warum ist https sicher?
https daten vom server sind ja encrypted, und nur der empfänger hat den schlüssel dafür (glaube ich jedenfalls), aber woher hat der empfänger denn den schlüssel?
bzw. wie bekommt der empfänger den schlüssel vom server, ohne dass den andere klauen könnten?
5 Antworten
es handelt sich da um eine asymmetrische verschlüsselung.
es gibt einen public (öffenlichen) und einen private (geheimen) key.
jeder der den public key hat kann nachrichten verschlüsseln (wie zb die anfragen die du an den server sendest)
aber nur der mit dem private key kann diese nachrichten auch wieder entschlüsseln. den public key bekommst du also von der webseite selber und der private key wird geheim gehalten.
https://de.wikipedia.org/wiki/Asymmetrisches_Kryptosystem
oder falls du englisch kannst: https://www.youtube.com/watch?v=0TLDTodL7Lc
Das hat mit klugscheißen nichts zu tun. Deine Antwort ist einfach maßgeblich falsch. Per asymmetrischer Verschlüsselungsverfahren wird sich auf einen symmetrischen Schlüssel geeinigt, mit dem die Informationen dann verschlüsselt werden. Asymmetrische Verschlüsselung allein ist viel zu langsam und ungeeignet.
Ist nicht sicher. Könnte viel dazu erzählen, bin aber so gespannt auf die andern fragen auf deinem Profil, dass ich es erstmal lasse.
HTTPS ist garnicht so sicher. Typisches SSL / TLS sind lediglich sogenannte "Transportverschlüsselung" zwischen Client und Webdienst. Leider funktioniert diese Verschlüsselung nur immer von Station zu Station. An einer Station können die Daten aber (vom Admin oder einem Hacker) unveschlüsselt abgefangen odeer eingesehen werden.
Echte Ende-zu-Ende Verschlüsselungen benötigen Verschlüsselungszertifikate mit einem Private- und Public Key. Hier können wirklich nur der Absender und der Emfpfänger die Daten lesen. Alle Stationen dazwischendrin im Netzwerk nicht. Der Private-Key entschlüsselt und sollte man nie aus der Hand geben, der Public Key ist zum Verschlüsseln da, den braucht der Absender um dir verschlüsselte Nachrichten zukommen lassen zu können.
Beispiele bei Mailsfür echte Ende-zu-Ende Erschlüsselung: S/MIME und PGP Verfahren. Bei HTTPS oder Dateizugriffen wie FTP Verfahren können Ende-zu-Ende Verschlüsselungen auch angewandt werden, wenn der Server das unterstützt. Hier müssen aber die Public Keys ausgetauscht werden, und der eigene Private Key installiert werden am eigenen PC.
HTTPS nutzt standardmäße KEINE Ende-zu-Ende Verschlüsselung. Bei der Transportverschlüsselung regelt das die Clientsoftware (Browser) mit dem Webdienst selbst, die Daten zu verschlüsseln. Aber wie gesagt, die ist nicht vollständig durchgängig und kann je nachdem wie die Daten danach weitertransportiert werden leicht kompromittiert werden. Eine Gefahr von Man-in-the-Middle Attacken auf den Servern selbst besteht dabei also immer, denn dort sind die Daten auch nicht mehr verschlüsselt.
Bei einer HTTPS-Verschlüsselung arbeiten sowohl der Webbrowser (Client) und der Server mit einem nur für sie bekannten Schlüssel. Damit dieser Schlüssel nur für den Client und den Server einsehbar ist, wird dieser in drei Schritten generiert und übertragen:
- Der Server (z. B. ein Webshop oder eine Bank) schickt Dateninformationen für eine asymmetrische Verschlüsselung an den Client (Webbrowser). Asymmetrisch bedeutet, dass mit diesen Informationen andere Dateien verschlüsselt, aber nicht wieder entschlüsselt werden können. Andere könnten diese Dateninformationen zwar ausspionieren, aber erstmal nichts weiter damit anstellen.
- Der Client (Webbrowser) kann einen geheimen symmetrischen Schlüssel generieren und verschlüsselt nun diesen mit den Dateninformationen vom Webshop auf eine sehr komplexe Weise und verschickt diesen zurück an den Server. Der Server besitzt die relevanten Informationen, um die asymmetrische Verschlüsselung öffnen zu können und gelangt so an den symmetrischen Schlüssel des Clients. Ein symmetrischer Schlüssel bedeutet, dass mit diesem Schlüssel Daten ver- und auch entschlüsselt werden können.
- Die gesamte nachfolgende Kommunikation zwischen Server und Client findet ab dann nur noch durch den gemeinsam bekannten symmetrischen Schlüssel statt - und das geschützt
Quelle:
https://www.vde.com/tic-de/verbraucherschutz/verbraucher/https-verschluesselung-erklaerung
Es handelt sich um eine hybride Verschlüsselung bei zeitgemäßen Implementierungen