Inhalt

Vorwort

Einführung

Sicherheitskonzepte

Anhang

Der folgende Abschnitt beschäftigt sich näher mit einer Auswahl existierender Technologien für die Realisierung des elektronischen Bezahlens mittels Kreditkarten.

Das Secure Socket Layer (SSL) Protokoll wurde von der Firma Netscape erstmals im Jahr 1994 vorgestellt und existiert nach einigen Modifikationen mittlerweile als Version 3.0. Es handelt sich hierbei um ein Sicherheitsprotokoll welches zwischen der Netzwerk- und der Applikationsebene der TCP/IP Protokoll Suite zum tragen kommt. Es wurde so konzipiert, das jedes Protokoll der Transportschicht um einen "sicheren Kanal" erweitert werden kann, welcher eine sichere Verbindung zwischen einer Client- und einer Serveranwendung ermöglicht und eine Authentifizierung von Server und Client (optional) gestattet. Da die Anwendungsschicht nicht betroffen sind, können somit jegliche Anwendungen ohne Veränderung ihrer spezifischen Protokolle von diesem Sicherheitsmechanismus Gebrauch machen. [RDH98] SSL bietet desweiteren die Grundlage für das Transport Layer Security (TLS) Protokoll, welches von der Internet Engineering Task Force veröffentlicht wurde. Das Ziel des SSL ist insbesondere die Nutzung für elektronische Zahlungsvorgänge im Internet.

Das Protokoll verwendet Mechanismen wie Public Key Verfahren, Zertifikate und symmetrische Verschlüsselung nach verschiedensten Algorithmen (DES, MD5, RSA,...).

Zu Beginn einer jeden Verbindung erfolgen eine Reihe von Schritten, welche einerseits eine Authentifikation des Servers gegenüber dem Client bzw. des Clients gegenüber dem Server (optional) ermöglichen und andererseits die Voraussetzungen für die weitere Kommunikation schaffen. Dabei einigen sich Client und Server auf die zu verwendenden Protokollversionen und Verschlüsselungsverfahren. [RDH98] Der Ablauf dieses "Handshakes" stellt sich etwa folgendermaßen dar:

Schritt 1: "client hello"
Der Client sendet zum Server eine initiale Nachricht, welche unter anderem die verwendete Versionsnummer, eine Sitzungsnummer und das gewünschte Verschlüsselungsverfahren enthält.

Schritt 2: "server hello"
Der Server antwortet nun mit einer Nachricht welche unter anderem die Versionsnummer sowie das zu verwendende Verschlüsselungs- und Kompressionsverfahren enthält.

Schritt 3: "server certificate"
Ist eine Zertifizierung des Servers gewünscht (Normalfall), sendet dieser im Anschluß das entsprechende Zertifikat, dessen Typ normalerweise ein X.509 Zertifikat ist.

Schritt 4: "server key exchange"
Nun übermittelt der Server die Parameter für das zu verwendende Verschlüsselungsverfahren.

Schritt 5: "certificate request"
In diesem optionalen Schritt kann der Server vom Client ebenfalls ein Zertifikat anfordern.

Schritt 6: "server hello done"
Mit dieser Nachricht signalisiert der Server das Ende seiner Übertragung.

Schritt 7: "client certificate" (optional)
Wurde vom Client ein Zertifikat angefordert, kann dieser es nun übermittelt. Besitzt er kein Zertifikat so kann er dies dem Server mit einer "no certificate" Nachricht beantworten, woraufhin dieser die Kommunikation abbrechen kann.

Schritt 8: "client key exchange"
Im folgenden Schritt übermittelt der Client analog zum Server vorher seine Parameter für das gewählte Verschlüsselungsverfahren.

Schritt 9: "certificate verify"
Mit dieser Nachricht bestätigt der Client das Zertifikat des Servers.

Schritt 10: "finished"
Diese abschließende Nachricht des Clients beinhaltet noch einmal einen digitalen Fingerandruck des gesamten Protokolls, mit dessen Hilfe der Server dessen Integrität prüfen kann. Anschließend kann eine Kommunikation auf der Applikationsebene beginnen.

Zum Zweck der Authentifizierung verwalten sowohl Client als auch Server eine Liste anerkannter Zertifizierungsstellen (CA) und besitzen selbst Zertifikate. Die voreingestellte Zertifizierungstelle für Netscape und eine Reihe gleichartiger Produkte ist die Firma VeriSign. SSL wird unter anderem von dem Netscape Browser (Client-Seite) sowie den Netscape Enterprise Produkten unterstützt.