TLS Authentifizierung: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Authentifzieren == *Zuerst verschlüsselt der Client einen Zufallswert mit dem öffentlichen Schlüssel des Servers. *Dies schickt er zum Server, dieser ent…“)
 
 
Zeile 1: Zeile 1:
 
== Authentifzieren ==
 
== Authentifzieren ==
*Zuerst verschlüsselt der Client einen Zufallswert mit dem öffentlichen Schlüssel des Servers.
+
*Der Client beginnt den Handshake und fordert das Zertifikat an.
*Dies schickt er zum Server, dieser entschlüsselt dies, mit seinem privaten Schlüssel und schickt diesen zurück.
+
*Der Server schickt das '''certifikat-s''' zum Client.
*Wenn beide Werte gleich sind, ist der Client sicher, das der Server den Privat Key hat.
+
*Der Client prüft die Gültigkeit (Ablaufdatum) und den Domain Name (DN-S) des Zertifikats.
*Client greift auf den Server über den Domain Name zu.
+
*Zur Signaturprüfung holt der Client den '''pubkey-ca''' aus seinem Trust Store.
*Server schickt nun das certifikat-s zum Client
+
*Der Client entschlüsselt die Signatur auf dem certifikat-s mit dem '''pubkey-ca''' (Ergebnis: Hash A).
*Client teilt nun dieses wieder auf in pubkey-s und signature-s
+
*Der Client bildet einen Hash (Hash B) über die restlichen Daten des certifikat-s.
*Bildet einen hash aus dem pubkey-s genau wie vorher in der Zertifizierungsstelle.  
+
*Wenn Hash A gleich Hash B, ist das Zertifikat gültig (von einer vertrauenswürdigen CA signiert).
*signature-s wieder mit dem pubkey-ca verschlüsseln haben wir wieder den orginal hash-s  
+
*Um den Besitz des privaten Schlüssels zu beweisen, erzeugt der Server eine '''Signatur über Handshakedaten''' unter Verwendung seines '''privkey-s'''.
*wenn beide gleich sind, ist die Authentifizierung erfolgreich ...
+
*Der Client prüft diese Signatur mit dem '''pubkey-s''' aus dem Zertifikat.
 +
*Ist auch diese Signatur korrekt, ist die Authentifizierung des Servers abgeschlossen und der Schlüsselaustausch folgt.
 
{{#drawio:authentification}}
 
{{#drawio:authentification}}

Aktuelle Version vom 27. November 2025, 15:49 Uhr

Authentifzieren

  • Der Client beginnt den Handshake und fordert das Zertifikat an.
  • Der Server schickt das certifikat-s zum Client.
  • Der Client prüft die Gültigkeit (Ablaufdatum) und den Domain Name (DN-S) des Zertifikats.
  • Zur Signaturprüfung holt der Client den pubkey-ca aus seinem Trust Store.
  • Der Client entschlüsselt die Signatur auf dem certifikat-s mit dem pubkey-ca (Ergebnis: Hash A).
  • Der Client bildet einen Hash (Hash B) über die restlichen Daten des certifikat-s.
  • Wenn Hash A gleich Hash B, ist das Zertifikat gültig (von einer vertrauenswürdigen CA signiert).
  • Um den Besitz des privaten Schlüssels zu beweisen, erzeugt der Server eine Signatur über Handshakedaten unter Verwendung seines privkey-s.
  • Der Client prüft diese Signatur mit dem pubkey-s aus dem Zertifikat.
  • Ist auch diese Signatur korrekt, ist die Authentifizierung des Servers abgeschlossen und der Schlüsselaustausch folgt.
Abgerufen von „http://wiki.ixheim.de/index.php?title=TLS_Authentifizierung&oldid=65887