Sichere Datenübertragung über das Internet?

Sicherheits-Pannen im Internet haben nicht gerade dazu beigetragen, das Vertrauen des Verbrauchers im elektronischen Kommerz zu fördern. Wenn auch bisher kein Fall bekannt wurde, bei dem Kreditkarten-Informationen mißbraucht wurden, bleibt trotzdem ein unangenehmer Nachgeschmack.

Die theoretische Möglichkeit, daß jemand Kreditkarten-Daten durch den Einsatz von teurer und komplizierter Technologie abhören könnte, erscheint dem nicht mit der Materie Vertrauten so viel wahrscheinlicher, als der täglich tatsächlich stattfindende Mißbrauch von Karten beim konventionellen Einkaufen, der, weil keine Sensation mehr, längst keine Schlagzeilen mehr macht.

Diese kleine Dokumentation soll Ihnen die Funktionsweise von Netscape's Secure Sockets Layer Technologie (SSL) zur Datenverschlüsselung näherbringen.

Um die Problematik des sicheren Datenaustauschs verständlicher zu machen, bietet sich ein Vergleich mit dem Postversand an. Würde der Kunde seine Kreditkarten-Daten mit Bleistift auf eine Postkarte schreiben und an den Anbieter schicken, so hätte diese Vorgehensweise drei Sicherheitslücken:

1. Es kann nicht garantiert werden, daß die Nummer vollständig und unverändert ankommt (Integrität).
2. Es kann nicht verhindert werden, daß die die Postkarte unterwegs gelesen wird (Geheimhaltung).
3. Es nicht sichergestellt, wer die Postkarte erhält (Authentifizierung).

Die Integrität und die Geheimhaltung könnten bereits durch Verwendung eines Kugelschreibers und eines Briefumschlags gewährleistet werden. Die Authentifizierung des Empfängers ermöglicht der Briefversand per Einschreiben. Der Empfänger belegt durch seine Unterschrift, daß er derjenige ist, an den der Brief gerichtet ist.

Im Internet hat sich die von Netscape entwickelte SSL (Secure Sockets Layer) Technologie durchgesetzt, um die drei Säulen der Datensicherheit zu gewährleisten. SSL befindet sich unterhalb des Applikationsprotokolls (HTTP, Telnet, FTP etc.) und oberhalb der TCP/IP-Schicht. Netscape's SSL-Technologie wird auch von Microsoft's Internet Explorer und anderen modernen Browsern unterstützt.

Selbst die Bank24 setzt für Ihr Internet Home-Banking auf dieses Verfahren, wenn auch in etwas erweiterter Form. Aufgrund von Exportbeschränkungen der USA darf nur ein 40 Bit RC4-Schlüssel für die Authentifizierung und Datenverschlüsselung verwendet werden. Die Bank24 verwendet beispielsweise einen 512 bzw. 128 Bit-Schlüssel. Abgesehen von enorm sicherheitsrelevanten Anwendungen, wie dem Internet-Banking ist jedoch der 40 Bit-Schlüssel vollkommen ausreichend. Immerhin würde man für die Dekodierung einen 64 MIPS-Rechner ein Jahr lang beschäftigen. (1 MIPS = Eine Million Rechenanweisungen pro Sekunde.)

Authentifizierung

Je nach Richtung der Datenübertragung, kann die Authentifizierung vom Server oder vom Benutzer (Client) gefordert werden. Wenn nun, um beim obigen Beispiel zu bleiben, die Kreditkartendaten zum Web-Server des Anbieters übertragen werden sollen, muß sich der Server entsprechend ausweisen (authentifizieren), indem er sein Zertifikat an den WWW-Browser des Benutzers schickt. Sofern dies ein SSL-fähiger Browser ist, kann er das Zertifikat überprüfen.

Jeder Administrator muß, um seinen Server als "Secure Server" betreiben zu können, ein Zertifikat bei einer unabhängigen Behörde (z.B. RSA Certificate Services) beantragen. Kunden unseres Web-Hosting Service können SSL-Übertragungen über unseren Secure Server durchführen ohne ein eigenes Zertifikat besitzen zu müssen. Auch als Internet-Benutzer hat man die Möglichkeit ein persönliches Zertifikat für bestimmte Datentransaktionen zu bekommen. Der Netscape Navigator unterstützt das im Menü Options/Security Preferences.

Datenintegrität und Geheimhaltung

Um die Geheimhaltung zu gewährleisten, wird jeder Datenblock verschlüsselt übertragen. Auch hier wird der 40 Bit RC4-Schlüssel verwendet. Die Datenintegrität wird durch eine Authentifizierung der einzelnen Blöcke (MAC=Message Authentication Code) erreicht. Somit ist sichergestellt, daß auch die richtigen Blöcke unverändert und vollständig beim Empfänger ankommen.

Praktische Anwendung

Der Secure Server (SSL) wird automatisch aktiviert, wenn eine WWW-Seite mit https://, statt mit http:// abgerufen wird. Der Netscape-Navigator meldet die Aktivierung und Deaktivierung des SSL durch ein Dialog-Fenster. Außerdem wird links unten im Bild ein Schlüssel dargestellt, der bei nicht aktiviertem SSL zerbrochen ist.

Technische Details

Eine ausführliche Dokumentation über den Ablauf der Sicherungsmechanismen würde den Rahmen dieser Beschreibung sprengen und ist für den durchschnittlichen Anwender auch nicht unbedingt wichtig. Wer sich trotzdem genauer informieren möchte, findet alle nötigen Informationen auf der Netscape Homepage unter "Netscape Security Solutions".