Was ist TLS/SSL?

von Susanne Kriszta (Ausgabe 06/2, Juni 2006)

 

Bei TLS (Transport Layer Security) oder SSL (Secure Sockets Layer) handelt es sich um ein Verschlüsselungsprotokoll zur Datenübertragung im Internet bzw. um eine verschlüsselte Netzverbindung zwischen Server und Client, über die auch unverschlüsselte Anwendungsprotokolle (z.B. HTTP, POP3, IMAP, SMTP, NNTP, SIP, ...) sicher transportiert werden können. TLS/SSL sorgt also dafür, dass die Daten verschlüsselt über das Netz geschickt werden und somit vor unerwünschten Zugriffen und Manipulationen geschützt sind. Es sichert jedoch nur den Übertragungsweg zwischen Server und Client; auf alles, was davor oder danach mit den Daten geschieht, hat TLS/SSL keinen Einfluss.

Warum zwei Namen?

SSL Version 1.0 wurde 1994 von der Firma Netscape entwickelt. Als SSL 3.0 schließlich 1999 vom Standardisierungs-Gremium IETF (Internet Engineering Task Force) im RFC 22461) als Proposed Standard festgelegt wurde, benannte man es auf TLS um. Die Unterschiede zwischen SSL 3.0 und TLS sind minimal; umgangssprachlich wird daher meistens weiterhin der Begriff SSL verwendet.

Wie funktioniert SSL?

Bei SSL kommen verschiedene kryptographische Methoden2) zum Einsatz:

  • Symmetrische Verschlüsselung: Hierbei wird für die Ver- und Entschlüsselung der Daten derselbe Schlüssel (Key) verwendet.

  • Asymmetrische Verschlüsselung: Asymmetrische Verfahren benutzen zwei verschiedene Schlüssel zum Ver- und Entschlüsseln - einen öffentlichen (Public Key) und einen geheimen (Private Key).

  • Hash-Funktion: Damit wird ein "digitaler Fingerabdruck" mit einer konstanten Länge (128 bis 512 Bit, abhängig vom verwendeten Algorithmus) erstellt, anhand dessen kontrolliert werden kann, ob die übermittelten Daten am Weg zum Empfänger verändert wurden.

Das SSL-Protokoll selbst besteht aus zwei übereinanderliegenden Schichten:

  • Auf der unteren Schicht befindet sich das SSL Record Protocol. Dieses prüft, ob die übertragenen Daten vollständig und unverändert ihren jeweiligen Empfänger erreichen und verschlüsselt, sofern dies gewünscht wird, die Daten mit einem symmetrischen Verfahren. Der dabei verwendete Schlüssel wird über das SSL Handshake Protocol vereinbart.

  • Die obere Schicht enthält unter anderem das SSL Handshake Protocol.3) Dieses baut auf dem SSL Record Protocol auf und wird einerseits zum Aushandeln der verwendeten kryptographischen Algorithmen und Schlüssel benötigt, andererseits zur Identifikation und Authentifizierung der Kommunikationspartner mit Hilfe asymmetrischer Verschlüsselungsverfahren (in der Regel authentifiziert sich zumindest der Server gegenüber dem Client).

 

1) siehe www.ietf.org/rfc/rfc2246.txt (mittlerweile abgelöst durch RFC 4346, www.ietf.org/rfc/rfc4346.txt)

2) Detailliertere Informationen zu den einzelnen Methoden finden Sie z.B. im Artikel Grundbegriffe der Kryptographie in Comment 00/3.

3) Neben dem SSL Handshake Protocol umfasst die obere Schicht auch noch das SSL Application Data Protocol, das SSL Alert Protocol und das SSL Change Cipherspec. Protocol, die ebenfalls ihr Scherflein zu einer sicheren Datenübertragung beisteuern, hier jedoch nicht näher beschrieben werden.