Datenaustausch Webserver => Browser



  • Hallo Leute, jetzt MUSS ich doch nochmal nachhaken .. der SSL-Handshake zwischen server und client!

    1. Client schickt an eine Server eine "HelloServer":
    -Max SSL Protocol version allowed
    -SessionID
    -Set of Cipher Suites
    Set of Compression Methods
    -Random number

    2. Server antworte mit "HelloClient":

    -SSL Protocol Selected
    -SessionID
    -Selected Cipher Suite
    -Selected Compression Method
    -Random Number

    3. Danach der Zertifikat austausch!

    So aber was ich einfach nich verstehen will ist:

    Der client beginnt das Handshake, und schickt dieses in "verschlüsselter" Form!
    WOHER weiß der client zu diesem Zeitpunkt wie das Telegram "HelloServer" verschlüsselt sein muss, damit der Server das versteht!? Beide wissen zu diesem Zeitpunkt ja noch nich den gemeinsamen Schlüssel!!

    Wenn ich jetzt jene x-belibige webseite via https öffne, kenn der browser ja nich den schlüssel mit dem der server auf der anderen seite entschlüsselt!
    Und schickt trozdem ein verschüsseltes telegram. Wie geht das?

    siehe :

    [url]https://www.simple-talk.com/dotnet/.net-framework/tlsssl-and-.net-framework-4.0/

    [/url]


  • Mod

    Das kannst du im Internet easy nachlesen. Aber SSL/TLS ist natürlich jetzt nicht sonderlich Anfängerfreundlich. Es ist eine komplexe Sicherheitsinfrastruktur.

    Vielleicht willst du dir einfach mal eine gute Beschreibung durchlesen wie das abläuft oder aber du akzeptierst es als Blackbox. Da die genauen Vorgänge ja eh irrelevant für dich sind.

    Der SSL Handshake beginnt aber ohne Verschlüsselung. Das ist die Idee eines Handshakes. Sobald der Handshake beendet ist, ist die Verbindung verschlüsselt. Der Tricky Part an dem ganzen ist natürlich einen Handshake zu machen der auch wenn er mitgesnifft wird dennoch eine sichere Verschlüsselung garantiert.

    Welche Verfahren SSL hier verwendet weiß ich zB gar nicht. Du kannst dir aber mal Diffie Hellman ansehen. Das ist ein simpler Handshake Algorithmus der dennoch recht sicher ist. Wenn du ihn verstanden hast wirst du die Verfahren verstehen mit denen SSL arbeitet.

    Aber wie gesagt: wenn es dich interessiert, lies nach. Gibt massig Doku zu dem Thema. zB hier von Microsfort: https://support.microsoft.com/kb/257591/de

    Wenn du dich bei dem Thema aber nicht auskennst ist SSL/TLS einfach der falsche einstieg. Das ist ein hochkomplexes System dass stark parametisierbar ist und viele Features hat die für ein einfaches Verständnis eines Verschlüsselungsverfahren einfach nicht notwendig ist.

    Abgesehen davon ist SSL/TLS auch sicher nicht das schönste Studienobjekt, da es eine Menge altlasten mit sich schleppt.



  • Hey Shade,

    danke für die Antwort:) Generell soll TSL bzw. SSL auch eine Blackbox bleiben, was da passiert is mir egal, hautpsache ich hab nen verschlüsselten stream:)

    Ich hab nur gefragt, weil ich eben die Anfrage des Clients an den Server in meiner server Anwendung (wenn der handshake beginnt) nicht in plain-text sehe, sonder ein bytehaufen. Deswegen dachte ich zuerst: "hää verschlüsselte daten, woher kenn der server den schlüssel um sie zu entschlüsseln" 🙂

    Aber die daten sind wohl bei dem ersten Datenaustauch nich verschlüsselt , sonder einfach nur binär codiert... deswegen war ich irritiert:)

    Danke :)) 😃 🙂


  • Mod

    NullBockException schrieb:

    Ich hab nur gefragt, weil ich eben die Anfrage des Clients an den Server in meiner server Anwendung (wenn der handshake beginnt) nicht in plain-text sehe, sonder ein bytehaufen. Deswegen dachte ich zuerst: "hää verschlüsselte daten, woher kenn der server den schlüssel um sie zu entschlüsseln" 🙂

    Ich kann dir da empfehlen Wireshark zu installieren und dir die Sachen so genau anzusehen.



  • Danke für den Tipp Shade:)


Anmelden zum Antworten