Bootstrap

Transport Layer Security

SSL im TCP/IP-Protokollstapel
Anwendung HTTP IMAP POP3 SMTP ...
Transport SSL/TLS
TCP
Netzwerk IP
Netzzugang Ethernet Token
Bus
Token
Ring
FDDI ...

Transport Layer Security (TLS) oder Secure Sockets Layer (SSL) ist ein hybrides Verschlüsselungsprotokoll zur Datenübertragung im Internet. TLS 1.0, 1.1 und 1.2 sind die standardisierten Weiterentwicklungen von SSL 3.0 (TLS 1.0 steht neu für SSL 3.1). SSL wird also nun unter dem Namen TLS weiterentwickelt. Hier wird die Abkürzung SSL für beide Bezeichnungen verwendet.

Inhaltsverzeichnis

Funktionsweise

Im OSI-Modell ist SSL oberhalb der Transportschicht (z. B. TCP) und unter Anwendungsprotokollen wie HTTP oder SMTP angesiedelt. In den Spezifikationen wird dies dann z.B. als "HTTP over SSL" bezeichnet. Sollen jedoch beide Protokolle zusammengefasst betrachtet werden, wird überlicherweise ein "S" für Secure dem Protokoll der Anwendungsschicht angehängt (z.B. HTTPS). SSL arbeitet transparent, so dass es leicht eingesetzt werden kann, um Protokollen ohne eigene Sicherheitsmechanismen abgesicherte Verbindungen zur Verfügung zu stellen. Zudem ist es erweiterbar, um Flexibilität und Zukunftssicherheit bei den verwendeten Verschlüsselungstechniken zu gewährleisten.

SSL-Protokolle in der Übersicht

Das SSL-Protokoll besteht aus zwei Schichten:

SSL Handshake Protocol SSL Change Cipherspec. Protocol SSL Alert Protocol SSL Application Data Protocol
SSL Record Protocol

SSL Record Protocol

Das SSL Record Protocol ist die untere der beiden Schichten und dient zur Absicherung der Verbindung. Es setzt direkt auf der Transportschicht auf und bietet zwei verschiedene Dienste, die einzeln und gemeinsam genutzt werden können:

Außerdem werden zu sichernde Daten in Blöcke von maximal 65.536 Byte fragmentiert und beim Empfänger wieder zusammengesetzt. Auch können die Daten vor dem Verschlüsseln und vor dem Berechnen der kryptografischen Prüfsumme komprimiert werden. Das Komprimierungsverfahren wird ebenso wie die kryptografischen Schlüssel mit dem SSL Handshake-Protokoll ausgehandelt.

SSL Handshake Protocol

Das SSL Handshake Protocol baut auf dem SSL Record Protocol auf und erfüllt die folgenden Funktionen, noch bevor die ersten Bits des Anwendungsdatenstromes ausgetauscht wurden:

Der Handshake selbst kann in vier Phasen unterteilt werden:

Phase Beschreibung
Phase 1: Der Client schickt zum Server ein client_hello und der Server antwortet dem Client mit einem server_hello.

Die Parameter der Nachrichten sind :

  • die Version (die höchste vom Client unterstützte SSL-Protokoll-Version)
  • eine 32-Bit lange Zufallszahl, die später verwendet wird, um das pre-master-secret zu bilden (sie schützt damit vor Replay-Attacken)
  • eine Session ID
  • die zu verwendende Cipher Suite.
Phase 2: Diese Phase ist optional.

Der Server identifiziert sich gegenüber dem Client. Hier wird auch das X509v3-Zertifikat zum Client übermittelt. Außerdem kann der Server ein CertificateRequest an den Client schicken.

Phase 3: Diese Phase ist optional.

Hier identifiziert sich der Client gegenüber dem Server. Besitzt der Client kein Zertifikat, so antwortet er mit einem NoCertificateAlert. Der Client versucht außerdem, das Zertifikat, das er vom Server erhalten hat, zu verifizieren (bei Misserfolg wird die Verbindung abgebrochen). Dieses Zertifikat enthält den öffentlichen Schlüssel des Servers. Das pre-master-secret wird hierbei, falls die Cipher Suite RSA genutzt wird, durch den aus dem Zertifikat bekannten öffentlichen Schlüssel ersetzt. Hierbei kann auch das Diffie-Hellman-Verfahren verwendet werden.

Phase 4: Diese Phase schließt den Handshake ab. Aus dem vorhandenen pre-master-secret kann das Master Secret abgeleitet werden und aus diesem der einmalige Session Key. Das ist ein einmalig benutzbarer symmetrischer Schlüssel, der während der Verbindung zum Ver- und Entschlüsseln der Daten genutzt wird. Die Nachrichten, die die Kommunikationspartner sich nun gegenseitig zusenden, werden nur noch verschlüsselt übertragen.

Berechnung des Master Secrets

Aus dem pre-master-secret wird mit Hilfe der Hash-Funktionen SHA-1 und MD5 das Master Secret berechnet. In diese Berechnung fließen zusätzlich die Zufallszahlen der Phase 1 des Handshakes mit ein. Es werden hierbei beide Hash-Funktionen verwendet, um sicherzustellen, dass das Master Secret immer noch geschützt ist, falls eine der Funktionen als kompromittiert gilt.

Vor- und Nachteile

Der Vorteil des SSL-Protokolls ist die Möglichkeit, jedes höhere Protokoll auf Basis des SSL-Protokolls zu implementieren. Damit ist eine Unabhängigkeit von Anwendungen und Systemen gewährleistet.

Der Nachteil der SSL-verschlüsselten Übertragung besteht darin, dass der Verbindungsaufbau auf Serverseite sehr rechenintensiv und deshalb etwas langsamer ist. Die Verschlüsselung selbst nimmt je nach verwendetem Algorithmus nur noch wenig Rechenzeit in Anspruch. Die verschlüsselten Daten können von transparenten Kompressionsverfahren (etwa auf PPTP-Ebene) kaum mehr komprimiert werden. Als Alternative bietet das TLS-Protokoll ab Version 1.0 die Option, die übertragenen Daten mit zlib zu komprimieren, dies wird jedoch in der Praxis vor allem aus Performancegründen kaum eingesetzt.

SSL verschlüsselt nur die Kommunikation zwischen zwei Stationen. Es sind jedoch auch Szenarien (insbesondere in serviceorientierten Architekturen) denkbar, in denen eine Nachricht über mehrere Stationen gesendet wird. Wenn jede dieser Stationen aber nur einen Teil der Nachricht lesen darf, reicht SSL nicht mehr aus, da jede Station alle Daten der Nachricht entschlüsseln kann. Somit entstehen Sicherheitslücken an jeder Station, die nicht für sie bestimmte Daten entschlüsseln kann.

SSL in der Praxis

SSL-Verschlüsselung wird heute vor allem mit HTTPS eingesetzt. Die meisten Webserver unterstützen TLS, viele auch SSLv2 und SSLv3 mit einer Vielzahl von Verschlüsselungsmethoden, fast alle Browser und Server setzen jedoch bevorzugt TLS mit RSA- und AES-Verschlüsselung ein.

Seit einiger Zeit nutzen immer mehr Webseitenbetreiber Extended-Validation-SSL-Zertifikate (EV-SSL-Zertifikat). In der Adresszeile des Browsers wird zusätzlich ein Feld angezeigt, in dem Zertifikats- und Domaininhaber im Wechsel mit der Zertifizierungsstelle (beispielsweise VeriSign) eingeblendet werden. Zudem wird je nach verwendetem Browser und/oder Add-on die Adresszeile grün eingefärbt. Internetnutzer sollen so noch schneller erkennen, ob die besuchte Webseite echt ist und besser vor Phishingversuchen geschützt werden.

SSL ist ohne eine zertifikatsbasierte Authentifizierung problematisch, wenn ein Man-In-The-Middle-Angriff erfolgt: Ist der Man-In-The-Middle vor der Übergabe des Schlüssels aktiv, kann er mit beiden Seiten den Schlüssel tauschen und so den gesamten Datenverkehr im Klartext mitschneiden.

In Verbindung mit einem virtuellen Server, z. B. mit HTTP (etwa beim Apache HTTP Server über den VHost Mechanismus), ist es grundsätzlich als Nachteil zu werten, dass pro Kombination aus IP-Adresse und Port nur ein Zertifikat verwendet werden kann, da die eigentlichen Nutzdaten des darüber liegenden Protokolls (und damit der Name des VHosts) zum Zeitpunkt des SSL-/TLS-Handshakes noch nicht übertragen wurden. Dieses Problem soll in der nächsten TLS-Version 1.2 mit der „Server Name Indication“ behoben werden. Dabei wird bereits beim Verbindungsaufbau der gewünschte Servername mitgesendet.

Weitere bekannte Anwendungsfälle für SSL sind POP3, SMTP, NNTP, SIP, IMAP, XMPP, IRC, MBS/IP, FTP, EAP-TLS und TN3270.

Software

Bekannte Implementierungen des Protokolls sind OpenSSL und GnuTLS.

Geschichte

Siehe auch

Literatur

Weblinks