Sichere Kommunikation im WWW

von Herbert Stappler (Ausgabe 97/2, Juni 1997)

 

Um im Dschungel des Internet auch sensitive Informationen sicher übermitteln zu können, bieten die modernen WWW-Browser wie Netscape Navigator oder Internet Explorer die Möglichkeit, statt der üblichen Kommunikation ein aufwendigeres Protokoll, Secure Socket Layer (SSL) genannt, zu verwenden. Dieses soll drei Dinge sicherstellen:

  • Authentizität des Servers: Im Internet ist es recht einfach, die IP-Adresse eines anderen Rechners anzunehmen und so in die Rolle eines bestimmten WWW-Servers zu schlüpfen. Daher überzeugt sich der WWW-Browser anhand eines digitalen Zertifikates, ob er wirklich mit dem gewünschten Server spricht.
  • Geheimhaltung der Daten: Alle Daten, die der Server und der Browser austauschen, werden verschlüsselt.
  • Integrität der Daten: Durch Verwendung von entsprechenden "Message Digest"-Funktionen wird sichergestellt, daß jede Änderung der Daten während des Transports sofort bemerkt wird.

Der technische Ablauf bei der sicheren Kommunikation nach SSL ist etwa wie folgt (der Benutzer merkt von diesen Vorgängen so gut wie nichts, da sie gänzlich selbständig ablaufen):

  1. Sobald der WWW-Browser ein Dokument anfordert, das für sichere Kommunikation vorgesehen ist, schickt der Server zuerst ein digitales Zertifikat. Dieses enthält alle wichtigen Angaben über den Server, wie den Namen des Betreibers, die Gültigkeitsdauer, die ausstellende Zertifizierungsbehörde und den öffentlichen Schlüssel des Betreibers. Es ist durch die digitale Unterschrift der Zertifizierungsbehörde fälschungssicher gemacht. Die neueren Browser sind standardmäßig mit einer Liste der Zertifizierungsbehörden (einschließlich deren öffentlicher Schlüssel) ausgestattet und können so das Zertifikat überprüfen.
  2. Ist das digitale Zertifikat in Ordnung, generiert der WWW-Browser einen Schlüssel (Session Key). Dieser wird mit dem öffentlichen Schlüssel des Servers kryptisiert und an den Server geschickt.
  3. Alle Daten, die der Server und der Browser ab nun austauschen, werden mit diesem Session Key mittels eines symmetrischen Verfahrens verschlüsselt.

Dokumente für sichere Kommunikation kann man schon am URL erkennen - dieser beginnt mit https: statt mit http:. An der Statuszeile des Browsers kann man ebenfalls sehen, ob die Kommunikation mit dem Server über das gesicherte Protokoll erfolgt oder nicht: Beim Netscape Navigator wird in der linken unteren Ecke ein Schlüssel angezeigt, wobei ein gebrochener Schlüssel  auf grauem Hintergrund für unsichere und ein intakter Schlüssel  auf blauem Hintergrund für sichere Kommunikation steht. Beim Internet Explorer erscheint bei sicherer Kommunikation ein Vorhängeschloß  in der rechten unteren Ecke. Bei jedem Wechsel von der gesicherten Betriebsart in die ungesicherte und umgekehrt erhält der Benutzer noch einen zusätzlichen Warnhinweis.

Will man das Zertifikat des aktuellen Dokuments selbst inspizieren, so kann man mit View/Document Info (Netscape) oder Datei/Eigenschaften/Registerkarte Sicherheit (Internet Explorer) die gewünschten Informationen anzeigen. Die Liste der Zertifizierungsbehörden (engl. certificate authority, kurz CA) und andere Informationen und Einstellungen zur sicheren Kommunikation erhält man über Options/Security Preferences (Netscape) bzw. Ansicht/Optionen/Registerkarte Sicherheit (Internet Explorer). Dort findet man auch Hinweise, was zu tun ist, wenn man als WWW-Benutzer ein persönliches Zertifikat (client certificate) erwerben möchte. Dieses benötigt man, wenn der Server den Benutzer sicher identifizieren will; Anwendungen, die dies erfordern, sind derzeit aber noch sehr selten.