6. SSL / TLS

Question 1

Was ist TLS?

Answer 1

“Transport Layer Security”
(Früher bekannt als SSL)

Erweitert TCP um Sicherheit
–> TCP Pakete sind der Datenaustausch zwischen Web Anwendung und Benutzer.

Question 2

Für was sind die TLS Protokolle zuständig?

Answer 2

Beispiele:
- Message integrity
- Message confidiality
- Authentifizierung
- Warn- und Fehlermeldungen
etc.

Question 3

Verbesserung der Sicherheit

Answer 3

z.B. Austausch der Schlüssel mit Diffie-Hellman

Question 4

Angriffe auf TLS

Answer 4

SSL Stripping Angriff

Heartbleed Angriff auf openSSL

Question 5

SSL Stripping Angriff (+Gegenmaßnahmen)

Answer 5

Man in the Middle Angreifer kann den Netzwerkverkehr mithören und die Public Keys der beiden mithören / manipulieren.

Gegenmaßnahme:
Mithilfe von HTPT (HTTP Strict Transport Security) wird gesorgt, das der Browser keine unverschlüsselte Verbindung mehr mit dem Server eingeht.

Question 6

TLS Handshake

Answer 6

ClientHello –}
{– ServerHello
{– ServerCertificate
{– ServerKeyExchange
{– ServerHelloDone
ClientKeyExchange –}
[ChangeCypherSpecs] –}
Finished –}
{– [ChangeCypherSpecs]
{– Finished

              {-- Encrypted application data --} 

ClientHello: Anfrage mit den Client Daten (Vorschläge zur Verschlüsselungsart)
ServerHello: Anfrage mit den Server Daten (Ausgewählte Verschlüsselungsart)
ServerCertificate: Authorisierung des Servers
ServerKeyExchange: Parameter die für den Schlüsselaustausch nötig sind (öffentlicher Schlüssel)
ServerHelloDone: Selbsterklärend
ClientKeyExchange: öffentlicher Wert des Clients für den Schlüsselaustausch
[ChangeCypherSpecs]: ausgehandelte Verbindungseinstellungen
Finished: Erste verschlüsselte Nachricht
[ChangeCypherSpecs]: Zweites Mal: Bestätigung
Finished: Gleiches wie oben