Plugin:StdSSL/de/Additional info

From Miranda NG
Jump to: navigation, search

Technischer Hintergrund: SSL/TLS

Transport Layer Security (TLS) oder Secure Sockets Layer (SSL) ist ein hybrides Verschlüsselungsprotokoll für Datenübertragungen im Internet. TLS 1.0, 1.1 und 1.2 sind die standardisierten Weiterentwicklungen von SSL 3.0 (TLS 1.0 steht neu für SSL 3.1). SSL wird also nun unter dem Namen TLS weiterentwickelt.

SSL wird meist in sicherheitskritischen Bereichen, bei dem es einzig um die Verschlüsselung zwischen Client und Server geht. D.h. aber auch, dass alle Daten, die vom Server an Dritte (z.B. Kommunikationspartner) gesendet werden, im Klartext - also unverschlüsselt - gesendet werden. Soll beispielsweise die Kommunikation zwischen den Kommunikationspartnern verschlüsselt werden, muss dann eine Ende-zu-Ende-Verschlüsselung genutzt werden.

Sicherheitstechnische Problematik

Die Daten selber werden zwar zwischen dem Benutzer und dem Server durch SSL verschlüsselt, entgegen der weit verbreiteten Meinung, SSL würde deshalb einen erheblichen Gewinn an Sicherheit bringen, ist dies bei Messengerprotokollen, im Gegensatz zu SSL auf Webseiten, allerdings nur sehr bedingt der Fall:

SSL.png

Server
Während ICQ und andere Server großer Anbieter diesbezüglich eher als "sicher" zu betrachten sind - wenn man sich die Nutzungsbedingungen der Anbieter durchliest, ist das Wort "sicher" hier allerdings in einem anderen Zusammenhang zu sehen -, ist das bei IRC und Jabber nicht unbedingt der Fall, da der Server die Daten hinter dem SSL-Protokoll als Klartext lesen kann. Was auf der Serverseite mit den Daten passiert, ist also nicht nachzuvollziehen.
SSL-Zertifikate
Es ist bei Jabber und IRC nicht unbedingt sichergestellt, dass die Zertifikate, die für die Übertragung benötigt werden, geprüft und zulässig sind (im Gegensatz zur Verwendung von SSL auf Webseiten).
Man in the middle
Da die Zertifikate nicht immer sicher überprüft werden, kann theoretisch ein Angreifer durch die "Man in the middle"-Methode den Datenverkehr abfangen, die SSL-Zertifikate durch selbst erstellte Zertifikate ersetzen, und den Datenverkehr in Klartext mitlesen.
Jabber
Bei Jabber kann es vorkommen, dass nur Benutzername und Passwort mittels SSL übertragen werden, nicht jedoch die gesendeten und empfangenen Nachrichten.

Fazit

Die Übertragung mit SSL ist bei Messengerprotokollen nicht unbedingt völlig "sicher". Zum sicheren Übertragen von Nachrichten sollten besser SecureIM, New GPG oder MirOTR verwendet werden - vorausgesetzt, der Empfänger verwendet das gleiche System.

Selbst wer SSL nur zum Login benutzt, der verhindert zumindest in einer potentiell unsicheren Umgebung (z. B. ungesicherter WLAN-Zugang im Café oder Flughafen) den Identitätsdiebstahl.