vom Besitzer des Secret-Keys. Ein Public-Key-Verfahren kann man mit einem Vorhängeschloss vergleichen: Jedermann kann das Schloss zudrücken und so verschliessen. Öffnen kann es aber nur der Besitzer des passenden Schlüssels. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (8 von 31) [ :11:21]

9 Die Idee der Public-Key-Verschlüsselung wurde 1976 von Diffie und Hellmann erfunden. Sie gaben aber noch kein funktionierendes Verfahren an. Zwei Jahre später präsentierten Roland L. Rivest, Adi Shamir und L. Adelmann das nach ihnen benannte RSA-Verfahren. Es beruht darauf, dass man grosse Zahlen bis heute nicht schnell in ihre Primfaktoren zerlegen kann. Andere Public-Key-Verfahren basieren auf Ideen von Taher ElGamal. Sichere RSA-Schlüssel sollten mindestens eine Länge von 1024 bit haben. 4. Eingesetzte Techniken SSL basiert auf den folgenden kryptographische Techniken symmetrische Verschlüsselung asymmetrische Verschlüsselung sichere Hashfunktionen Unterstützt werden dabei die meisten bekannten Vertreter der Verfahren (DES, RC4; RSA, DSS; SHA, MD5). Durch die schon angesprochene Erweiterbarkeit sind aber weitere Verfahren einbindbar.. An dieser Stelle seien nur noch einmal die wesentlichen Eigenschaften der Verfahren genannt: Die symmetrische Verschlüsselung benutzt den gleichen Schlüssel zur Ver- und Entschlüsselung. Eine Verschlüsselung von großen Datenmengen ist daher in vertretbarer Zeit möglich. Offensichtliches Problem ist, daß beide Seiten den (geheimen) Schlüssel kennen müssen. Bei der asymmetrischen Verschlüsselung werden unterschiedliche Schlüssel zum Verund Entschlüsseln benutzt - daher kann einer der Schlüssel bekannt gemacht werden (public key). Die Verschlüsselung ist relativ aufwendig und langsam - die Verschlüsselung file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (9 von 31) [ :11:21]

10 von umfangreichen Datenströmen ist daher nicht praktikabel. In SSL werden nun beide Verfahren benutzt (sogenanntes hybrides Verfahren), die Idee ist dabei folgende: Mit Hilfe der asymmetrischen Verschlüsselung tauschen Client und Server einen Schlüssel aus. Dieser Schlüssel wird dann zur symmetrischen Verschlüsselung benutzt. Wie dies im einzelnen funktioniert wird noch genauer beschrieben. Die sicheren Hashfunktionen werden zur Prüfsummenbildung benutzt. Damit kann die Datenintegrität gewährleistet werden. Zusätzlich benutzt SSL das Konzept der Zertifizierung. Dies ist notwendig um die Echtheit der Zuordnung von Server (bzw. Client) zum public key zu garantieren. Eine genaue Beschreibung des Vorgangs der Zertifizierung an dieser Stelle wäre zu umfangreich, daher hier nur eine Zusammenfassung: Zertifizierung Eine Certification Authority (CA) stellt ein Zertifikat für einen Server aus. Dieses Zertifikat beinhaltet die ID des Servers sowie seinen public key. Das Zertifikat wird mit dem private key der CA unterschrieben und ist damit fälschungssicher. Der Server bekommt einmalig von der CA dieses Zertifikat ausgestellt. Will sich ein Client nun von der Echtheit des Servers überzeugen, so schickt der Server sein Zertifikat an den Client. Dieser kann das Zertifikat mit dem public key der CA (dieser muß dem Client bekannt sein) überprüfen und kann nun sicher sein, daß der Server echt ist (also, daß der public key tatsächlich dem gewünschten Server entspricht). 5. Arbeitsweise file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (10 von 31) [ :11:21]

11 SSL ist kein anwendungsspezifisches Protokoll, wie etwa Verschlüsselungsverfahren für (z.b. PGP) oder HTTP (z.b. S-HTTP). Es liegt vielmehr unterhalb der Anwendung und ist transparent für diese, d.h. es kann sichere Datenübertragung für verschiedenste Anwendungen bieten. Abb 1.1 Das TCP/IP-Referenzmodell Dabei ist SSL aus Sicht der Transportschicht eine Anwendung und aus Sicht der Anwendung die Transportschicht (Socket). Dadurch ist SSL transparent und kann mit verschiedenen Anwendungen und Transportprotokollen benutzt werden. 6. Aufbau file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (11 von 31) [ :11:21]

12 SSL besteht aus zwei Schichten: Abb 1.2 Die zwei Schichten von SSL Das Steuerprotokoll ist verantwortlich für die Verbindungsaushandlung. Die während der Aushandlung festgelegten Parameter werden in den Status geschrieben. Das Steuerprotokoll ist austauschbar. Zur Zeit gibt es nur einen Vorschlag für ein solches Protokoll - das Handshake Protokoll. Dies wird in den folgenden Abschnitten vorgestellt. Der Record Layer ist für das Sichern und Versenden sowie für das Empfangen und Überprüfen von Daten zuständig. Dabei werden beim Versenden die Daten zu erst fragmentiert und komprimiert. Danach erhält jeder Block eine Nummer und es wird mittels eines Hashverfahrens eine Prüfsumme gebildet. Abschließend werden die Daten mit einem symmetrischen Verschlüsselungsverfahren verschlüsselt. Das Empfangen läuft genau umgekehrt ab: die Daten werden entschlüsselt und mit Hilfe der Prüfsumme wird getestet, ob die Daten unverfälscht sind. Mit Hilfe der Nummer des Paketes wird überprüft, ob das Paket schon einmal gesendet wurde und an welche Stelle es gehört. Danach werden die Daten dekomprimiert und wieder zusammengesetzt. Fragmentierung und Komprimierung finden aus Effizienzgründen statt. Mit Hilfe der Numerierung kann man erkennen, ob Pakete fehlen oder dupliziert wurden. Die Prüfsumme file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (12 von 31) [ :11:21]

13 dient zur Gewährleistung der Authentizität und die Verschlüsselung zur Gewährleistung der Vertraulichkeit. Welche Verfahren für die Komprimierung, Prüfsummenbildung und symmetrische Verschlüsselung benutzt werden, steht im Status. Der Status beinhaltet die Verbindungsparameter und wird mit Nullwerten initialisiert. D.h. bis zur Aushandlung der Parameter reicht der Record Layer die Daten einfach unverändert durch. 7. Das Handshake Protokoll Wie im vorhergehenden Abschnitt beschrieben ist das Handshake Protokoll eine mögliche Realisierung des SSL Steuerprotokolls. Zu beachten ist, daß dieses Protokoll abläuft, bevor die eigentlichen Anwendungsdaten übertragen werden Aufgaben Ein SSL Steuerprotokoll hat folgenden grundlegenden Aufgaben: Aushandeln des Verbindungsmodalitäten Da SSL verschiedene Kompressions- und Verschlüsselungsverfahren unterstützt müssen diese zwischen Client und Server vor dem eigentlichen Datenaustausch vereinbart werden. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (13 von 31) [ :11:21]

14 Austausch von Zertifikaten Um dem Client die Möglichkeit zu geben, die Echtheit (also Zuordnung Server ID zum public key) des Servers zu überprüfen, verschickt der Server sein Zertifikat. Diese Zertifikat bestätigt die Zuordnung des Servers zu seinem public key. Umgekehrt kann auch der Server die Zertifizierung des Client verlangen - dies verläuft völlig analog und wurde daher in die weitere Betrachtung nicht mit einbezogen. Schlüsselaustausch Um für die spätere Datenübertragung aus Effizienzgründen ein symmetrisches Schlüsselverfahren benutzen zu können, muß ein Schlüsselaustausch zwischen Server und Client erfolgen. Dieser Austausch muß natürlich (asymmetrisch) verschlüsselt erfolgen. Überprüfung der Verbindung Nach Aushandlung der Verbindungsmodalitäten wird überprüft, ob die Kommunikation zwischen Client und Server funktioniert und danach werden die eigentlichen Daten der Anwendung vom Record Layer übertragen Ablauf Folgende Abbildung zeigt den Ablauf des Handshake Protokolls: file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (14 von 31) [ :11:21]

15 Dabei bezeichnen die Einträge der Grafik die verschickten Pakete. Die Aufgaben der einzelnen Pakete werden in der folgenden Unterabschnitten näher beschrieben. Hier ein kurzer Überblick über den Ablauf: Der Client schickt ein CLIENT HELLO zum Server und bringt seinen Kommunikationswunsch zum Ausdruck. Der Server reagiert auf diese Anfrage mit einem SERVER HELLO. Dabei werden auch die Verbindungsmodalitäten ausgehandelt (Komprimierungs- und Verschlüsselungsverfahren). Der Server schickt ebenfalls sein Zertifikat (CERTIFICATE) und unter Umständen eine Zertifikatanforderung und signalisiert dann das Ende der Hallo-Phase. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (15 von 31) [ :11:21]

16 Der Client überprüft das Zertifikat, generiert einen Schlüssel, verschlüsselt diesen mit dem public key des Servers und schickt den verschlüsselten Schlüssel als CLIENT KEY EXCHANGE. Danach schaltet der Client seinen Status um, signalisiert dies mit CNG CIPHER SPEC und verschickt eine - nun mit ausgehandelten Methoden verschlüsselte - Ende-Nachricht (FINISH). Der Server empfängt den Schlüssel schaltet seinen Status ebenfalls um, signalisiert dies und sendet ebenfalls eine Endenachricht. Beide Seiten untersuchen die empfangene Endenachricht auf Korrektheit und danach kann die sichere Übertragung der Anwendungsdaten beginnen. Nach vollständiger Übertragung wird die andere Seite mit CLOSE NOTIFY vom Schließen der Verbindung informiert und die Sitzung ist beendet. Inhalt und Aufgaben der einzelnen Pakete werden nun genauer beschrieben. Phase 1 - Verbindungsanfrage Der Client eröffnet den Handshake CLIENT HELLO file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (16 von 31) [ :11:21]

17 Dient dem Verbindungsaufbau und beinhaltet folgende Informationen unterstützte Protokollversion des Clients SitzungsID Präferenzliste Möchte der Client eine in der Vergangenheit ausgehandelte Verbindung mit diesem Server wieder benutzen, dann wird die alte SitzungsID angegeben. Soll eine neue Verbindung eingerichtet werden, ist der Wert der SitzungsID Null. Diese Liste enthält in der präferierten Reihefolge die unterstützten Kompressions- und Verschlüsselungsmethoden des Client. Dieses Paket wird unverschlüsselt gesendet. Danach wartet der Client auf die Reaktion des Servers. Phase 2 - Reaktion des Servers Der Server empfängt das CLIENT HELLO. Falls der Client eine SitzungsID ungleich Null angegeben hatte, so überprüft der Server, ob er diese ID kennt und entscheidet, ob die Verbindung ohne neue Aushandlung wieder aufgenommen werden soll. Ist dies der Fall, so schickt er ein SERVER HELLO mit der gleichen SitzungsID zurück und das Handshake Protokoll ist beendet. Soll eine neue Verbindung aufgebaut werden, so untersucht der Server das CLIENT HELLO und wählt die Verbindungsparameter aus: file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (17 von 31) [ :11:21]

18 SERVER HELLO Diese Paket dient zur Mitteilung der Verbindungsparameter: Protokollversion Die niedrigere der unterstützen Protokollversionen von Client und Server wird ausgewählt. Verschlüsselungs- / Kompressionsmethoden Je nach Unterstützung und Präferenz von Client und Server werden diese ausgewählt. (eine Kompressionsmethode, und je ein asymmetrisches, symmetrisches und ein Hashverfahren) Auch dieses Datenpaket ist unverschlüsselt. Desweiteren sendet der Server sein Zertifikat. CERTIFICATE Dieses Zertifikat ist unterschreiben durch eine Certification Authority und bestätigt die Echtheit des Servers (d.h. die Zuordnung des Servers zu seinem public key). file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (18 von 31) [ :11:21]

19 Wünscht der Server eine Zertifizierung des Client, so kann er ein Zertifikat anfordern: CERTIFICATE REQUEST Anforderung des Client Zertifikates, nicht verschlüsselt. Zum Abschluß schickt der Server ein SERVER HALLO DONE Ende der Hallo-Phase, nicht verschlüsselt. Der Server wartet auf die Antwort des Client. Phase 3 - Bestätigung des Client Der Client empfängt SERVER HELLO und erkennt an der SitzungsID, ob eine alte Verbindung wieder aufgenommen wird, oder ob neu verhandelt werden muß. Falls eine alte Verbindung wieder aufgenommen wird, so ist der Handshake beendet. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (19 von 31) [ :11:21]

20 Andernfalls wartet der Client auf das Zertifikat des Servers, überprüft es und kennt nun den public key des Servers. Der Client generiert einen Master Key (Hauptschlüssel) und verschlüsselt ihn mit dem public key des Servers und schickt ihn an den Server CLIENT KEY EXCHANGE Dient zur Übermittlung des Master Key und ist mit public key des Servers verschlüsselt. Anschließend werden aus dem Master Key in Abhängigkeit der ausgewählten Verschlüsselungsverfahren neue Schlüssel erzeugt. Dazu werden für jedes Verschlüsselungsverfahren spezifische Algorithmen benutzt. Diese sind in der SSL Spezifikation enthalten. Der Client kennt nun alle Verbindungsparameter zur sicheren Übertragung und ist bereit zum Verschlüsseln. Er signalisiert dies: CHANGE CIPHER SPEC Mitteilung, daß ab jetzt verschlüsselt gesendet wird. Die Meldung selber ist aber noch unverschlüsselt. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (20 von 31) [ :11:21]

21 Danach schaltet er seinen Status um und schickt eine Ende Nachricht: FINISH Mitteilung über Ende des HandShakes, verschlüsselt mir vereinbarten Methoden und Schlüsseln. Der Client wartet auf die Ende Meldung des Servers. Phase 4 - Handshake Abschluß Der Server empfängt CLIENT KEY EXCHANGE und entschlüsselt das Paket mit seinem private key. Aus dem nun vorliegenden Master Key kann der Server analog zum Client die gleichen Schlüssel für die ausgewählten Verfahren generieren. Nun hat auch der Server alle Informationen, um seinen Status umzuschalten. Er sendet eine entsprechende Nachricht CHANGE CIPHER SPEC Mitteilung, daß ab jetzt verschlüsselt gesendet wird. Die Meldung selber ist aber noch unverschlüsselt. und schaltet danach seinen Status um. Danach verschickt er eine verschlüsselte Ende file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (21 von 31) [ :11:21]

22 Nachricht FINISH Mitteilung über Ende des HandShakes, verschlüsselt mir vereinbarten Methoden und Schlüsseln. Sowohl Client als auch Server warten auf das FINISH. Ist diese korrekt (d.h. richtig verschlüsselt) so kann die sichere Datenübertragung beginnen. Datenaustausch Der Datenaustausch erfolgt nun verschlüsselt mit den ausgehandelten Methoden. Dies erfolgt vollständig durch das Record Layer wie in Abschnitt 6 beschrieben. Schließen der Verbindung Ist die Anwendungsdatenübertragung beendet und soll die Verbindung geschlossen werden, so wird dies angekündigt und von der anderen Seite durch die gleiche Meldung bestätigt. CLOSE NOTIFY file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (22 von 31) [ :11:21]

23 Mitteilung über Beendigung der Verbindung. Verschlüsselt. Nur bei ordnungsgemäßem Schließen der Verbindung wird die Verbindung gespeichert und kann unter Umständen später wiederaufgenommen werden Fehlerbehandlung Aufgrund der Komplexität des Protokolls ist es im Rahmen dieser Arbeit nicht möglich, auf alle möglichen Fehler einzugehen, statt dessen hier nur eine Liste von einigen möglichen Fehlern: unerwartete Nachricht falsche Prüfsumme Entpackungsfehler Handshake Fehler Kein Zertifikat vorhanden Ungültiges Zertifikat Nicht unterstütztes Zertifikat Ungültiger Parameter... Da SSL auf einer zuverlässigen Transportschicht (z.b. TCP) arbeitet, sind alle diese Fehler schwerwiegend und werden von Seiten des Protokolls als mögliche Sicherheitsattacken angesehen. Um Versuche, durch systematisches Ausprobieren die Sicherheit zu hintergehen, wird in jedem Fehlerfall die Verbindung abgebrochen. Dazu wird eine verschlüsselte Nachricht gesandt und danach die Verbindung geschlossen. Sämtliche Informationen über die Verbindung werden gelöscht - eine Wiederaufnahme ist also nicht möglich. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (23 von 31) [ :11:21]

24 7.4. Sicherheitsbetrachtung Grundsätzlich wird die Sicherheit der eingesetzten Verfahren vorausgesetzt. Sollte also z.b. DES geknackt werden, so ist natürlich auch SSL auf Basis des DES nicht mehr sicher. Durch den modularen Aufbau und die damit gegebene Möglichkeit, die benutzen Verfahren auszutauschen, kann man aber in Zunkunft als unsicher angesehene Verfahren leicht durch neue ersetzen. Im Rahmen dieser Betrachtung soll der für den Lauscher günstigste Fall betrachtet werden: Er sieht alle ausgetauschten Datenpakete und kann diese verändern, löschen und vervielfältigen. Das CLIENT HELLO ist unverschlüsselt, enthält aber auch keine vertraulichen Informationen. Sollte der Lauscher dies fälschen wollen, so kann er das - er übernimmt dann einfach die Rolle des Client. Das SERVER HELLO ist ebenfalls unverschlüsselt. Auch dies stellt kein Problem dar. Sollte ein Lauscher das SERVER HELLO fälschen, so kann dies nicht bemerkt werden. Dies stellt aber kein Problem dar, da im nächsten Schritt der Server sein CERTIFICATE verschickt. Mit diesem Zertifikat wird die Echtheit des Server, d.h. die Zuordnung des Servers zu seinem public key bestätigt. Dieser public key wird dann zur Verschlüsselung des Master Key benutzt (CLIENT KEY EXCHANGE). Dabei ist die Zertifizierung die Grundlage für die Gewährleistung der Vertraulichkeit. Wäre die Zuordnung von Server zu file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (24 von 31) [ :11:21]

25 seinem public key nicht zertifiziert, so könnte ein Lauscher behaupten, er sein der gewünschte Server und seinen public key schicken. Da der Client ohne Zertifizierung keine Möglichkeit hätte, zu überprüfen, ob der public key tatsächlich dem gewünschten Server gehört, müßte er dies als gegeben hinnehmen und würde den Master Key mit dem public key des Lauschers verschlüsseln. Damit kann dieser natürlich vom Lauscher gelesen werden und die Sicherheit wäre hintergangen. Umgekehrt sieht man auch, daß eine Zertifizierung des Client erforderlich ist, wenn der Server nicht mit jedem beliebigen Client kommunizieren will. Die CHG CIPHER SPEC Nachricht ist unkritisch - es wird angekündigt, daß nun umgeschaltet wird. Wichtig ist, daß auf den Empfang einer korrekten FINISH Meldung gewartet wird, bevor die ersten Anwendungsdaten empfangen werden: Hat nämlich ein Lauscher ein fremdes Zertifikat (zu dem er den private key nicht kennt) verschickt und alle Nachrichten an den Server gelöscht, so kann keine korrekte FINISH Nachricht eintreffen, da dazu die Kenntnis des Master Key notwendig ist. Mit dem Warten auf eine korrekte FINISH Nachricht wird also sicher gestellt, daß der richtige Server empfangsbereit ist und auf die Daten wartet. Die Übertragung der Anwenderdaten beruht auf einem symmetrischen Verschlüsselungsverfahren und kann als vertraulich und fälschungssicher angesehen werden (vorausgesetzt, daß die Verfahren sicher sind). Das Löschen und Vervielfachen von Paketen kann durch die Numerierung der Pakete entdeckt werden. Diese Numerierung kann nicht verändert werden, da sie mit verschlüsselt ist. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (25 von 31) [ :11:21]

26 8. Caching der Verbindung Wie schon in Abschnitt 3 erwähnt, bietet SSL die Möglichkeit, einmal ausgehandelte Verbindungen zu speichern. War eine Verbindung erfolgreich (d.h. Aushandlung und Übertragung war fehlerfrei und die Verbindung wurde ordnungsgemäß geschlossen) so haben Client und Server die Möglichkeit sich die SitzungsID sowie die Verbindungsmodalitäten (Kompressionmethode, Verschlüsselungsmethode) und den Master Key zu speichern. Möchte der Client zu einem späteren Zeitpunkt die Verbindung wieder aufnehmen, so kann er im CLIENT HELLO die alte SitzungsID wieder benutzen. Hat auch der Server die SitzungsID samt Sitzungsdaten vorliegen, so kann die Verbindung ohne neue Aushandlung wieder aufgenommen werden. Zur Erhöhung der Sicherheit werden aus dem gespeicherten Master Key neue Sitzungsschlüssel für die einzelnen Verschlüsselungsverfahren generiert. Dies wird mir Hilfe einer im Client und Server HELLO ausgetauschten Zufallszahl realisiert. So wird sichergestellt, daß bei wieder aufgenommenen Verbindungen jedesmal neue Schlüssel für die Datenübertragung benutzt werden. Diese Caching einer Verbindung bietet daher eine Erhöhung der Effizienz, ohne die Sicherheit des Protokolls zu beeinflussen. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (26 von 31) [ :11:21]

27 9. Entwicklungsstand Die Spezifikation für das SSL Protokoll wurde von Netscape Communications entwickelt. Es handelt sich dabei um ein offenes Protokoll, d.h. es ist frei verfügbar. Es liegt zur Zeit der W3C zur Prüfung und Standardisierung vor. Es gibt allerdings noch einige offene Fragen: die zu unterstützenden Komprimierungsverfahren stehen noch nicht fest auch für die Verschlüsselungsverfahren gibt es noch keine endgültige Liste der zu unterstützenden Verfahren es ist unklar, welche Certification Authorities anerkannt werden sollen Um erste praktische Erfahrungen zu sammeln, gibt es eine zu Evaluationszwecken frei erhältliche Referenzimplementierung von Netscape. Diese funktioniert mit Netscape Servern und Browsern, hat aber einen begrenzten Funktionsumfang: keine Komprimierung einzige unterstützte Certification Authority ist Netscape keine Client Zertifikate file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (27 von 31) [ :11:21]

28 10. Bewertung SSL ist ein Versuch, die Datenübertragung im Internet unabhängig von der Anwendung sicherer zu machen. Es bietet Übertragungssicherheit und ist transparent gegenüber dem Anwenderprogramm. Die Sicherung der Datenübertragung verursacht natürlich zusätzliche Netzbelastung - SSL versucht aber, diese durch Komprimierung der Daten sowie durch die Möglichkeit der Verbindungswiederaufnahme, die zusätzliche Netzwerkbelastung möglichst klein zu halten. SSL ist ein offenes Protokoll und eine Standardisierung wird angestrebt. Zur Zeit ist es in Prüfung und es bleibt abzuwarten, ob es sich als Standard durchsetzen wird. Ein Problem dabei sind die benutzen Verfahren, die in ihrer vollen Sicherheitsstufe teilweise dem US Exportverbot unterliegen. (40 Bit bei RC4, 512 Bit bei RSA) Sehr positiv zu bewerten ist das offene Design - so kann das Steuerprotokoll und Kompressions- und Verschlüsselungsverfahren ausgetauscht bzw. hinzugefügt werden, ohne daß andere Teile des Protokolls verändert werden müssen. Es gibt auch erst wenig praktische Erfahrungen, Implementierungen findet man hier von Netscape und da von Cryptsoft. Es waren keine Angaben zur Performance zu finden. file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (28 von 31) [ :11:21]

29 11. Zusammenfassung und Ausblick SSL ist ein Protokoll zur Gewährleistung von sicheren Datenübertragungen über das Internet. Es arbeitet zwischen der Transport und Anwendungsschicht und ist daher anwendungsunabhängig. Es benutzt symmetrische, asymmetrischen und Hashverfahren. Es ist ein offenes Protokoll und ermöglicht das Einbinden neuer Verfahren. Eine Standardisierung wird angestrebt, es bleibt aber abzuwarten, ob es sich in dieser Form durchsetzen wird, oder ob speziellere Protokolle auf Anwendungsebene wie etwa S-HTTP für das WWW, PGP für oder SET für die Abwicklung von Zahlungsvorgängen sich durchsetzen werden. Literatur [1] mersch.com [2] tfh-berlin file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (29 von 31) [ :11:21]

30 [3] Uni Mannheim [4] Security Server Deutschland [5] Einführung in die Kryptographie [6] Schneier, B.: Applied Cryptography John Wiley & Sons 1996 [7] Tannenbaum, A. S.: Computer Networks Prentice Hall 3. revidierte Auflage 2000 file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (30 von 31) [ :11:21]

31 file:///d /WINNT/Profiles/Administrator/Desktop/SSL.htm (31 von 31) [ :11:21]