Verschlüsselt "surfen" - wieso?!

Da schon beim CCC wild über den SSL-Zugriff auf Ihre Seiten diskutiert wurde hier nochmal ihr Beitrag zu dem ganzen Zeug: Warum sollten Menschen also Anonym "surfen"?!


 Warum machen wir das?

Abhören und das Verhindern von Kommunikation war mit Papier basierter Kommunikation teuer und aufwendig. Das wird sich radikal ändern, wenn mehr und mehr des täglichen Gedankenaustausches in einer Form vorliegen, die automatisiert und kostensparend, kontrolliert und verhindert werden kann. Die politische Arbeit dies zu verhindern ist wichtig und funktioniert, siehe TkÜV, reicht allein aber nicht aus, denn solange es Gesetze gibt die Worte mit Strafe belegen, wird versucht werden die Verantwortlichen für diese Worte zur Rechenschaft zu ziehen und zu verhindern, daß andere diese Worte hören.

Das technische Probleme bis jetzt verhindert haben, bestimmte Angebote des Internet zu sperren, heißt nicht, das dies niemals gehen wird. Der erste mir bekannte automatische Newsscanner nach verbotenen Inhalten ist laut Zeitungsberichten am DE-CIX in Betrieb und einem Ausbau dieser Technik steht politisch nichts im Wege. Die NSA hört eh` alles und Bewertungssysteme für Inhalt à la Pics oder Cybernanny sind seit Jahren in Arbeit und es ist durchaus vorstellbar, daß es Provider geben wird, die ``sauberes', sprich gefiltertes Internet verkaufen. Was noch der angenehmste Fall wäre, den nach dem Urteil gegen Somm, könnte man sich auch Urteile gegen Provider vorstellen, die Dateien mit unerwünschten Bewertungen durchlassen. Die Gendatenbank läuft auch, es wird nicht grade besser mit der Freiheit in diesem Land. Als Begründung für diese Verschärfungen müssen Kinder herhalten, die eh` schon nichts zu lachen haben. In den USA sind's halt die Drogendealer, und anderswo ist es der dortige, derzeitige Staatsfeind Nummer Eins.

Es gilt also zu verhindern, daß Kommunikation beobachtet wird, denn erst aus dieser Beobachtung kann sich die Entscheidung, welche Inhalte gesperrt werden sollen, ergeben. Und genau aus diesem Grund ist es wichtig, daß nicht nur sensible Daten verschlüsselt werden, sondern der ganze Traffic. Nach Möglichkeit auch mit einer Verschleierung der Verbindungsdaten.

Das alte Argument, daß wenn nur einer verschlüsselt, dieser eine prophylaktisch verhaftet wird, gilt weiterhin. Und könnte im Zuge der EU Harmonisierung Realität werden.

 Wie funktioniert es?

Secure Sockets Layer (SSL) oder auch TLS, ist ein offenes Protokoll zur verschlüsselung des Hyper Text Transfer Protokolls (http). Eine mit SSL gesicherte Verbindung erkennt man an folgender Protokollbezeichnung in der URL: "https://...".

Wie auch PGP basiert SSL auf der Public Key Kryptographie (PKC), d.h. es gibt einen Secret-Key und einen Public-Key. Diese werden bei SSL Zertifikate (Cert) genannt, denn es werden neben dem eigentlichen PKC Key noch weitere Informationen über den Inhaber abgespeichert.

Wenn der Browser sich mit einer https Site verbindet und er den Public dieser Site noch nicht hat, lädt er diesen und überprüft, ob er schon von einer ihm bekannten Certifying Authority (CA) unterschrieben ist. Wenn dies so ist, erfolgt der Verbindungsaufbau ohne weitere Nachfrage und wenn nicht, wird der Benutzer aufgefordert zu entscheiden, ob er diesen Key akzeptieren möchte.

Um kommerziellen Sites die Benutzung von SSL zur Kreditkartenübermittlung zu ermöglich, ohne daß der Benutzer mit Fragen genervt wird, haben Netscape und M$ mehrere sog. Root-CAs eingebaut. Diese CAs unterschreiben die Certs gegen Geld und einen Nachweis der Identität des Antragstellers. Neben diesen CAs gibt es noch weitere private und kommerzielle, deren Certs sich der Benutzer allerdings selbst in den Browser laden muß.

 Wie wird verschlüsselt?

Nachdem geklärt ist, welches Cert benutzt wird, einigen sich Server und Browser auf einen Bulk Cypher aus der Liste der von beiden unterstützten Methoden. Der Browser schickt nun einen mit dem Public Key des Servers verschlüsselten Session Key zum Server und wartet, ob der Server in der Lage ist, diesen zu entschlüsseln. Wenn alles geklappt hat, schickt nun der Server die angeforderten Dateien mit dem Session Key verschlüsselt zum Browser und alle sind glücklich :-) Wenn der Server dies wünscht kann jetzt mit der gleichen Methode, bloß andersrum, der Browser mit einem Client Cert seine Identität nachweisen.

 Ist eine SSL Verbindung 100% gegen Abhören geschützt?

Ob die Verbindung jetzt wirklich abhörsicher ist, hängt von der eingesetzten Software ab. Erstmal ist die Läge des verwendeten PKC Schlüssel Paars von der Version des Browsers abhängig. Der von uns verwendete 1024 Bit Schlüssel funktioniert mit jedem SSL fähigen Browser. Länger Schlüssel werden leider nur von Marktüblichen Browsern ab Version 4 oder freier Software wie z.B. SafePassage, Fortify, Cryptozilla oder anderen unterstützt.

Die Länge des Session Key ist zwar immer 128 Bit, allerdings werden bei den Exportversionen Amerikanischer Produkte 88 Bit nicht mit PKC verschlüsselt, sondern einfach im Klartext mitgeschickt. D.h. die 40 Bit sind für eine etwas besser ausgestattete interessierte Stelle einfach zu entschlüsseln und damit wieder abhörbar.

Selbst wenn alles prima verschlüsselt ist, solltet Ihr Euch bewußt sein, daß beobachtet werden kann, mit welcher Site Ihr Euch verbindet und wieviel Daten übertragen werden. Abhilfe würde nur eine Art Remailer für http schaffen. Ein per SSL verbundenes Proxy Array, z.B.

Empfohlene Software:

SSLeay
Crytozilla
SafePassage von C2
Fortify
Netscape und andere mit voller Krypto
Sammlung von Software und RFCs
Unser Webserver - Apache 1.3x
Das SSL-"Plugin" für den Apache Server gibts hier!  

Recommended Readings:

CA des IN
CA der IKS-Jena
Linksliste zum Thema (Englisch)


zurück zur Hauptseite