SSL Verschlüsselung

SSL

Secure Sockets Layer: Dieser Name steht hinter der weitaus geläufigeren Bezeichnung SSL, die heute auch als TLS (Transport Layer Security) bekannt ist. Gemeint ist ein Verschlüsselungsprotokoll, das eine sichere Datenübertragung in Netzwerken mit einem Schlüssel ermöglichen soll. Konkret handelt es sich bei SSL um ein hybrides Verschlüsselungsprotokoll. Das bedeutet, es wird mit einer Kombination aus symmetrischer und asymmetrischer Verschlüsselung gearbeitet. Im ersten Schritt wird ein sogenannter Session-Key erstellt (zufällig, aber symmetrisch). Anhand dieses Session-Keys werden die Daten nach symmetrischem Prinzip gesichert. Anschließend wird der Session-Key mit dem Session-Key des Empfängers asymmetrisch verschlüsselt.

Aufgrund des hybriden Verschlüsselungsverfahrens mit SSL wird das sogenannte Schlüsselverteilungsproblem beim Datenaustausch gelöst. Während symmetrische Verfahren zwar sehr schnell sind, aber sich die Austauschpartner auf einen gemeinsamen, geheimen Schlüssel einigen müssen, wozu ein sicherer Kommunikationskanal vorhanden sein muss, lösen asymmetrische Verfahren dieses Problem. Allerdings sind sie sehr langsam bei großen Datenmengen und eignen sich eigentlich nur für kleine Mengen. Die hybride Form bei Secure Sockets Layer sorgt dafür, dass große Datenmengen schnell und verschlüsselt übertragen werden können – die positiven Eigenschaften von symmetrischen und asymmetrischen Verfahren werden demnach erhalten.

Mit dem SSL Zertifikat vermeidet man, dass Kriminelle persönliche Informationen auslesen oder verändern können und erhöht so die IT-Sicherheit.

Schichtensystem

Wie der Begriff Layer in Secure Sockets Layer verrät, handelt es sich um Schichten des Übertragungsprotokolls. Das ursprüngliche TCP/IP Protokoll deckte zunächst mindestens vier Schichten ab. Doch sichere Verbindungen konnten damit nicht gewährleistet werden. Zwei weitere Schichten wurden also hinzugefügt:

  • SSL Record Protocol
  • SSL Handshake Protocol

Diese Layer liegen zwischen dem Aufgabenbereich von TCP/IP und den Anwendungen. Das Gute ist, dass Anwendungen wie Browser die zwei zusätzlichen Schichten der SSL Zertifikate nicht bemerken. Die ein SSL Zertifikat erfordern also keine Änderungen von Anwendungen oder Transportprotokollen.

SSL – Secure Sockets Layer in der Praxis

In der Regel wird das 1994 in der ersten Version entwickelte Verfahren mit HTTPS eingesetzt, einem abhörsicheren Kommunikationsprotokoll, das man unter anderem beim Onlinebanking oder in E-Mail-Programmen sieht. Kommt es zu einem Datenaustausch, baut der Client eine Verbindung zum Server auf. Für gewöhnlich bieten Web-Hoster in diesem Zusammenhang sogenannte SSL Proxy an – spezielle Server, die Webseiten über ein SSL Zertifikat absichern und ausgelagert von anderen Webseiten unter der gleichen IP-Adresse hosten. Der Server authentisiert sich wiederum über ein Zertifikat, welches vom Client geprüft wird. Es besteht auch die Möglichkeit, dass sich Client und Server gegenseitig über ein Zertifikat prüfen. Anschließend wird ein gemeinsamer geheimer Schlüssel zufällig erstellt, der dazu dient, die Daten über ein symmetrisches Verschlüsselungsverfahren zu sichern.

In der Praxis ist allerdings zu beachten, dass über SSL die Daten ausschließlich bis zum Server sicher versendet werden. Damit die Daten sicher beim Empfänger ankommen, muss dieser die Informationen gleichfalls per SSL-Verschlüsselung gesichert abrufen. Es ist daher keine 100 % Garantie, dass die Daten auch tatsächlich sicher beim Empfänger ankommen. Dadurch, dass die Verschlüsselung immer nur zwischen zwei Stationen möglich ist, der Datenaustausch jedoch über mehrere laufen kann, entstehen Sicherheitslücken, die, wie die Praxis zeigt, auch regelmäßig aufgedeckt werden.

Was bei SSL nicht gesichert ist

Mit dem SSL-Protokoll ist die Übertragung zwischen einer Domain auf einem Server und dem Domain-Besucher abgesichert. So kann zum Beispiel keine Kreditkartennummer während der SSL-Verschlüsselung auf der Website ausgelesen werden. Allerdings kann das beste Zertifikat und der Schlüssel nicht beeinflussen, was mit den sicher übertragenen Daten im Anschluss geschieht. Secure Sockets Layer schützt also nicht vor unverantwortungsvollem Umgang der Datenempfänger mit den sensiblen Daten. Daher sollte man immer darauf achten, wie ein Shop beispielsweise im weiteren Verlauf mit den Daten umgeht.