IT Security #15 - How to really encrypt using TLS as an example
HTML-код
- Опубликовано: 17 сен 2024
- In this tutorial, we'll look at how to actually achieve secure communication in practice.
❤❤❤ Early access to tutorials, polls, live events, and downloads ❤❤❤
❤❤❤ www.patreon.co... ❤❤❤
❤❤❤ Not up for Patreon? ❤❤❤
❤❤❤ www.paypal.me/... ❤❤❤
🌍 Website
🌍 the-morpheus.de
¯\_(ツ)_/¯ Join the Community ¯\_(ツ)_/¯
** the-morpheus.d... **
** / themorpheustuts **
( ͡° ͜ʖ ͡°) More news? More code?
ℱ / themorpheustutorials
🐦 / themorpheustuts
🐙 github.com/The...
You order from Amazon? Order through me, costs you zero and you help me out
"-(¯`-.-'¯)-" amzn.to/2slBSgH
Video requests?
🎁 docs.google.co...
Questions? Feedback? Write me!
✉ www.patreon.co...
✉ / themorpheustutorials
✉ the-morpheus.d...
or just write a comment :)
Playlist: • IT-Sicherheit und Hack...
Schule: 2h Vorlesungen über TLS. Verstehe nichts.
YT: 9min Video von Dir und ich verstehe es:)
Danke
Du erklärst es besser als meine uni professoren danke
Vielen Dank für deine tolle Arbeit.. Weiter so!!!
Absolut mein Favorit in IT und Programmieren
LG
Danke dir
Der Moment wenn er sagt, Festplatte kopieren geht schnell 😂
Gutes Video, gut erklärt
Leider ein paar Versprecher und ein zwei Fehler
Man merkt, dass du das richtige meinst, aber Anfänger können das leicht falsch verstehen
Beispielsweise sagst du, dass der Client überprüft, ob das Zertifikat wirklich dem Server gehört, hier meinst du, dass geprüft wird, dass das Zertifikat gültig ist und ob die Hierarchie stimmt, also ob das alles korrekt signiert wurde von der CA/root CA. Leider sagst du aber, dass der Client prüft, ob das Zertifikat dem Server gehört, aber das geht nicht, weil jeder Server jedes beliebige Zertifikat versenden kann. Der Punkt hierbei ist: der Server ist erst dann authentifiziert, wenn dieser bestätigt hat, dass das versendete Zertifikat ihm gehört, beispielsweise Signatur über Hash, Challenge Response...
Sorry, falls das anders rüber kam, aber auf jeden Fall danke fürs ergänzen
Vielen lieben Dank
Danke sehr gut erklärt wieder eine Lücke geschlossen. Was man noch erwähnen könnte wo der Unterschied bzw. die Abgrenzung zu SSL ist
Stimmt, sorry
Warum hast du den Link zum Bild nicht einfach in der Beschreibung gepostet..?
Weil man es eigentlich nicht braucht?
@@TheMorpheusTutorials Wenn man's für ne Arbeit braucht schon ... wie ich z.B. :D
Sehr gutes Video
Vielen Dank
was sind denn diese numbers also : RN und PMS? :D
Ich verstehe nicht wie der Server mit dem Public Key des Clients eine Nachricht entschlüsseln kann, der mit dem Secret Key des Clients verschlüsselt wurde, das ist ja nicht der gleiche?
Die Nachrichten werden immer mit dem PK des anderen verschlüsselt. Sie werden aber mit dem SK signiert(!). Die Signatur kann mit dem PK verifiziert werden
Es wird nicht die Nachricht mit dem PK entschlüsselt, sondern nur die signatur. Es ist nicht schlimm wenn jeder die Signatur entschlüsseln kann. Nachrichten werden immer nur mit den Geheimschlüsseln entschlüsselt. Und nach erfolgreichem Hand-shake, werden die großen Datenpakete nur mit symmetrischen Verfahren ver-/ent-schlüsselt, welche dafür nur einen einzigen Schlüssel benutzen. Aber diesen Schlüssel, können die Kommunikationspartner beliebig oft wechseln, damit die Kommunikation auch über einen längeren Zeitraum sicher bleibt.
Wo kann man denn das Client Zertifikat einsehen? Bzw was will der Server damit? Die Information im Client Zertifikat sind doch von niemandem signiert. Oder ist damit nur der Public Key gemeint?
Damit ist in erster Linie der PK gemeint
Interessantes Video :) Danke
Könnte man nicht theoretisch den Public Key Hashwert des Clienten sniffen wenn man im selben Wlan ist?
Klar, aber Public Keys sind ohnehin öffentlich, sprich dürfen jedem bekannt sein
The Morpheus Tutorials Ach ja, das wird ja durch den Private Key mitgeteilt dieser ist aber verschlüsselt und nicht leicht zu knacken sprich zu wenig Zeit
Hallo Morpheus,
verstehe zwar wenig bis nix, hört sich aber sicherer an, zumal ich nach Googlemail gewechselt bin. Die verschlüsseln angeblich automatisch mit TLS, und das ist mal sicherer als GMX, die nicht automatisch verschlüsseln.
Aber wird auch verschlüsselt, wenn jemand mir von GMX eine Mail schickt?
Davon abgesehen glaube ich, dass die NSA & Co die Mails doch lesen können - spätestens wenn sie fertig auf einem Server liegen. Oder?
Herzlich
Tom
PS:Kritik an der Verschlüsselung findet sich hier:
www.elektronik-kompendium.de/sites/net/1906041.htm
Dort wird für TLS Version 1.3 plädiert, Googlemail verschlüsselt aber nach Version 1.2:
support.google.com/a/answer/6180220?hl=de
Leider ist kein Datum dieses erkennbar. Könnte sich also geändert haben.
Angeblich werden Mails von/an Server ohne TLS nicht zugestellt:
support.google.com/a/answer/2520500
Dennoch erhalte ich Mails von GMX problemlos und kann von dort Mails nach Googlemail schicken *gruebel*
Hey,
Das Verfahren hier ist zwar sicher, aber nur von dir zum Server, nicht bis zum Empfänger. Der Server, also Google oder gmx haben die Mails im klartext. Dagegen kannst du aber zb PGP verwenden
Danke :-)
Mit welchem Key kann man denn jetzt was ver- und entschlüsseln (Public und Private Key)? Das ist etwas verwirrend.
Public Key des anderen zum Verschlüsseln.
Secret Key von mir zum Entschlüsseln von Nachrichten an mich.
Secret Key von mir zum signieren von Nachrichten an das Gegenüber.
Public Key von mir zum Überprüfen von Nachrichten VON mir.
The Morpheus Tutorials Danke :)
Sehr gutes Video! Ich habe jedoch eine Frage ab circa 6:20 redest du davon, dass der Client ein Premaster Secret an den Server rüberschickt den der Client zufällig gewählt hat. Macht Sinn.
Aber dann redest du davon, dass mit diesem PreMaster Secret und "etwas Zufall" dann der richtige Schlüssel gebildet wird. Das macht aber kein Sinn, weil wenn Client oder Server "etwas Zufall" an dieser Stelle mit ins Spiel bringen würden, hätten sie ja keinen gemeinsamen Schlüssel.
Vielmehr müssen doch Server und Clients gleichermaßen mit dem Premaster Secret, und den beiden am Anfang ausgetauschten Zufallszahlen (RNc und RNs) ganz mathematisch nachvollziehbar und ohne weiteren Zufall einen Masterkey ausrechnen.
Oder liege ich da falsch?
Viele Grüße
Das premaster secret ist quasi der Zufall 😊 aus dem wird dann mit einem prg ein längerer Schlüssel erstellt
Perfect for ever
Hallo,
ist ein FTP Server immer durch TLS geschützt?
Mal eine ganz blöde Frage. In all den Videos wird immer auf Sicherheit bei der Kommunikation zwischen zwei Clients bzw. Client und Server gesprochen aber: Wie genau sind sämtliche Daten von mir denn auf einem Server gesichert? Beispiel Google: Ich logge mich ein und kriege Zugang auf "meine Daten", sofern ich Passwort etc. richtig eingebe...diese Daten müssen ja dort irgendwie verschlüsselt sein und das nicht mit meinem Passwort, immerhin kann Google ja auch auf meine Daten zugreifen ohne mein Passwort zu kennen.
Was ist wenn jemand es nicht auf die Passwörter auf diesem Servern sondern direkt auf die Informationen die mit dem Account (und allen anderen) verknüpft sind abgesehen hat, vorrausgesetzt natürlich er ist erst einmal so weit, dass er sich Zugriff auf den Server verschafft hat?
Beste Grüße, deine Videos sind wirklich sehr informativ!
Ja, wenn er auf dem Server ist, hat er deine Daten - abgesehen vom Passwort, siehe das andere Video der Playlist. Aber die Mail, der Name etc steht da alles im Klartext
Deswegen ist es auch so wichtig, dass man den Zugriff auf den Server so gut wie möglich schützt, dass man eben gar nicht so weit kommt
@@TheMorpheusTutorials Autsch, genau die Antwort die ich nicht haben wollte! Vorallem weil das ja dann beispielsweise auch für Standortverläut, Bilder in der Cloud, Zahlungsmittel etc. gelten könnte. Aber das ist sehr gut zu wissen, danke für schnelle Antwort. Ich fuchs mich da heute noch ein wenig weiter rein! :-)
@@dustinj.5846 Kritische daten (wie zahlungs informationen) müssen zumindest in europa verschlüsselt sein auf dem server ^^
Hi, wenn der PMS Wert mit den Public Key des z. B. Servers(Teil rechts) verschlüsselt wird und der Public Key des Servers vorher ohne Verschlüsselung gesendet wurde, kann es doch auch ein Hacker oder sonst wer entschlüsseln und nicht nur der Server, oder? Vielleicht bin ich einfach nur zu blöd, weil es gleich um 3 ist aber mich interessiert das halt
Den public key darf jeder haben, das ist das tolle 😁
Guck dir am besten die Videos davor in der Playlist noch an 👍
@@TheMorpheusTutorials Ja das habe ich noch nicht gemacht👍
Hey morpeus kannst du mal ein Video über honeypots machen ? :)
Marmeladeglässer bitte auch nicht außen vor lassen. Und Nutella ist doch sicher auch dabei oder?
Daniel Däschle ?
Ja, honeypots werden behandelt. Ebenso wie das Bienensterben, Marmelade, Bären und Winnie Pooh. (Achtung letzter Satz: Witz, der davor nicht)
Ich verstehe nicht zu 100% warum das ganze durch das hashen aller vorherigen nachrichten jetzt eindeutig wird. Wenn ein angreifer alle nachrichten vom client abfängt und den key durch den eigenen ersetzt und auch das signieren erneut mit dem eigenen key durchführt, sollte der server doch denken es ist einfach nur der vermeintliche client, da ja im gegensatz zum server es keine abfrage und somit abgleich bei einer ca gibt oder? woher kann der server in diesem fall sichergehen ohne diese typische pki struktur dass das client zertifikat nicht ersetzt wurde und die kommunikation die ganze zeit mit dem angreifer stattfindet? das hashen aller nachrichten müsste natürlich auch erneut durch den angreifer durchgeführt werden. danke für eine antwort
Das Thema ist echt komplex, aber vielleicht kann ich deine Frage beantworten. Schau dir mal das pre master secret an. Du generierst ja nen seed und verschlüsselst das mit dem pub key vom server. Ein Angreifer kann das pre master secret nicht entschlüsseln. Müsstest du aber, damit du am Ende auch das master secret generieren kannst.
Ich hoffe das hilft dir weiter.
Warum hast du das Master-secret nicht näher erklärt. Mich hat es in der Vorlesung total beeindruckt wie Client und Server ein shared secret via Diffie-hellman-Key-exchange vereinbaren konnten und das ganze trotzdem noch geheim geblieben ist, obwohl ein Abhörer (Eve) die ganze Zeit dazwischen war. Das fehlt hier zum Verständnis leider komplett.
Woher kommt der public und privat key auf der Client Seite? Sind es immer die selben?
Die müssen auch generiert werden. ZB bei SSH musst du dir immer das Keypair vorher erstellen
Okey. Aber wie oft werden diese Keys neu erstellt? Werden die irgendwo bei mir lokal gespeichert oder werden die jede sitzung neu generiert?
Wie viel bits hat die Random zahl die vom client generiert wird
Das kommt drauf an, das kann man selbst konfigurieren
HILFE: 05:31
"[Das PMS] wird verschlüsselt mit dem öffentlichen Schlüssel des Servers. [...] Nur der Server kann es jetzt entschlüsseln. Der kann jetzt mit seinem secret Key aus diesem verschlüsselten PMS das PMS rekonstruieren. Niemand anders als der Server kann das ganze, weil niemand anderes den secret Key vom Server hat."
Wieso kann der PMS nur vom Server entschlüsselt werden, wenn dieser mit dem *öffentlichen* Schlüssel des Servers verschlüsselt ist? Der öffentliche Schlüssel ist doch frei einsehbar. Ein Angreifen kann mithilfe des öffentlichen Schlüssels den PMS doch genauso gut entschlüsseln wie der Server selbst, oder? Dann kann man die Verschlüsselung doch auch eigentlich weglassen, wo ist der Sinn? Und welche Rolle spielt da jetzt der private Schlüssel des Servers???
Das verstehe ich nicht, BITTE HILFE!!!!
Machst du noch ein Video zu TLS 1.3?
Kann ich machen
Das ist TLS 1.2?
Is auf der Client-Seite eigentlich der Browser oder das Betriebssystem dafür zuständig?
Browser.
Das OS liefert nur Schnittstellen für die Kommunikation
The Morpheus Tutorials Oke danke, dachte ich mir
The Morpheus Tutorials Linux 4.13: Kernel erledigt TLS-Verschlüsselung selbst www.heise.de/amp/meldung/Linux-4-13-Kernel-erledigt-TLS-Verschluesselung-selbst-3796397.html
Linux halt mal wieder
Deine Stimme erinnert irgendwie an Bibanator :D
Kenn ich ned, wer ist das? Darf ich mich freuen oder schämen? :D
The Morpheus Tutorials ein recht lustiger RUclipsr, aber hat nicht viel mit Informatik zu tun ^^ deine Videos sind übrigens sehr hilfreich, danke für die Reihe
Der bin ich definitiv nich :DDanke fürs Zusehen :)
:)
uund mit TLS1.3 wird das alles kürzer :D
Ein Glück :D
Erster
gw :)
kurdistan kanal :D