Autor: Adrian Janotta/IT Security Spezialist für Paules-PC-Forum.de
Warum SSL-Verschlüsselung die IT-Sicherheit vergrößert
[Blockierte Grafik: https://s4.postimg.io/axqddngct/1404…539647345_o.jpg]
Wenn man im Internet surft, sollte man sich die Frage stellen, wie es mit der eigenen Sicherheit bei der Datenübertragung aussieht. Vor allem dann sollte man sich fragen, wenn kritische Daten übertragen werden. Dann sollten diese nicht unbedacht in irgendwelche Webseiten eingegeben werden. Diese Frage stellt sich für jeden, der über einen sicheren Kanal im Internet mit einem anderen User oder Computer kommunizieren will. So ist beispielsweise Vorsicht geboten bei den Eingaben eines Passworts, bei Formulardaten, beim Down-/Upload eines Files oder anderem Datenaustausch. Das heute meist genannte Schlagwort zu vorgenommenen Vorsichtsmaßnahmen ist SSL. Doch was versteht man darunter und was bedeutet der Begriff SSL?
SSL steht für Secure Sockets Layer, wofür heute der neue Name TLS (Transport Layer Security) verwendet wird. SSL ist ein Verschlüsselungsprotokoll, mit dem ein sicherer Übertragungskanal für verschiedene Anwendungen zur Verfügung gestellt werden kann. Benutzt wird dies zum Beispiel für HTTPS (Webbrowser), SMTPS (Mail-Versand), POP3S (Mail-Empfang) und bei vielen weiteren Vorgängen.
Wie man aus dieser Aufzählung ersehen kann, fügt man der Standard-Bezeichnung immer ein „S" hinzu:
- HTTP mit SSL: HTTPS
- SMTP mit SSL: SMTPS
- POP3S mit SSL: POP3S
Was bedeutet dies nun für mich als Benutzer?
Dazu möchte ich gerne eine wenig näher auf das HTTPS Protokoll eingehen. Damit wird ein sicheres Surfen auf einer Webseite möglich, ohne dass ein anderer Benutzer oder ein System die gesendeten Daten einsehen kann. Die Daten werden zwischen dem Webserver, auf dem die Webseite läuft, und dem Webbrowser verschlüsselt. Dazu ist immer ein Zertifikat auf der Webseite notwendig. Dieses wird auf die Adresse der speziellen Webseite ausgestellt. Wenn man nun eine solche Webseite besucht, sind einige Punkte für die Sicherheit zu beachten.
- Das Zertifikat muss für diese Webseite ausgestellt sein.
- Das Zertifikat darf nicht abgelaufen sein (Datum)
- Die Verschlüsselung sollte mindestens 2048 Bit stark sein.
Dies kann einfach mit dem Webbrowser kontrolliert werden. Wir besuchen die Seite https://paules-pc-forum.deAls erstes prüfen wir, ob kein Fehler angezeigt wird und das Schloss-Symbol erscheint. Im Internet Explorer finden wir dieses Symbol neben der Adresszeile. Das Zertifikat sollte mindestens 2048 Bit betragen. Für mich ist es jedoch unverständlich, warum einige Websites nicht bereits 4096 Bit und immer noch 1024 Bit verwenden. Das liegt wohl daran, dass solchen Websites keinen besonderen Wert auf ihre Sicherheit legen. Knackbar ist es dennoch. Das haben nicht nur mein Team und ich bereits demonstriert, sondern auch Forscher von Google.
Wie sicher ist SSL?
SSL ist nicht besonders sicher. Bei SSL/TLS hat man wohl ein höheres Sicherheitsgefühl, weil die Browser den Sicherheitszertifikaten vertrauen.
http://dotcomsecurity.de/servicebriefe/…S%20Hacking.pdf
http://www.zeit.de/digital/datens…erschluesselung
http://www.elektronik-kompendium.de/sites/net/1906041.htm
http://www.zeit.de/digital/datens…-unsicher-beast
Kann ich jetzt SSL nicht mehr vertrauen?
Doch, solange Du kein lohnendes Ziel für Angreifer bist schon. Wir haben aber für Unternehmen die wirklich auf Sicherheit angewiesen sind SSS auf den Markt gebracht. SSS ist kostenlos und Open Source, so dass sich jeder SSS herunterladen kann. Mit SSS benötigt man kein TSL oder SSL Zertifikat. SSS ist die nächste Generation an Sicherheit für die Besucher, ganz ohne Kosten. Ein SSL Zertifikat bringt Ihnen alleine keinen Mehrwert an Sicherheit. MIt SSS ist ein solches auch überflüssig. Sie können auch SSS zusammen mit TLS verwenden und sind bei einem Einbruch in das TLS/SSL System geschützt. Ein "Mann in der Mitte" könnte die HTTPS Verbindung ohne SSS, also vermeintlich sichere Sitzungen beim Onlinebanking, bei Onlinehändlern, aber auch bei Instant Messaging kapern und für seine Zwecke nutzen.
Wir haben das SSS System vier Wochen mit 10 Testpersonen auf Herz und Nieren getestet, bevor wir SSS veröffentlichten. Insgesamt vier Monate Entwicklungszeit hat uns das Open Source SSS System gekostet. Nun ist es für Sie zum Download verfügbar. Unsere Kunden nutzen SSS bereits und auch das bekannte Paules PC Forum vertraut in Zukunft auf das Dotcomsecurity SSS System.
Welchen Vorteil haben SSL Zertifikate sonst noch und was bedeutet das für Dich als Paules-PC-Forum.de Nutzer?
Das Forum wird bei Google besser in den Index aufgenommen, da Google Websites, die ein SSL Zertifikat nutzen, höher bewertet werden. Für dich als Nutzer hat das außerdem den Vorteil, dass Du nun sicherer bist, wenn du Nachrichten mit anderen austauscht. Absolute Sicherheit bekommt du dann später zusätzlich, wenn Paules PC Forum zukünftig auch SSS verwendet.
Kann man SSL manipulieren, wenn ein Zertifikat abgelaufen ist?
Das kann man, denn der Besucher einer Website muss lediglich die Systemzeit zurückstellen. Der benutzte Computer glaubt dann, dass das Cert ist sicher. Das SSL Zertifikat ist eigentlich immer noch sicher, aber der Browser vertraut eben der SSL Technik nicht, sondern nur der ausstellenden Zertifizierungsstelle. Die Methode funktioniert tatsächlich. Ob man allerdings die Systemzeit des eigenen Rechners per Root-Befehl umstellen will, nur um einer Fehlermeldung aus dem Weg zu gehen, ist fraglich.
Ist SSL/TLS auch ohne Zertifikat einer Zertifizierungsstelle sicher?
Ja absolut. Sogar der CCC selbst benutzt oft ein selbst signiertes Zertifikat!
Siehe: https://www.muc.ccc.de
Sobald Du auf „Ich kenne das Risiko klickst, wirst Du zur Website weitergeleitet. Diese Meldung erscheint nicht, wenn Du ein Zertifikat bei einer CA kaufst, einen technischen Unterschied in Bezug auf die Sicherheit gibt es aber nicht.
Hier anbei noch ein paar Links, wie du SSL auch selbst hacken kannst:
https://www.blackhat.com/presentations/…feating-SSL.pdf
http://www.hacking-tutorial.com/hacking-tutori…nd-backtrack-5/
Wie funktioniert SSS technisch und wo kann ich SSS herunterladen:
SSS verwendet eine symmetrische Verschlüsselung mit AES. Wenige und unwichtige Anfragen laufen über die Asymmetrische Verschlüsselung (RSA).
Diese werden für den Abschluss (Austausch) von Sicherheitsschlüsseln verwendet. SSS bringt gleich ein Script basiertes Ban System mit, um Tor-Anfragen
und Proxy-Anfragen automatisiert auf Wunsch zu blockieren:
- Client fordert öffentliche Schlüssel vom Server
- Server gibt den aktuellen öffentlichen Schlüssel an den Client
- Client erzeugt Text, der mit dem öffentlichen Schlüssel verschlüsselt, verglichen wird und sendet sie an Server
- Server übernimmt den Schlüssel aus " Schritt 3" und entschlüsselt sie mit dem privaten Schlüsse
- Der entschlüsselte Text aus "Schritt 4 " ist der Schlüssel, der für die symmetrische Kommunikation verwendet werden sollte.
Dieser Schlüssel wird in der aktuellen Sitzung, der Server und im lokalen Speicher des Browsers gespeichert. Bei Schlüsseln die auf dem Server gespeichert sind, verwendet der Client zum Starten symmetrische Kommunikation mit AES. Alle Daten die vom Client / Server gesendet werden, mit AES verschlüsselt werden.
[Blockierte Grafik: https://s4.postimg.org/6gvsiqe3x/SSS_System.png]
Dieser Schlüssel wird in der aktuellen Sitzung, der Server und im lokalen Speicher des Browsers gespeichert.
Bei Schlüssel die auf dem Server gespeichert sind, verwendet der Client zum Starten symmetrische Kommunikation mit AES . Alle Daten die vom Client / Server gesendet werden, werden mit AES verschlüsselt, d.h. mit einem sehr hohen Standard.
Download SSS: dotcomsecurity.de/download-ssl-alternative.html
Adrian Janotta ist IT-Security-Spezialist für Datenbanken und Netzwerke. Seit1999 entwickelt er Security-Tools und als Social Engineer kennt er die psychologischen Aspekte und Schwachstellen. Er ist auch Nutzer von Paules-PC-Forum.de und hilft gerne bei Fragen zur Sicherheit weiter. Auf seiner Seite Janotta und Partner bildet er Unternehmen in der IT Sicherheit aus.