Was ist Transport Layer Security (TLS)?

Durch verschiedene asymmetrische und symmetrische Kryptografietechniken bietet TLS eine End-to-End-Authentifizierung, Vertraulichkeit und Datenintegrität. Dieser Schutz gilt für eine breite Palette von Netzwerkkommunikationen, einschließlich E-Mail, Messaging, Voice over IP (VoIP) und virtuelle private Netzwerke (VPNs).

TLS ist für den Aufbau sicherer Verbindungen beim Surfen im Internet weithin bekannt. Es ist die Grundlage von Hypertext Transfer Protocol Secure (HTTPS), einem Protokoll der Anwendungsebene, das den verschlüsselten Datenaustausch zwischen Webanwendungen und den meisten gängigen Webbrowsern ermöglicht.

Das TLS-Verschlüsselungsprotokoll besteht aus zwei Schichten: dem TLS-Handshake-Protokoll und dem TLS-Record-Protokoll. Das Handshake-Protokoll authentifiziert den Webserver und den Client (das Gerät, das sich mit dem Server verbindet). Das Record-Protokoll verifiziert und sichert die Daten für den Transport.

Diese Ebenen liegen oberhalb eines Transportprotokolls, wie dem des Transmission Control Protocol/Internet Protocol (TCP/IP)-Modells – einer Suite von Protokollen, die Kommunikationsstandards zwischen Computern spezifizieren und als „der Klebstoff, der das Internet zusammenhält “¹ gelten.

Das TLS-Protokoll ist der Nachfolger des von der Netscape Communications Corporation entwickelten Secure Sockets Layer (SSL) Protokollstandards. Im Jahr 1996 hat die Internet Engineering Task Force (IETF) das SSL-Protokoll offiziell standardisiert.

Im Januar 1999 nahm die IETF Verbesserungen vor und behob Schwachstellen in der neuesten SSL-Version (SSL 3.0) und änderte den Namen in Transport Layer Security. Es wurde formell in der Anfrage für Kommentare (RFC) 2246 definiert. Heutzutage werden die Begriffe „TLS“ und „SSL“ oft synonym verwendet oder als TLS/SSL stilisiert.

TLS wird von der IETF als „das wichtigste Sicherheitsprotokoll im Internet“ bezeichnet und ist entscheidend für den Schutz der Online-Kommunikation vor unbefugtem Zugriff. Seine neueste Version, TLS 1.3, bietet stärkere und schnellere Sicherheit und dient als Rückgrat der heutigen sicheren digitalen Welt.

Fast 68 % der Weltbevölkerung ist online². Und Milliarden von Menschen verlassen sich täglich auf das Internet, sei es beim Einkaufen, bei Bankgeschäften, im Gesundheitswesen oder bei der persönlichen Kommunikation. In all diesen Anwendungsfällen ist der Schutz sensibler Daten unerlässlich. Das bedeutet, dass sie vor Hackern, Manipulationen, Lauschangriffen und anderen Bedrohungen der Cybersicherheit wie Data Breaches, Malware oder Man-in-the-Middle-Angriffen geschützt werden müssen.

TLS ist die Grundlage von HTTPS, dem Standard-Sicherheitsprotokoll für Websites. Das HTTPS-Vorhängeschloss-Symbol, das in Webbrowsern inzwischen zum Standard gehört, signalisiert den Benutzern die Vertrauenswürdigkeit und Sicherheit einer Website.

Das Symbol zeigt auch an, dass eine Website über ein gültiges TLS-Zertifikat (auch als SSL-Zertifikat bekannt) verfügt. Dieser digitale Nachweis, der von einer Zertifizierungsstelle (CA) ausgestellt wird, verifiziert die Identität einer Website und ermöglicht eine verschlüsselte Verbindung. Um das Ausmaß der TLS- und HTTPS-Nutzung zu verdeutlichen: Ein großer Anbieter von TLS-Zertifikaten stellt über 340.000 Zertifikate pro Stunde aus. 

TLS gewährleistet eine sichere Internetkommunikation, indem es drei Haupteigenschaften eines sicheren Kanals durchsetzt:

Transport Layer Security ist effektiv, weil es sich auf kryptografische Verfahren stützt, um übertragene Informationen zu sichern.

Kryptografie kommt vom griechischen Wort „kryptos“, was „verborgen“ bedeutet. Der Hauptzweck der Kryptografie besteht darin, die Kommunikation durch Verschlüsselung zu sichern und zu verschleiern - ein Prozess, bei dem komplexe Algorithmen lesbare Nachrichten (Klartext) in verschlüsselte Nachrichten (Chiffretext) umwandeln. Der Chiffriertext kann nur von einem autorisierten Empfänger mit einem bestimmten Schlüssel in ein lesbares Format entschlüsselt werden.

Im Zusammenhang mit Kryptografie (wie der TLS-Verschlüsselung) ist ein Schlüssel eine zufällige Zahlen- oder Buchstabenfolge. Bei der Verwendung mit einem kryptografischen Algorithmus verschlüsselt (sperrt) oder entschlüsselt (entsperrt) er Informationen. Die Algorithmen zur Ver- und Entschlüsselung von Daten, die über ein Netzwerk übertragen werden, lassen sich typischerweise in zwei Kategorien einteilen: Kryptografie mit geheimen Schlüsseln (auch Secret-Key-Kryptografie) und Kryptografie mit öffentlichen Schlüsseln (auch Public-Key-Kryptografie).

Bei diesem System, das auch als symmetrische Verschlüsselung oder Kryptografie mit symmetrischem Schlüssel bezeichnet wird, wird ein einziger gemeinsamer Schlüssel zum Ver- und Entschlüsseln sensibler Daten verwendet. Die symmetrische Verschlüsselung ist einfach und effizient, setzt aber einen sicheren Schlüsselaustausch und eine sorgfältige Schlüsselverwaltung voraus.

Die meisten sensiblen Daten, die in einer TLS-Sitzung gesendet werden, werden mittels Secret-Key-Kryptografie übertragen. TLS verwendet kryptografische Hash-Funktionen, um Datenschutz und Datenintegrität zu gewährleisten. Hash-Funktionen erzeugen aus Eingabedaten einen Hashwert fester Größe. Dieser Wert fungiert als digitaler Fingerabdruck, der vor und nach der Übertragung verglichen werden kann. Wenn sich der Hash geändert hat, bedeutet das, dass jemand die Daten manipuliert hat.

Ein Message Authentication Code (MAC) ist wie ein kryptografischer Hash, nur dass er auch den Absender authentifiziert. Er wendet einen geheimen Schlüssel auf gehashte Nachrichten an, wobei der resultierende Hash als Hash Message Authentication Code (HMAC) bezeichnet wird.

Dieses auch als asymmetrische Kryptografie oder Public-Key-Verschlüsselung bezeichnete System verwendet ein mathematisch verknüpftes Schlüsselpaar (einen öffentlichen und einen privaten) zum Verschlüsseln und Entschlüsseln von Daten. Es ermöglicht Menschen und Systemen, sensible Informationen auszutauschen, ohne dass sie vorher einen geheimen Schlüssel austauschen müssen. Es ist vergleichbar mit einem Briefkasten: Jeder kann einen Brief einwerfen, aber nur der Besitzer kann diesen aufschließen und den Inhalt entnehmen.

Diese Funktionen helfen beim Aufbau von Vertrauen, wenn sie in die Public Key Infrastructure (PKI) integriert werden. So binden beispielsweise Public-Key-Zertifikate (auch bekannt als digitale Zertifikate oder SSL/TLS-Zertifikate) öffentliche Schlüssel über eine Zertifizierungsstelle an verifizierte Identitäten.

Sie bilden auch die Grundlage für digitale Signaturen – eine Komponente digitaler Zertifikate, die in TLS zur Authentifizierung eines Clients oder eines Webservers verwendet werden. Sobald ein kryptografischer Hash für eine Nachricht erstellt wurde, wird der Hash mit dem privaten Schlüssel des Absenders verschlüsselt.

Dieser verschlüsselte Hash ist die digitale Signatur. Die Signatur kann von jedermann mit dem öffentlichen Schlüssel überprüft werden, wodurch die Identität des Absenders und die Integrität der Daten bestätigt wird.

Das TLS-Protokoll hat zwei Unterprotokolle: das TLS-Handshake-Protokoll und das TLS-Record-Protokoll. Die genauen Schritte können je nach Version von TLS variieren.

Der TLS-Handshake stellt eine sichere Verbindung zwischen dem Client und dem Webserver her. Mit Hilfe der Public-Key-Kryptografie wird der Server (und manchmal auch der Client) mit einem digitalen Zertifikat authentifiziert. Der Client und der Server einigen sich dann auf eine Chiffrier-Suite (eine Reihe von Verschlüsselungsalgorithmen) und führen einen Schlüsselaustausch durch, um gemeinsam genutzte Sitzungsschlüssel (geheime Schlüssel für Verschlüsselung und Hashing) sicher zu erstellen.

Sobald die Sitzungsschlüssel festgelegt sind, gilt die sichere Sitzung als hergestellt. Von diesem Zeitpunkt an wird die Public-Key-Verschlüsselung nicht mehr verwendet. Alle nachfolgend übertragenen Daten werden mit der Secret-Key-Kryptografie verschlüsselt und authentifiziert.

(Weitere Einzelheiten finden Sie unter: „Was sind die Schritte eines TLS-Handshakes?“)

Das Record-Protokoll ist für die Sicherung der während der TLS-Verbindung übertragenen Daten zuständig. Dazu verwendet es die während des Handshakes ausgehandelte Cipher Suite und die Schlüssel als eine Art Rezept für den Schutz der Daten.

Die Cipher Suite definiert, welche Algorithmen für den Schlüsselaustausch, die Verschlüsselung und die Authentifizierung von Nachrichten verwendet werden sollen. Die symmetrischen (geheimen) Schlüssel werden verwendet, um ausgehende Daten zu verschlüsseln und eingehende Daten zu entschlüsseln. Die Schlüssel werden auch zur Erstellung von Nachrichtenauthentifizierungscodes verwendet, mit denen die Integrität der Daten überprüft wird.

Durch diese Mechanismen stellt das Aufzeichnungsprotokoll die Authentifizierung, Integrität und Vertraulichkeit der Verbindung sicher.

Die genauen Schritte eines TLS-Handshakes variieren je nach TLS-Version. Es kann etwa 200 bis 300 Millisekunden oder sogar nur 100 Millisekunden dauern, bis er abgeschlossen ist (die genaue Dauer hängt natürlich von der Latenz, der Round-Trip-Time (RTT), der Serverleistung und anderen Netzwerküberlegungen ab).

Diese Illustration verwendet TLS 1.3, die schnellste, neueste und sicherste TLS-Version.

Der Client sendet eine ClientHello-Nachricht mit der unterstützten TLS-Version (TLS 1.3), Cipher Suites, einer zufälligen Byte-Zeichenkette (client_random) und einer ephemeren Schlüsselfreigabe - unter Verwendung der Methode "Elliptic Curve Diffie-Hellman Ephemeral" (ECDHE) für den Schlüsselaustausch.

Der Server antwortet mit einer ServerHello-Nachricht, die die ausgewählte Cipher Suite, eine weitere zufällige Bytefolge (server_random) und seinen eigenen ephemeren Schlüssel enthält. In diesem Schritt werden die Parameter für den Schlüsselaustausch festgelegt.

Jetzt können beide Parteien mit ECDHE ein gemeinsames Geheimnis berechnen. Dieses gemeinsame Geheimnis wird zur Ableitung der Handshake-Schlüssel verwendet.

Der Server sendet dann sein digitales Zertifikat, eine CertificateVerify-Nachricht (signiert mit seinem privaten Schlüssel) und eine Finished-Nachricht (verschlüsselt mit dem Handshake-Schlüssel).

(Optional: Wenn der Server eine Client-Authentifizierung verlangt, sendet er eine CertificateRequest. Der Client antwortet dann mit seinem Zertifikat und einer CertificateVerify-Nachricht.)

Der Client prüft, ob das Zertifikat des Servers von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt, gültig und nicht widerrufen ist und ob die Domain übereinstimmt. Er überprüft auch die CertificateVerify-Nachricht des Servers mit dem öffentlichen Schlüssel des Servers aus dem Zertifikat und die Finished-Nachricht mit dem Handshake-Schlüssel.

Der Client sendet seine eigene Finished-Nachricht unter Verwendung eines Handshake-Schlüssels, und der Handshake wird als abgeschlossen bestätigt.

Zu diesem Zeitpunkt haben sich beide Parteien gegenseitig authentifiziert und einen gemeinsamen geheimen Schlüssel erstellt. Sie können nun Nachrichten mit symmetrischer Verschlüsselung austauschen.

Schlüsselaustauschmethoden helfen Benutzern, kryptografische Schlüssel sicher auszutauschen. Es gibt mehrere Schlüsselaustauschmethoden, die zur Implementierung von TLS verwendet werden, darunter:

Diffie-Hellman ist eine der gängigsten Methoden für den Schlüsselaustausch. Es handelt sich um ein asymmetrisches Protokoll für den Schlüsselaustausch, das es zwei Parteien ermöglicht, einen gemeinsamen geheimen Schlüssel für die sichere Kommunikation über einen unsicheren Kanal zu generieren, ohne dass sie sich vorher gegenseitig kennen. Seine Sicherheit beruht auf der Schwierigkeit, das Problem des diskreten Logarithmus zu lösen, ein komplexes mathematisches Problem, das die Entschlüsselung des gemeinsamen Geheimnisses rechnerisch unmöglich macht.

Es gibt mehrere Varianten des Diffie-Hellman-Schlüsselaustauschs, darunter:

• Diffie-Hellman Ephemeral (DHE): Bei DHE bedeutet der Zusatz „Ephemeral“, dass für jede Sitzung ein temporärer oder einmalig verwendbarer Schlüssel erzeugt wird. Dies gewährleistet die vorwärts gerichtete Geheimhaltung und stellt sicher, dass die Kompromittierung von Langzeitschlüsseln keine vergangenen Sitzungen gefährdet. DHE wird üblicherweise in TLS 1.2 verwendet, obwohl TLS 1.2 sowohl DH als auch DHE unterstützt.
  
  
• Elliptic Curve Diffie-Hellman (ECDH): ECDH ähnelt DH, verwendet aber die Elliptische-Kurven-Kryptografie, die größere Sicherheit bei kleineren Schlüsselgrößen bietet. ECDH-Berechnungen sind daher schneller und weniger ressourcenintensiv. Nicht-ephemerale Cipher Suites werden jedoch von der IETF nicht empfohlen, da sie keine vorwärts gerichtete Geheimhaltung bieten.
  
  
• Elliptic Curve Diffie-Hellman Ephemeral (ECDHE): Dies ist die ephemere Version von ECDH, bei der für jede Sitzung temporäre Schlüssel generiert werden, die eine vorwärts gerichtete Geheimhaltung gewährleisten. Dies ist die vorgeschriebene Schlüsselaustauschmethode für TLS 1.3.

RSA ist ein asymmetrischer Verschlüsselungsalgorithmus, der auf der mathematischen Komplexität der Faktorisierung großer Primzahlen beruht, um Schlüsselpaare zu erzeugen. Verwendet wird ein öffentlich-privates Schlüsselpaar für die Ver- und Entschlüsselung, wodurch es sich für die sichere Datenübertragung und digitale Signaturen eignet. RSA wird in TLS 1.3 für den Schlüsselaustausch aus Sicherheitsgründen nicht unterstützt (d. h., es bietet kein vorwärts gerichtete Geheimhaltung). Es kann jedoch zur Authentifizierung verwendet werden.

Ein PSK ist ein gemeinsam genutzter geheimer Schlüssel, der vor der TLS-Sitzung zwischen den beiden Parteien über einen sicheren Kanal ausgetauscht wurde. Benutzer können einen PSK während eines TLS-Handshakes einrichten und ihn dann zum Aufbau einer neuen Verbindung in einem anderen Handshake verwenden; dies wird als Sitzungswiederaufnahme mit einem PSK bezeichnet. Es wird empfohlen, PSKs mit DHE oder ECDHE zu verwenden, um die Vorwärtsverschlüsselung zu gewährleisten.

Seit der ersten Veröffentlichung von TLS 1.0 im Jahr 1999 (das ein Upgrade auf SSL Version 3.0 war) hat die IETF drei weitere TLS-Versionen veröffentlicht:

• TLS 1.1, spezifiziert in RFC 4346, April 2006: Diese Version enthielt kleinere sicherheitsbezogene und redaktionelle Verbesserungen sowie Klarstellungen.
  
  
• TLS 1.2, spezifiziert in RFC 5246, August 2008: Diese Version war ein Update von TLS 1.1 und verbesserte deutlich die Flexibilität bei der Aushandlung kryptografischer Algorithmen.
  
  
• TLS 1.3, spezifiziert in RFC 8446, August 2018: Dieses neueste Update verbessert die Sicherheit, Leistung und den Datenschutz, indem es neben anderen Änderungen die Latenz mit einer Round-Trip-Time von Null (0-RTT) reduziert und die Aushandlung vereinfacht.

Es ist wichtig zu beachten, dass TLS 1.3 zwar mit einem Abwärtskompatibilitätsmodus implementiert werden kann, jedoch nicht direkt mit früheren TLS-Versionen kompatibel ist.