TLS Schlüsselaustausch und Sitzungsschlüssel 1.3: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
| (Eine dazwischenliegende Version desselben Benutzers wird nicht angezeigt) | |||
| Zeile 2: | Zeile 2: | ||
;Supported Versions | ;Supported Versions | ||
* gibt an, welche TLS-Versionen der Client unterstützt | * gibt an, welche TLS-Versionen der Client unterstützt | ||
| − | * bei TLS 1.3 | + | * bei TLS 1.3 wird hier explizit TLS 1.3 angeboten |
| − | * keine klassische Versionsverhandlung mehr wie bei TLS 1.2 | + | * keine klassische Versionsverhandlung mehr wie bei TLS 1.2 (legacy_version ist nur noch ein Platzhalter) |
;Supported Groups | ;Supported Groups | ||
* Liste unterstützter (EC)DHE-Gruppen | * Liste unterstützter (EC)DHE-Gruppen | ||
* z. B. x25519, secp256r1 | * z. B. x25519, secp256r1 | ||
| − | * Gruppen definieren alle kryptographischen Parameter | + | * Gruppen definieren alle kryptographischen Parameter vollständig |
| − | * keine Aushandlung | + | * keine Aushandlung einzelner Parameter wie p oder g |
;Key Share | ;Key Share | ||
| Zeile 24: | Zeile 24: | ||
;(weitere Extensions, z. B. SNI, ALPN) | ;(weitere Extensions, z. B. SNI, ALPN) | ||
* SNI: gibt den gewünschten Ziel-Hostnamen an | * SNI: gibt den gewünschten Ziel-Hostnamen an | ||
| − | * ALPN: | + | * ALPN: listet die vom Client unterstützten Anwendungsprotokolle (z. B. HTTP/2, HTTP/1.1) |
* Extensions sind funktional, nicht kryptographisch zwingend | * Extensions sind funktional, nicht kryptographisch zwingend | ||
* werden im ClientHello unverschlüsselt übertragen | * werden im ClientHello unverschlüsselt übertragen | ||
| Zeile 37: | Zeile 37: | ||
;Key Share | ;Key Share | ||
* enthält den ephemeren DH/ECDH-Public-Key des Servers | * enthält den ephemeren DH/ECDH-Public-Key des Servers | ||
| − | * | + | * verwendet dieselbe Gruppe wie vom Client ausgewählt |
* ermöglicht beiden Seiten die Berechnung des Shared Secret | * ermöglicht beiden Seiten die Berechnung des Shared Secret | ||
* Private Key verbleibt ausschließlich beim Server | * Private Key verbleibt ausschließlich beim Server | ||
| Zeile 59: | Zeile 59: | ||
;Handshake Secret | ;Handshake Secret | ||
* wird aus dem Shared Secret per HKDF abgeleitet | * wird aus dem Shared Secret per HKDF abgeleitet | ||
| − | **HKDF steht für HMAC-based Key Derivation Function | + | ** HKDF steht für HMAC-based Key Derivation Function |
| − | **HKDF ist ein standardisiertes Verfahren zur Schlüsselableitung | + | ** HKDF ist ein standardisiertes Verfahren zur Schlüsselableitung |
* stellt einen internen kryptographischen Zustand dar | * stellt einen internen kryptographischen Zustand dar | ||
* dient als Basis für die Handshake-Verschlüsselung | * dient als Basis für die Handshake-Verschlüsselung | ||
| Zeile 67: | Zeile 67: | ||
* werden aus dem Handshake Secret abgeleitet | * werden aus dem Handshake Secret abgeleitet | ||
* werden niemals übertragen | * werden niemals übertragen | ||
| − | * ab | + | * sind ab EncryptedExtensions aktiv |
;Verschlüsselung aktiv ab jetzt | ;Verschlüsselung aktiv ab jetzt | ||
* alle folgenden Handshake-Nachrichten sind verschlüsselt | * alle folgenden Handshake-Nachrichten sind verschlüsselt | ||
* geschützt mit den Handshake Traffic Keys | * geschützt mit den Handshake Traffic Keys | ||
| + | |||
==Server Handshake Nachrichten (TLS 1.3)== | ==Server Handshake Nachrichten (TLS 1.3)== | ||
| Zeile 78: | Zeile 79: | ||
* wird mit den Handshake Traffic Keys verschlüsselt | * wird mit den Handshake Traffic Keys verschlüsselt | ||
* enthält die vom Server akzeptierten Extensions | * enthält die vom Server akzeptierten Extensions | ||
| − | * z. B. ALPN | + | * z. B. ALPN und weitere verbindungsrelevante Parameter |
| − | * | + | ** ALPN: welches Anwendungsprotokoll der Server ausgewählt hat (z. B. h2 oder http/1.1) |
;Certificate | ;Certificate | ||
| Zeile 139: | Zeile 140: | ||
==TLS 1.3 Verbindung erfolgreich== | ==TLS 1.3 Verbindung erfolgreich== | ||
* 1-RTT-Handshake abgeschlossen | * 1-RTT-Handshake abgeschlossen | ||
| − | * | + | * Server ist kryptographisch authentifiziert |
| + | * Client ist über den Handshake implizit bestätigt | ||
* Application Traffic Keys sind aktiv | * Application Traffic Keys sind aktiv | ||
* geschützte Anwendungsdaten können übertragen werden | * geschützte Anwendungsdaten können übertragen werden | ||
| + | |||
{{#drawio:tls-1.3}} | {{#drawio:tls-1.3}} | ||
Aktuelle Version vom 3. Februar 2026, 12:02 Uhr
Client Hello
- Supported Versions
- gibt an, welche TLS-Versionen der Client unterstützt
- bei TLS 1.3 wird hier explizit TLS 1.3 angeboten
- keine klassische Versionsverhandlung mehr wie bei TLS 1.2 (legacy_version ist nur noch ein Platzhalter)
- Supported Groups
- Liste unterstützter (EC)DHE-Gruppen
- z. B. x25519, secp256r1
- Gruppen definieren alle kryptographischen Parameter vollständig
- keine Aushandlung einzelner Parameter wie p oder g
- Key Share
- enthält den ephemeren DH/ECDH-Public-Key des Clients
- Private Key verbleibt ausschließlich beim Client
- Grundlage für die spätere Berechnung des Shared Secret
- ermöglicht den 1-RTT-Handshake
- Client Random
- 32 Byte Zufallswert
- fließt in die Schlüsselableitung ein
- erhöht die Entropie des Handshakes
- (weitere Extensions, z. B. SNI, ALPN)
- SNI: gibt den gewünschten Ziel-Hostnamen an
- ALPN: listet die vom Client unterstützten Anwendungsprotokolle (z. B. HTTP/2, HTTP/1.1)
- Extensions sind funktional, nicht kryptographisch zwingend
- werden im ClientHello unverschlüsselt übertragen
Server Hello
- Selected Version
- Server bestätigt die zu verwendende TLS-Version
- in diesem Fall TLS 1.3
- keine weitere Versionsverhandlung mehr
- Key Share
- enthält den ephemeren DH/ECDH-Public-Key des Servers
- verwendet dieselbe Gruppe wie vom Client ausgewählt
- ermöglicht beiden Seiten die Berechnung des Shared Secret
- Private Key verbleibt ausschließlich beim Server
- Server Random
- 32 Byte Zufallswert des Servers
- fließt in die Schlüsselableitung ein
- ergänzt den Client Random zur Entropieerzeugung
Handshake Secret
- Shared Secret
- wird nach Empfang des ServerHello lokal berechnet
- basiert auf ephemerem (EC)DH
- beide Seiten nutzen:
- eigenen Private Key
- fremden Public Key
- Ergebnis ist auf beiden Seiten identisch
- wird niemals übertragen
- Handshake Secret
- wird aus dem Shared Secret per HKDF abgeleitet
- HKDF steht für HMAC-based Key Derivation Function
- HKDF ist ein standardisiertes Verfahren zur Schlüsselableitung
- stellt einen internen kryptographischen Zustand dar
- dient als Basis für die Handshake-Verschlüsselung
- Handshake Traffic Keys
- werden aus dem Handshake Secret abgeleitet
- werden niemals übertragen
- sind ab EncryptedExtensions aktiv
- Verschlüsselung aktiv ab jetzt
- alle folgenden Handshake-Nachrichten sind verschlüsselt
- geschützt mit den Handshake Traffic Keys
Server Handshake Nachrichten (TLS 1.3)
- EncryptedExtensions
- erste verschlüsselte TLS-Nachricht des Servers
- wird mit den Handshake Traffic Keys verschlüsselt
- enthält die vom Server akzeptierten Extensions
- z. B. ALPN und weitere verbindungsrelevante Parameter
- ALPN: welches Anwendungsprotokoll der Server ausgewählt hat (z. B. h2 oder http/1.1)
- Certificate
- Übertragung der Server-Zertifikatskette
- vollständig verschlüsselt
- Zertifikat enthält:
- den öffentlichen Schlüssel des Servers
- Identitätsinformationen
- die Signatur der ausstellenden CA
- Client nutzt das Zertifikat zur Authentizitätsprüfung
- CertificateVerify
- Server signiert den bisherigen Handshake-Transcript
- Signatur erfolgt mit dem privaten Schlüssel des Servers
- der zugehörige öffentliche Schlüssel befindet sich im Zertifikat
- beweist die Kontrolle über den Private Key
- schützt vor Man-in-the-Middle-Angriffen
- Finished
- verschlüsselte Prüfsumme über den gesamten bisherigen Handshake
- berechnet mit dem Handshake Traffic Key
- bestätigt die Integrität aller vorherigen Handshake-Nachrichten
- Abschluss der Server-Seite des TLS-1.3-Handshakes
Client prüft Server
- Zertifikatsprüfung
- Client prüft die Server-Zertifikatskette
- Signatur der Zertifikate wird mit dem Public Key der CA verifiziert
- Vertrauenskette endet bei einer bekannten Root-CA
- Gültigkeitszeitraum und Zertifikatsattribute werden geprüft
- Ergebnis: der öffentliche Schlüssel des Servers ist vertrauenswürdig
- CertificateVerify Prüfung
- Client verifiziert die CertificateVerify-Signatur
- verwendet den öffentlichen Schlüssel aus dem Server-Zertifikat
- überprüft die Signatur über den bisherigen Handshake-Transcript
- stellt sicher, dass der Server den zugehörigen Private Key besitzt
- Ergebnis: der Server kontrolliert den privaten Schlüssel zum Zertifikat
Client Finished
- Finished
- Client berechnet die Finished-Prüfsumme
- basiert auf dem bisherigen Handshake-Transcript
- wird mit dem Handshake Traffic Key verschlüsselt
- bestätigt die Integrität des gesamten Handshakes
- signalisiert dem Server den erfolgreichen Abschluss
Application Traffic Keys
- Application Traffic Keys
- werden nach erfolgreichem Client Finished aktiviert
- werden aus den Application Traffic Secrets abgeleitet
- entsprechen dem umgangssprachlichen Sitzungsschlüssel
- existieren ausschließlich lokal auf Client und Server
TLS 1.3 Verbindung erfolgreich
- 1-RTT-Handshake abgeschlossen
- Server ist kryptographisch authentifiziert
- Client ist über den Handshake implizit bestätigt
- Application Traffic Keys sind aktiv
- geschützte Anwendungsdaten können übertragen werden
![Bearbeiten](javascript:editDrawio("923809175", "tls-1.3.drawio.png", "png", false, false, false, true, "https://embed.diagrams.net")){kind=link}