SSL & PGPKnopper.Net Consulting


There is no translation available yet for this page. :-(

Server Certificate
Knopper.Net CA Certificate Download

Mit diesem Zertifikat können Sie unsere Webseiten über das https Protokoll verschlüsselt browsen. Akzeptieren Sie hierzu das Zertifikat als Signierer für WWW-Server. Falls Ihr Browser beim Anklicken des Zertifikat-Symbols statt einer SSL-Bestätigung ein Download-Fenster zeigt, unterstützt Ihr Browser vermutlich nicht den SSL-Standard. Wenn Sie den Microsoft(R) Internet Explorer(TM) verwenden, versuchen Sie bitte stattdessen diesen Link.

SSL (Secure Socket Layer) ist ein 1993 von Netscape Inc. entwickeltes Verfahren zur transparent verschlüsselten Übertragung von Daten und zur Verifikation des Absenders mittels elektronischer Signatur.

PGP (Pretty Good Privacy) ist ein nach dem gleichen Prinzip funktionierendes Verschlüsselungs- und Verifikationsverfahren, das aber vorwiegend zum Verschlüsseln und Signieren von Dateien (z.B. E-Mail) verwendet wird, und nicht zur Übertragung (wie SSL).

Beiden Verfahren gemeinsam ist, dass ein Dual-Key Algorithmus verwendet wird. Vereinfacht dargestellt, wird zunächst bei der Einrichtung der Verschlüsselungssoftware ein Schlüsselpaar erzeugt. Der sogenannte öffentliche Schlüssel ("Public Key", PK) dient zum Verschlüsseln von Daten (z.B. einer E-Mail mit vertraulichem Inhalt). Im Gegensatz zu Verschlüsselungsverfahren mit nur einem Schlüssel kann der Datensatz jedoch mit dem gleichen Schlüssel nicht wieder entschlüsselt bzw. in Klartext übersetzt werden. Nur mit dem zum öffentlichen Schlüssel passenden sog. geheimen Schlüssel ("Secret Key", SK) kann der verschlüsselte Datensatz wieder in die ursprüngliche Form gebracht werden.

Als Beispiel für dieses Verfahren sende Benutzer A dem Benutzer B eine Nachricht, die er mit dem öffentlichen Schlüssel seines Gesprächspartners B verschlüsselt. Benutzer B kann die Nachricht mit seinem geheimen Schlüssel (SK) lesen.

Der öffentliche Schlüssel (PK) erhält seinen Namen daher, dass er zum Verschlüsseln von Nachrichten an die Gesprächspartner verteilt ("veröffentlicht") werden muss, damit diese die Nachrichten oder oder Dateien damit verschlüsseln können. Allein der Empfänger der Nachricht kann mit seinem geheimen Schlüssel die verschlüsselte Nachricht wieder entziffern. Ein unerwünschter Mithörer ("Netzwerk-Sniffer"), der die verschlüsselte Nachricht mithört und in den Besitz des öffentlichen Schlüssels gelangt, kann mit diesem Schlüssel die Nachricht nicht entziffern.

Das Erzeugen und Verifizieren digitaler Unterschriften funkioniert ähnlich wie das Ver- und Entschlüsseln. Zu einer Nachricht oder Datei wird zunächst eine Prüfsumme erstellt, die diesmal mit Hilfe des geheimen Schlüssels verschlüsselt wird. Der Empfänger der Nachricht kann mit Hilfe des öffentlichen Schlüssels des Absenders die verschlüsselte Prüfsumme entziffern, und mit der Prüfsumme der empfangenen Datei vergleichen, um festzustellen, ob die Datei verändert wurde und der öffentliche Schlüssel des Absenders passt.

Der Schwachpunkt dieses Verfahrens liegt in der Vertrauenswürdigkeit des öffentlichen Schlüssels. Wird der öffentliche Schlüssel während der Übertragung oder Übergabe an den Gesprächspartner durch den öffentlichen Schlüssel einer dritten Person ausgetauscht (z.B. durch Manipulation der Datenübertragung über unsichere Netzverbindungen), so kann diese dritte Person mit Hilfe ihres eigenen geheimen Schlüssels die Nachrichten entziffern. Daher muss bei der Übergabe des öffentlichen Schlüssels an die Gesprächspartner darauf geachtet werden, dass z.B. die Prüfsummen der Schlüssel (mit Hilfe von sogenannten Fingerprints) telefonisch oder bei einem Treffen in persona verglichen werden.

Eine für SSL gebräuchliche Lösung des Verifikationsproblems ist die Hinzunahme einer "vertrauenswürdigen Organisation", die den öffentlichen Schlüssel digital signiert, und deren Signatur (=öffentlicher Schlüssel dieser Organisation) in der verwendeten Software des Benutzers fest "eingebaut" und daher schwer manipulierbar ist. Ein Beispiel hierfür sind die sog. "Root Certificate Authorities", die im Netscape Communicator und anderen Browsern integriert sind, und mit den "Sicherheitseinstellungen" abgefragt werden können. Ein Certificate ist somit einfach ein digital signierter öffentlicher Schlüssel.

Es hängt vom persönlichen Sicherheitsempfinden ab, ob und welcher Certificate Authority man traut, und welche öffentlichen Schlüssel man lieber selbst per Fingerprint verifizieren möchte. Gerade bei der Übertragung sensitiver Daten (z.B. Kreditkartennummern, Passwörter, firmeninterne Informationen) sollte jedoch streng darauf geachtet werden, dass eine Kompromittierung der zur Verschlüsselung verwendeten Schlüssel ausgeschlossen ist. Der persönliche Vergleich der Fingerprints ist in jedem Fall eine gute Grundlage.

Knopper.Net bietet Unterstützung bei der Einrichtung von SSL und anderen Implementationen zur verschlüsselten Datenübertragung und Verifikation der Datenintegrität an. Dies gilt auch für den Einsatz selbstsignierter SSL-Zertifikate, die firmenintern oder im Internet zum gesicherten Datenaustausch per secure http (WWW), secure POP oder VPN verwendet werden können. Auch E-Mail Zertifikate für den sicheren Informationsaustausch per Mail können bestellt werden.


© Knopper.Net <ssl@knopper.net>