Cipher Suites Übersicht: Unterschied zwischen den Versionen

Aus Xinux Wiki
Zur Navigation springen Zur Suche springen
(Die Seite wurde neu angelegt: „== Cipher Suites Übersicht == === Überblick === Eine Cipher Suite beschreibt, wie eine gesicherte Verbindung aufgebaut wird. Sie besteht aus Verfahren für…“)
 
 
Zeile 2: Zeile 2:
  
 
=== Überblick ===
 
=== Überblick ===
Eine Cipher Suite beschreibt, wie eine gesicherte Verbindung aufgebaut wird. Sie besteht aus Verfahren für den Schlüsselaustausch, die Verschlüsselung, die Integrität sowie die Authentifizierung.
+
Eine Cipher Suite beschreibt, wie eine gesicherte Verbindung aufgebaut wird. Sie besteht aus Verfahren für den Schlüsselaustausch, die Authentifizierung, die Verschlüsselung sowie die Integritätsprüfung.
  
 
{| class="wikitable"
 
{| class="wikitable"
Zeile 17: Zeile 17:
 
|}
 
|}
  
=== Symmetrische Verschlüsselung ===
+
=== Schlüsselaustausch (Diffie-Hellman) ===
Ein gemeinsamer Schlüssel wird sowohl für die Ver- als auch für die Entschlüsselung verwendet. Dieses Verfahren ist sehr schnell und effizient für den Transport großer Datenmengen.
+
Das Diffie-Hellman-Verfahren ermöglicht den sicheren Austausch eines Schlüssels über eine unsichere Leitung. Es erlaubt den Aufbau eines gemeinsamen Geheimnisses, ohne dass der eigentliche Schlüssel übertragen werden muss.
* '''Vorteil:''' Hohe Performance.
+
* '''Forward Secrecy:''' Bei Verwendung ephemerer Varianten (DHE/ECDHE) bleibt die Kommunikation auch dann geschützt, wenn der private Langzeitschlüssel des Servers später kompromittiert wird.
* '''Nachteil:''' Erfordert einen vorab etablierten sicheren Schlüsselaustausch.
+
* '''Beispiele:''' DHE, ECDHE.
  
'''Beispiele:'''
+
=== Authentifizierung (Asymmetrische Kryptographie) ===
* AES (Advanced Encryption Standard)
+
Hierbei wird ein Schlüsselpaar aus öffentlichem ('''Public Key''') und privatem Schlüssel ('''Private Key''') verwendet, um die Identität des Gegenübers sicherzustellen.
* ChaCha20
+
* '''Verschlüsselung:''' Daten werden mit dem Public Key verschlüsselt und können nur mit dem Private Key gelesen werden.
 +
* '''Signatur:''' Der Absender signiert mit seinem Private Key; der Empfänger prüft die Herkunft mit dem Public Key.
 +
* '''Beispiele:''' RSA, ECDSA, Ed25519.
  
=== Asymmetrische Verschlüsselung ===
+
=== Verschlüsselung (Symmetrische Kryptographie) ===
Es wird ein Schlüsselpaar aus einem öffentlichen Schlüssel ('''Public Key''') und einem privaten Schlüssel ('''Private Key''') verwendet. Da dieses Verfahren rechenintensiv ist, wird es primär für den Schlüsselaustausch und die Authentifizierung eingesetzt.
+
Ein gemeinsamer Sitzungsschlüssel wird sowohl für die Ver- als auch für die Entschlüsselung der eigentlichen Nutzdaten verwendet.
 +
* '''Vorteil:''' Extrem hohe Geschwindigkeit bei der Verarbeitung großer Datenmengen.
 +
* '''Beispiele:''' AES-128-GCM, AES-256-GCM, ChaCha20.
  
==== Verschlüsselung ====
+
=== Integrität (Hash-Funktionen) ===
* Mit dem Public Key wird verschlüsselt.
+
Hash-Funktionen erzeugen aus den übertragenen Datenpaketen einen eindeutigen digitalen Fingerabdruck.
* Nur der Inhaber des Private Keys kann entschlüsseln.
+
* '''Zweck:''' Der Empfänger prüft den Hashwert, um sicherzustellen, dass die Daten auf dem Transportweg nicht verändert wurden.
 +
* '''Beispiele:''' SHA-256, SHA-384.
  
==== Signieren / Prüfen ====
+
=== Zusammenspiel am Beispiel TLS 1.2 ===
* Eine digitale Signatur wird mit dem Private Key erstellt.
+
Ein typischer Aufbau folgt der Namenskonvention: <code>TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384</code>
* Die Prüfung der Echtheit erfolgt durch den Kommunikationspartner mit dem Public Key.
 
  
'''Beispiele:'''
+
# '''ECDHE:''' Der Schlüsselaustausch etabliert den Session-Key mit Perfect Forward Secrecy.
* RSA
+
# '''RSA:''' Das Server-Zertifikat wird asymmetrisch auf Echtheit geprüft.
* ECDSA
+
# '''AES_256_GCM:''' Die Nutzlast wird mit 256-Bit symmetrisch verschlüsselt.
 
+
# '''SHA384:''' Die Hash-Funktion sichert die Integrität der Verbindung.
=== Hash-Funktionen ===
 
Hash-Funktionen wandeln Daten in einen festen Fingerabdruck (Hashwert) um. Diese Funktionen sind mathematisch nicht umkehrbar (Einwegfunktion).
 
* '''Zweck:''' Dient zur Integritätsprüfung, um sicherzustellen, dass Daten nicht verändert wurden.
 
 
 
'''Beispiele:'''
 
* SHA256
 
* SHA384
 
 
 
=== Diffie-Hellman ===
 
Das Diffie-Hellman-Verfahren ermöglicht den sicheren Schlüsselaustausch über unsichere Netzwerke. Es erlaubt den Aufbau eines gemeinsamen Geheimnisses, ohne dass der eigentliche Schlüssel übertragen werden muss.
 
* '''Forward Secrecy:''' Bei Verwendung ephemerer (flüchtiger) Varianten (DHE/ECDHE) ist eine nachträgliche Entschlüsselung aufgezeichneter Datenströme selbst bei Kompromittierung des Server-Keys nicht möglich.
 
 
 
=== Zusammenspiel ===
 
Innerhalb einer Verbindung arbeiten die Komponenten wie folgt zusammen:
 
# '''Diffie-Hellman:''' Erzeugt den gemeinsamen Sitzungsschlüssel (Session Key).
 
# '''Asymmetrische Kryptographie:''' Authentifiziert die Kommunikationspartner (z. B. via RSA-Zertifikat).
 
# '''Symmetrische Kryptographie:''' Verschlüsselt die eigentlichen Nutzdaten mit dem Session Key.
 
# '''Hash:''' Stellt die Integrität der übertragenen Pakete sicher.
 

Aktuelle Version vom 17. März 2026, 06:11 Uhr

Cipher Suites Übersicht

Überblick

Eine Cipher Suite beschreibt, wie eine gesicherte Verbindung aufgebaut wird. Sie besteht aus Verfahren für den Schlüsselaustausch, die Authentifizierung, die Verschlüsselung sowie die Integritätsprüfung.

Bestandteile einer Cipher Suite
Bestandteil Zweck Beispiel
Schlüsselaustausch Aufbau eines gemeinsamen Geheimnisses ECDHE, DHE
Authentifizierung Identität prüfen (z. B. Server) RSA, ECDSA
Verschlüsselung Vertraulichkeit der Daten AES, ChaCha20
Integrität Schutz vor Manipulation SHA256, SHA384

Schlüsselaustausch (Diffie-Hellman)

Das Diffie-Hellman-Verfahren ermöglicht den sicheren Austausch eines Schlüssels über eine unsichere Leitung. Es erlaubt den Aufbau eines gemeinsamen Geheimnisses, ohne dass der eigentliche Schlüssel übertragen werden muss.

  • Forward Secrecy: Bei Verwendung ephemerer Varianten (DHE/ECDHE) bleibt die Kommunikation auch dann geschützt, wenn der private Langzeitschlüssel des Servers später kompromittiert wird.
  • Beispiele: DHE, ECDHE.

Authentifizierung (Asymmetrische Kryptographie)

Hierbei wird ein Schlüsselpaar aus öffentlichem (Public Key) und privatem Schlüssel (Private Key) verwendet, um die Identität des Gegenübers sicherzustellen.

  • Verschlüsselung: Daten werden mit dem Public Key verschlüsselt und können nur mit dem Private Key gelesen werden.
  • Signatur: Der Absender signiert mit seinem Private Key; der Empfänger prüft die Herkunft mit dem Public Key.
  • Beispiele: RSA, ECDSA, Ed25519.

Verschlüsselung (Symmetrische Kryptographie)

Ein gemeinsamer Sitzungsschlüssel wird sowohl für die Ver- als auch für die Entschlüsselung der eigentlichen Nutzdaten verwendet.

  • Vorteil: Extrem hohe Geschwindigkeit bei der Verarbeitung großer Datenmengen.
  • Beispiele: AES-128-GCM, AES-256-GCM, ChaCha20.

Integrität (Hash-Funktionen)

Hash-Funktionen erzeugen aus den übertragenen Datenpaketen einen eindeutigen digitalen Fingerabdruck.

  • Zweck: Der Empfänger prüft den Hashwert, um sicherzustellen, dass die Daten auf dem Transportweg nicht verändert wurden.
  • Beispiele: SHA-256, SHA-384.

Zusammenspiel am Beispiel TLS 1.2

Ein typischer Aufbau folgt der Namenskonvention: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

  1. ECDHE: Der Schlüsselaustausch etabliert den Session-Key mit Perfect Forward Secrecy.
  2. RSA: Das Server-Zertifikat wird asymmetrisch auf Echtheit geprüft.
  3. AES_256_GCM: Die Nutzlast wird mit 256-Bit symmetrisch verschlüsselt.
  4. SHA384: Die Hash-Funktion sichert die Integrität der Verbindung.
Abgerufen von „http://wiki.ixheim.de/index.php?title=Cipher_Suites_Übersicht&oldid=67398