If you're seeing this message, it means we're having trouble loading external resources on our website.

Wenn du hinter einem Webfilter bist, stelle sicher, dass die Domänen *. kastatic.org und *. kasandbox.org nicht blockiert sind.

Hauptinhalt

Transport Layer Security (TLS)

Computer senden Datenpakete durch das Internet. Diese Pakete sind wie Briefe in einem Briefumschlag: Ein Beobachter kann die Daten darin leicht lesen. Wenn es sich bei den Daten um öffentliche Informationen wie einen Nachrichtenartikel handelt, ist das keine große Sache. Aber wenn es sich bei den Daten um ein Passwort, eine Kreditkartennummer oder eine vertrauliche E-Mail handelt, ist es riskant, dass jeder diese Daten sehen kann.
Das Transport Layer Security (TLS)-Protokoll fügt eine zusätzliche Sicherheitsebene zu den TCP/IP-Transportprotokollen hinzu. TLS verwendet sowohl die symmetrische Verschlüsselung als auch die Public-Key-Verschlüsselung für die sichere Übertragung privater Daten und fügt zusätzliche Sicherheitsmerkmale wie Authentifizierung und Erkennung von Nachrichtenmanipulationen hinzu.
TLS fügt dem Prozess der Datenübertragung mit TCP/IP mehr Schritte hinzu, so dass es die
oder Verzögerung bei der Internetkommunikation erhöht. Die Sicherheitsvorteile sind die zusätzliche Latenzzeit jedoch oft wert.
(Beachte, dass TLS ein älteres Protokoll namens SSL abgelöst hat, daher werden die Begriffe TLS und SSL oft synonym verwendet.)

Von Anfang bis Ende

Gehen wir den Prozess der sicheren Datenübertragung mit TLS von einem Computer zum anderen durch. Wir nennen den sendenden Computer den Client und den empfangenden Computer den Server.

TCP-Handshake

Da TLS auf TCP/IP aufbaut, muss der Client zuerst den 3-way TCP handshake mit dem Server abschließen.

TLS-Einführung

Der Client muss dem Server mitteilen, dass er eine TLS-Verbindung anstelle der unsicheren Standardverbindung wünscht, also sendet er eine Nachricht, in der er angibt, welche TLS-Protokollversion und Verschlüsselungstechniken er verwenden möchte.

Server-Bestätigung des Protokolls

Wenn der Server die vom Client angeforderten Technologien nicht unterstützt, bricht er die Verbindung ab. Das kann passieren, wenn ein moderner Client versucht, mit einem älteren Server zu kommunizieren.
Solange der Server die angeforderte TLS-Protokollversion und andere Optionen unterstützt, antwortet er mit einer Bestätigung und einem digitalen Zertifikat, das seinen öffentlichen Schlüssel enthält.

Zertifikatsüberprüfung

Das digitale Zertifikat des Servers ist die Art des Servers zu sagen: "Ja, ich bin wirklich der, für den du mich hältst". Wenn der Client nicht glaubt, dass das Zertifikat echt ist, bricht er die Verbindung ab, da er keine privaten Daten an einen Betrüger senden möchte.
Andernfalls fährt der Client, wenn er das Zertifikat verifizieren kann, mit dem nächsten Schritt fort.

Gemeinsame Schlüsselgenerierung

Der Client kennt jetzt den öffentlichen Schlüssel des Servers, so dass er theoretisch die Verschlüsselung mit dem öffentlichen Schlüssel verwenden kann, um Daten zu verschlüsseln, die der Server dann mit seinem entsprechenden privaten Schlüssel entschlüsseln kann.
Die Verschlüsselung mit öffentlichen Schlüsseln braucht jedoch viel mehr Zeit als die symmetrische Verschlüsselung, weil die Rechenoperationen schwieriger sind. Wenn möglich, bevorzugen Computer die symmetrische Verschlüsselung, um Zeit zu sparen.
Zum Glück können sie das! Die Computer können zuerst die Verschlüsselung mit öffentlichen Schlüsseln verwenden, um einen gemeinsamen Schlüssel zu erstellen, und dann können sie in zukünftigen Nachrichten die symmetrische Verschlüsselung mit diesem Schlüssel verwenden.
Der Client beginnt diesen Prozess, indem er eine Nachricht an den Server mit einem Pre-Master-Schlüssel sendet, der mit dem öffentlichen Schlüssel des Servers verschlüsselt ist. Der Client berechnet den gemeinsamen Schlüssel auf der Grundlage dieses Pre-Master-Schlüssels (da dies sicherer ist als die Übermittlung des eigentlichen gemeinsamen Schlüssels) und speichert den gemeinsamen Schlüssel lokal.
Der Client sendet außerdem eine "Finished"-Nachricht, deren Inhalt mit dem gemeinsamen Schlüssel verschlüsselt wird.

Server-Bestätigung des gemeinsamen Schlüssels

Der Server kann nun den gemeinsamen Schlüssel auf der Grundlage des Pre-Master-Schlüssels berechnen und versuchen, die Nachricht "Finished" mit diesem Schlüssel zu entschlüsseln. Wenn das nicht gelingt, bricht er die Verbindung ab.
Solange der Server die Nachricht des Clients mit dem gemeinsamen Schlüssel erfolgreich entschlüsseln kann, sendet er eine Bestätigung und seine eigene "Fertig"-Nachricht mit verschlüsseltem Inhalt mit.

Sichere Daten senden

Zum Schluss sendet der Client die privaten Daten mit Hilfe der symmetrischen Verschlüsselung und des gemeinsamen Schlüssels sicher an den Server.
Oft muss ein und derselbe Client mehrmals Daten an einen Server senden, z. B. wenn ein Benutzer auf mehreren Seiten einer Website Formulare ausfüllt. In diesem Fall können die Computer ein abgekürztes Verfahren verwenden, um die sichere Sitzung aufzubauen.
Prüfe dein Verständnis
Wie du gesehen hast, müssen beide Computer viele Schritte durchlaufen, um eine sichere Kommunikation mit TLS einzurichten.
Vervollständige die Liste der folgenden Schritte:
  1. Client und Server schließen TCP-Handshake ab
  2. Client sendet Daten verschlüsselt mit gemeinsamem Schlüssel

TLS überall

TLS wird für viele Formen der sicheren Kommunikation im Internet verwendet, z. B. für den sicheren E-Mail-Versand und den sicheren Datei-Upload. Am bekanntesten ist TLS jedoch für das sichere Surfen auf Webseiten (HTTPS).
TLS bietet eine sichere Schicht über TCP/IP, da es sowohl öffentliche Schlüssel als auch symmetrische Verschlüsselung verwendet, und ist zunehmend notwendig, um private Daten im Internet zu schützen.
🙋🏽🙋🏻‍♀️🙋🏿‍♂️Hast du Fragen zu diesem Thema? Wir antworten gerne — stelle sie einfach unten!

Willst du an der Diskussion teilnehmen?

Noch keine Beiträge.
Verstehst du Englisch? Klick hier, um weitere Diskussionen auf der englischen Khan Academy Seite zu sehen.