TLS Handshake?

Fragen, Ideen oder Lob zum AB-Treff.
ERSTER BEITRAG DES THEMAS
Benutzeravatar
Einsamer Igel
Eins mit dem Forum
Beiträge: 10970
Registriert: 29 Nov 2012 16:57
Geschlecht: weiblich
Ich bin ...: vergeben.
Wohnort: Schuschiheim

TLS Handshake?

Beitrag von Einsamer Igel »

Das wird mir neuerdings immer angezeigt, wenn ich den AB Treff aufrufe. Was bedeutet das?

http://www.kryptowissen.de/transport-la ... e-protocol
Das Handshake-Protokoll beginnt mit einem ClientHello vom Client an den Server. Darin ist eine Liste an Cipher Suites enthalten, eine 32 Byte lange Nonce des Clients (28 Byte Zufallszahl + 7 Byte aktuelle Zeit des Client) sowie eine Sitzungsnummer für eine evtl. spätere Sitzungswiederaufnahme. Zusätzlich wir eine Liste an Komprimierungsalgorithmen gesendet, die der Client unterstützt.
Ist für mich nur kryptisch. Sitzungswiederaufnahme würde FÜR MICH bedeuten, dass ich bei erneutem Aufrufen der AB Treff Seite auch wieder eingeloggt bin. Ich muss mich aber jedes Mal erneut einloggen. Ob ich da ein Kreuzchen mache bei "eingeloggt bleiben" ist völlig egal. :roll:

Kann mir jemand erklären, was dieses TLS Handshake tatsächlich für Funktionen hat (so dass ich es verstehe)? ;)

ERSTER BEITRAG DES THEMAS
schmog

Re: TLS Handshake?

Beitrag von schmog »

Ich bin immer eingeloggt. 8-) ;)
Volta
Keiner schreibt schneller
Beiträge: 2562
Registriert: 04 Apr 2016 19:47
Geschlecht: männlich
AB-Status: AB Vergangenheit
Ich bin ...: nur an Frauen interessiert.
Wohnort: Berlin

Re: TLS Handshake?

Beitrag von Volta »

Bei "TLS Handshake" geht es um die Verschlüsselung der Kommunikation zwischen deinem Computer und dem AB-Treff Server. Das hat mit deinem Einloggen hier nichts zu tun.

Also erst kommuniziert der Server mit deinem Computer, um die Verschlüsselung sicherzustellen.
Dann werden über diesen verschlüsselten Kommunikationskanal Informationen ausgetauscht, um dich automatisch einzuloggen. Zumindest, wenn alles klappt...

Ich hoffe, das macht es etwas klarer, dass das zwei Ebenen der Kommunikation sind, die sich nicht beeinflussen (sollten).

Wo wird dir denn "TLS Handshake" angezeigt?
Benutzeravatar
Versingled
Meisterschreiberling
Beiträge: 6394
Registriert: 18 Jan 2015 11:37
Geschlecht: männlich
AB-Status: AB
Ich bin ...: unfassbar.
Wohnort: 48°43'31.23"N, 9°11'38.61"E, 436m über NN + 12 Etagen

Re: TLS Handshake?

Beitrag von Versingled »

Einsamer Igel hat geschrieben: Ist für mich nur kryptisch. Sitzungswiederaufnahme würde FÜR MICH bedeuten, dass ich bei erneutem Aufrufen der AB Treff Seite auch wieder eingeloggt bin. Ich muss mich aber jedes Mal erneut einloggen. Ob ich da ein Kreuzchen mache bei "eingeloggt bleiben" ist völlig egal. :roll:
Kann es sein, dass Du Cookies generell blockierst?
Zukünftig hauptsächlich im https://www.ab-forum.de zu finden.
Benutzeravatar
Einsamer Igel
Eins mit dem Forum
Beiträge: 10970
Registriert: 29 Nov 2012 16:57
Geschlecht: weiblich
Ich bin ...: vergeben.
Wohnort: Schuschiheim

Re: TLS Handshake?

Beitrag von Einsamer Igel »

Ich glaube, nur fast alle. Ich müsste die AB Treff Cookies erlauben, um eingeloggt zu bleiben, hm? ;)
Kann ich nachher mal machen.
orthonormal

Re: TLS Handshake?

Beitrag von orthonormal »

Ja, das hat mit der gesicherten Verbindung zu tun. Was wird dir genau angezeigt, und wann und wo?
Benutzeravatar
Versingled
Meisterschreiberling
Beiträge: 6394
Registriert: 18 Jan 2015 11:37
Geschlecht: männlich
AB-Status: AB
Ich bin ...: unfassbar.
Wohnort: 48°43'31.23"N, 9°11'38.61"E, 436m über NN + 12 Etagen

Re: TLS Handshake?

Beitrag von Versingled »

Einsamer Igel hat geschrieben:Ich glaube, nur fast alle. Ich müsste die AB Treff Cookies erlauben, um eingeloggt zu bleiben, hm? ;)
Kann ich nachher mal machen.
Das sollte eigentlich helfen.
Zukünftig hauptsächlich im https://www.ab-forum.de zu finden.
Benutzeravatar
Einsamer Igel
Eins mit dem Forum
Beiträge: 10970
Registriert: 29 Nov 2012 16:57
Geschlecht: weiblich
Ich bin ...: vergeben.
Wohnort: Schuschiheim

Re: TLS Handshake?

Beitrag von Einsamer Igel »

orthonormal hat geschrieben:Ja, das hat mit der gesicherten Verbindung zu tun. Was wird dir genau angezeigt, und wann und wo?
Um das nachzulesen, musste ich mich nochmal ausloggen. ;)
Also links unten kommt für eine Sekunde eine Statuseinblendung, wenn ich die Seite AB Treff aufrufe (nicht eingeloggt).
https: //www.abtreff.de/search.php?search_id=active_topics (Ich habe die Seite mit den neuen Beiträgen als Lesezeichen gesetzt)
TLS-Handshake durchführen mit http: //www.abtreff.de
Übertragen der Daten von http: //www.abtreff.de
http: //www.abtreff.de gelesen
Wenn ich bereits eingeloggt bin, dann wird mir da lediglich nochmal die Adresse der neu aufgerufenen Seite kurz angezeigt.
Mit müden Augen
Bringt jede Tastatur zum Glühen
Beiträge: 8851
Registriert: 24 Apr 2015 18:22
Geschlecht: männlich
AB-Status: Hardcore AB
Ich bin ...: nur an Frauen interessiert.

Re: TLS Handshake?

Beitrag von Mit müden Augen »

Einsamer Igel hat geschrieben:
orthonormal hat geschrieben:Ja, das hat mit der gesicherten Verbindung zu tun. Was wird dir genau angezeigt, und wann und wo?
Um das nachzulesen, musste ich mich nochmal ausloggen. ;)
Also links unten kommt für eine Sekunde eine Statuseinblendung, wenn ich die Seite AB Treff aufrufe (nicht eingeloggt).
https: //www.abtreff.de/search.php?search_id=active_topics (Ich habe die Seite mit den neuen Beiträgen als Lesezeichen gesetzt)
TLS-Handshake durchführen mit http: //www.abtreff.de
Übertragen der Daten von http: //www.abtreff.de
http: //www.abtreff.de gelesen
Wenn ich bereits eingeloggt bin, dann wird mir da lediglich nochmal die Adresse der neu aufgerufenen Seite kurz angezeigt.
Das sind die Statusmeldungen vom Firefox, das ist normal, kannst du ignorieren. Irgendwo lässt sich die Anzeige sicher auch abschalten wenn es stört.
Achja, keine Ahnung warum das nicht immer erscheint aber wie gesagt, das ist ohnehin normal, also kein Grund da groß drüber nachzudenken. ;)
der Himmel brennt, die Engel fliehen
Benutzeravatar
Einsamer Igel
Eins mit dem Forum
Beiträge: 10970
Registriert: 29 Nov 2012 16:57
Geschlecht: weiblich
Ich bin ...: vergeben.
Wohnort: Schuschiheim

Re: TLS Handshake?

Beitrag von Einsamer Igel »

Es stört und beunruhigt mich nicht. Es macht mich neugierig! Ich will wissen, was das ist!
Mit müden Augen
Bringt jede Tastatur zum Glühen
Beiträge: 8851
Registriert: 24 Apr 2015 18:22
Geschlecht: männlich
AB-Status: Hardcore AB
Ich bin ...: nur an Frauen interessiert.

Re: TLS Handshake?

Beitrag von Mit müden Augen »

Dann kannst du hier lesen, aber ich vermute weit wirst du nicht kommen bevor du einschläfst. ;)

edit: Ich sehe gerade du hattest schon nachgeguckt. Du verwechselt die "Sitzung" im Forum == eingeloggt sein mit dem internen Kram von diesem Protokoll, das hat aber nichts miteinander zu tun!
der Himmel brennt, die Engel fliehen
Benutzeravatar
Einsamer Igel
Eins mit dem Forum
Beiträge: 10970
Registriert: 29 Nov 2012 16:57
Geschlecht: weiblich
Ich bin ...: vergeben.
Wohnort: Schuschiheim

Re: TLS Handshake?

Beitrag von Einsamer Igel »

Ok, das dachte ich mir eh schon. Ich hoffe ja noch auf eine verständliche Erklärung, was es mit TLS auf sich hat. Oder lasst ihr mich dumm sterben? :crybaby:
Mit müden Augen
Bringt jede Tastatur zum Glühen
Beiträge: 8851
Registriert: 24 Apr 2015 18:22
Geschlecht: männlich
AB-Status: Hardcore AB
Ich bin ...: nur an Frauen interessiert.

Re: TLS Handshake?

Beitrag von Mit müden Augen »

TLS ist das was für das 's' in "https" zuständig ist, also das Protokoll (so eine Art "Sprache") das dafür sorgt dass die Daten zwischen dem Server vom AB-Forum und deinem PC verschlüsselt durchs Internet sausen.
Wie das jetzt genau funktioniert kann ich dir nicht sagen weil ich es selber nicht weiß. :oops: Es ist hochkompliziert und basiert auf symmetrischer und asymmetrischer Kryptographie (==vieeeel Mathematik), Diffie-Hellman-Schlüsseltausch, kryptographisch sicheren Hashfunktionen und anderen Sachen.
Beim "Handshake" vereinbaren dein PC und der Forenserver erstmal mit Hilfe asymmetrischer Verfahren einen geheimen Schlüssel (das was Laien als "Passwort" bezeichnen) mit dem die zu übertragenden Daten verschlüsselt werden (mit einem symmetrischen Algorithmus weil diese effizienter sind, hier auf meinem PC ist es gerade AES128 und ich vermute es wird immer AES sein, das ist der stärkste symmetrische Algorithmus den es gibt meines Wissens). Das benutzte Verfahren garantiert dabei dass jemand der den Datenverkehr mitliest (das Internet ist ein unsicherer Kanal oder wie das auch in Fachsprache heissen mag) das Passwort den Schlüssel :oops: nicht kennt, dieser wird nämlich niemals übertragen! Klingt paradox aber funktioniert. :daumen: Basiert meines Wissens auf Primzahlen und der Tatsache dass es total einfach ist zwei riesige (Prim)zahlen zu multiplizieren aber verdammt kompliziert/aufwändig das Ergebnis wieder in die Primzahlen zu zerlegen (faktorisieren). Wobei es gut möglich ist dass mittlerweile andere Prinzipien/Grundlagen für die aktuellen Protokolle verwendet werden, ich kenne mich da wie gesagt nicht aus.

orthonormal und Co. mögen mich korrigieren wenn nötig...

Nochmal Edit: Es gibt diverse Varianten um eine sichere Verbindung aufzubauen, was gerade genau benutzt wird zeigt Firefox wenn man oben das Schloss anklickt, den Pfeil nach rechts und dann "weitere Informationen". Hier ist es gerade TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256.
Ich rate(!) mal: TLS ist klar, ECDHE müsste Diffie-Hellman mit elliptischen Kurven oder so sein (was auch immer das jetzt ist, fragen Sie einen Mathematiker :roll: ), RSA ist der asymmetrische Algorithmus der beim Handshake verwendet wird, AES128 ist wie gesagt der symmetrische Algorithmus für die eigentliche(n) Datenübertragung(en), GCM == gallois counter mode oder so == "Betriebsart" von AES und SHA256 ist die kryptographisch sichere Hashfunktion die auch irgendwo gebraucht wird. Waaah! :specht: :gruebel: :gruebel:
der Himmel brennt, die Engel fliehen
Don Rosa

Re: TLS Handshake?

Beitrag von Don Rosa »

Einsamer Igel hat geschrieben:Ok, das dachte ich mir eh schon. Ich hoffe ja noch auf eine verständliche Erklärung, was es mit TLS auf sich hat.
Ich versuche, das mal für Kleinsäugetiere zu erklären:
Bei TLS geht es um zwei Aspekte, nämlich das kein anderer lauschen kann und das du sicher gehen kannst, auch mit dem gewünschten Partner zu kommunizieren und sich niemand dazwischen gehängt hat.
Das Lauschen wird dadurch verhindert, dass beide Kommunikationspartner sich auf einen gemeinsamen Schlüssel für die symmetrische Verschlüsselung einigen. Dafür gibt es z.B. den Diffie-Hellman-Schlüsselaustausch. Ein bisschen sehr vereinfacht: Beide Partner (traditionell Alice und Bob genannt) würfeln je eine Zahl aus (Alice a und Bob b) und schicken sie dem Partner. Damit kennt jeder Partner die beiden Zahlen a und b. In Wirklichkeit wird mehr geschickt und noch ein bisschen Mathemagie mit Primzahlen und Divisionsresten gemacht. Jedenfalls ist das alles öffentlich und ein lauschender Angreifer (trad. Eve :coolgun: ) kennt nur ein Teil der Zahlen, die er braucht, um den ausgehandelten Schlüssel zwischen Alice und Bob zu ermitteln. Das Verfahren verhindert noch nicht, dass Eve die Rolle von Bob für Alice vorspielt und genauso Alice für Bob simuliert (Man-in-middle-Angriff).
Um das zu verhindern, kommen jetzt die Zertifikate (X.509 Standard) ins Spiel. Das ist so etwas wie ein Personalausweis. Wenn du sicher gehen willst, ob du wirklich Erika Mustermann gegenüber stehst, dann lässt du dir den Personalausweis zeigen. du vergleichst dann das Bild mit ihrem Gesicht und du prüfst, ob der Ausweis echt ist, also von der Bundesdruckerei stammt. Wenn du nun im Browser https://www.abtreff.de eingibst, dann liefert der Server ein Zertifikat aus. Der Browser vergleicht den aufgerufenen Servernamen (http://www.abtreff.de) mit dem im Zertifikat und schaut auch, ob das Zertifikat von einer vertrauenswürdigen Stelle unterschrieben ist. Zertifikate enthalten noch den öffentlichen Schlüssel des Inhabers (wurde beim Beantragen des Zertifikats ermittelt). Dein Browser stellt jetzt dem Server eine Aufgabe, nämlich eine Zufallszahl z mit dem privaten Schlüssel des Servers zu verschlüsseln (y=priv(z)). Da nur http://www.abtreff.de den privaten Schlüssel hat, funktioniert auch die Entschlüsselung (x=pub(y), bekannt aus dem Zertifikat) in deinem Browser und das Ergebnis ist wieder die Zufallszahl (x=z). Damit ist jetzt sichergestellt, dass du wirklich mit dem Besitzer des vorgezeigten Zertifikats kommunizierst.
Jetzt kann Eve hingehen und dein Internetzugang manipulieren und https://www.abtreff.de wird nach https://www.eve.de umgeleitet. https://www.eve.de benutzt das gleiche Zertifikat wie https://www.abtreff.de, da der Server https://www.abtreff.de es jedem Browser zur Prüfung übermittelt. Eve hat aber nicht den privaten Schlüssel, so dass die Prüfung durch deinem Browser (ist z=pub(priv(z))?) nicht funktioniert und Eve ist aufgeflogen.

Symmetrische Verschlüsselung (z.B. AES, IDEA): Der selbe Schlüssel kann zum Ver- und wieder Entschlüsseln benutzt werden. Die eingesetzten Verschlüsselungsverfahren sind schneller als die asymmetrischen.
Asymmetrische Verschlüsselung (z.B. RSA, elliptische Kurven): Es gibt einen Schlüssel zum Verschlüsseln und einen zum Entschlüsseln. Einer der beiden ist öffentlich, der andere private muss geheim bleiben. Natürlich muss es unmöglich sein, den privaten Schlüssel aus dem öffentlichen Schlüssel zu errechnen. Wird in Zertifikaten benutzt, man kann damit digital signieren und Mails verschlüsseln.

Falls du noch nicht eingeschlafen bist, hier noch die Beziehungsproblematik zwischen Alice und Bob: xkcd 177
Benutzeravatar
Einsamer Igel
Eins mit dem Forum
Beiträge: 10970
Registriert: 29 Nov 2012 16:57
Geschlecht: weiblich
Ich bin ...: vergeben.
Wohnort: Schuschiheim

Re: TLS Handshake?

Beitrag von Einsamer Igel »

Vielen Danke euch beiden! :D :hut:

Zurück zu „Kommentare und Fragen zum Forum“