Geekly articles weekly

TLS- und Webzertifikate

Hallo allerseits!

Und hier haben wir mit leisen Drüsen einen der ungewöhnlichsten Kurse für uns gestartet - „Digitale Signatur in der Informationssicherheit“ . Trotz allem haben wir es irgendwie geschafft und wir haben Leute involviert, mal sehen, was passiert. Heute werfen wir einen Blick auf das verbleibende interessante Material und sehen kurz, wie TLS funktioniert und was der Unterschied zwischen nicht vertrauenswürdigen und vertrauenswürdigen Webzertifikaten ist.

Übersetzung - dzone.com/articles/a-look-at-tls-transport-layer-security
Gepostet von Arun Pandey

TLS - Abkürzung für Transport Layer Security (Transport Layer Security Protocol), basierend auf SSL. Wie der Name schon sagt, handelt es sich um ein Protokoll, das auf Transportebene ausgeführt wird.
Wie Sie wissen, ist Kommunikationssicherheit ein sehr häufiges Problem, aber die korrekte Implementierung von TLS kann die Websicherheit auf ein neues Niveau heben. In einer Umgebung mit eingebettetem TLS kann ein Angreifer Informationen über den Host abrufen, zu dem Sie eine Verbindung herstellen möchten, herausfinden, welche Verschlüsselung verwendet wird, die Verbindung trennen, aber Sie können nichts anderes tun.

Fast alle Kommunikationsprotokolle bestehen aus drei Hauptteilen: Datenverschlüsselung, Authentifizierung und Datenintegrität.

In diesem Protokoll können Daten auf zwei Arten verschlüsselt werden: mithilfe des Kryptosystems mit öffentlichem Schlüssel oder des symmetrischen Kryptosystems. Ein Kryptosystem mit öffentlichem Schlüssel ist als Implementierung perfekter als symmetrische Kryptosysteme.



Übersicht über Kryptosysteme mit öffentlichem Schlüssel und symmetrische Kryptosysteme

Das Kryptosystem mit öffentlichem Schlüssel, eine Art asymmetrische Verschlüsselung, verwendet einen öffentlich-privaten Schlüssel. Der öffentliche Schlüssel B wird also zum Verschlüsseln der Daten A verwendet (B hat den öffentlichen Schlüssel mit A geteilt), und nach dem Empfang der verschlüsselten Daten entschlüsselt B sie mit seinem eigenen privaten Schlüssel.

Symmetrische Kryptosysteme verwenden denselben Schlüssel zum Entschlüsseln und Verschlüsseln, sodass A und B denselben geheimen Schlüssel haben. Und das ist ein großer Nachteil.

Nun wollen wir sehen, wie die Authentifizierung in TLS funktioniert. Um die Authentizität des Absenders der Nachricht zu überprüfen und dem Empfänger die Möglichkeit zu geben, die Antwort zu verschlüsseln, kann die Authentifizierung mithilfe digitaler Zertifikate erfolgen. Betriebssysteme und Browser führen Listen vertrauenswürdiger Zertifikate, die sie bestätigen können.

Vertrauenswürdig vs. Nicht vertrauenswürdige Zertifikate

Digitale Zertifikate werden in zwei Kategorien eingeteilt. Vertrauenswürdige Zertifikate werden von einer Zertifizierungsstelle (CA) signiert, während nicht vertrauenswürdige Zertifikate selbst signiert werden.

Vertrauenswürdige Zertifikate

Vertrauenswürdige Zertifikate befinden sich in einem Webbrowser und sind von CA signiert. Dies ist notwendig, um ein Höchstmaß an Zuverlässigkeit zu gewährleisten. Angenommen, die Website „xyz.com“ möchte ein vertrauenswürdiges digitales Zertifikat vom berühmten Zertifizierungszentrum „Comodo“ erhalten.
Die Schritte sind wie folgt:

  • Erstellen Sie einen Webserver für die Anwendung: xyz.com;
  • Erstellen Sie ein Paar privater Schlüssel (öffentlich-privater Schlüssel) mithilfe der Verschlüsselung mit öffentlichem Schlüssel (aufgrund seiner Zuverlässigkeit).
  • Generieren Sie eine Zertifikatsignierungsanforderung (kurz CSR) für eine Zertifizierungsstelle, in meinem Fall Comodo. Auf der Festplatte kann die Datei "certreq.txt" heißen.
  • Bewerben Sie sich beim Zertifizierungszentrum und geben Sie CSR an.
  • Das Zertifizierungszentrum (in meinem Fall Comodo) überprüft Ihre Anfrage, einschließlich des öffentlich-privaten Schlüssels.
  • Wenn alles in Ordnung ist, signiert das Zertifizierungszentrum die Anfrage mit seinem eigenen privaten Schlüssel.
  • Das Center sendet ein Zertifikat, das auf dem Webserver installiert werden soll.
  • Alles ist fertig!

Nicht vertrauenswürdige Zertifikate

Ein nicht vertrauenswürdiges Zertifikat wird vom Websitebesitzer signiert. Diese Methode eignet sich, wenn Zuverlässigkeitsprobleme nicht relevant sind.
Beachten Sie, dass es nicht üblich ist, ein nicht vertrauenswürdiges Zertifikat in einer TLS-Implementierung zu verwenden.

Funktionsweise des Ersetzens von TLS-Zertifikaten

  • Öffnen Sie die Adresse "xyz.com" im Browser.
  • Der Webserver empfängt die Anforderung.
  • Der Webserver sendet als Antwort auf die Anforderung ein Zertifikat.
  • Ein Webbrowser wertet die Antwort aus und überprüft das Zertifikat.
  • Während des Validierungsprozesses stellt der Webbrowser fest, dass das Zertifikat vom Comodo Center signiert ist.
  • Der Webbrowser überprüft die Zertifikatdatenbank (z. B. IE -> Internetoptionen -> Inhalt -> Zertifikat) auf ein Comodo-Zertifikat.
  • Sobald es gefunden wurde, verwendet der Webbrowser den öffentlichen Comodo-Schlüssel, um das vom Webserver gesendete Zertifikat zu überprüfen.
  • Wenn die Validierung erfolgreich ist, betrachtet der Browser diese Verbindung als sicher.

DAS ENDE

Wie immer warten wir auf Fragen und Kommentare.

Source: https://habr.com/ru/post/de431242/

More articles:


All Articles