Eisbär: Verschlüsselte Übertragung ohne SSL?

Beitrag lesen

SELF-Forum

Verschlüsselte Übertragung ohne SSL?

Eisbär
Informationen zu den Bewertungsregeln

Hi Alexander

Es MUSS ein assymetrisches Verfahren sein. Mit dem Public-Key, der im übrigen ruhig "ungesichert" übertragen werden darf, kann nur VERSCHLÜSSELT werden. Das heißt, wenn ein Angreifer diesen kennt, kann er zwar Nachrichten verschlüsseln, diese dann aber nicht (mit diesem Key) wieder entschlüsseln.

...

Ok. Ich hatte Dich andersrum vertsanden, aber so rum macht es Sinn.
Wir werden also ein assymmetrisches Verschlüsselungs-Verfahren in Javascript entwickeln, das auf Clientseite mit dem offen übertragenen Public-Key die Nachricht/Daten verschlüsselt und normal per POST oder GET "unverschlüsselt" zum Server überträgt.
Serverseitig werden wir ein Entschlüsslungs-Algoritmus in Perl, Java, Php, etc. entwickeln, welcher die übertragenen Daten mit dem lokal gespeicherten Private-Key entschlüsselt. Ggf. greifen wir dazu auf bestehende Krypto-APIs zurück.

Soweit verstanden :-)

Dann hier mal ein Link zu einer teilw. deutschen Krypto-FAQ:
http://www.iks-jena.de/mitarb/lutz/security/cryptfaq/index.html

Wenn ich das so durchlese kommt nur das RSA- und DSA-Verfahren in Frage.
Wobei ich mich erinnern mag, dass vor ca. einem halben Jahr ein weiteres Verfahren zum "neuen" assymetrischen Kryptostandard erhoben wurde. Dazu werde ich noch weiter recherchieren.

Bei der Wahl zwichen RSA und DSA würde ich mich wegen der Patentlage (RSA ist frei!) und dem grösseren allgemeinen Erfahrungsstand für RSA entscheiden. Was ist Deine Meinung?
Bei PGP wird jedoch auch das DH/CSS-Verfahren (Diffie-Hellman?) eingesetzt. Ich weiss aber noch nicht, welche Vorteile das gegenüber dem RSA-Verfahren hat.

Es wird auf jeden Fall von Vorteil sein, wenn wir ein Verfahren anwenden, wo wir zur Key-Generation auf bestehende Tools (z.B. PGP) zurückgreifen können.
Ausserdem hätten wir dann mit PGP auch eine Art Debug-Umgebung, mit der wir das Verschlüsseln, bzw. Entschlüsseln unabhängig testen (gegenchecken) können.

Um Rückmeldung aller Art zur Auswahl des geeigneten Verfahren sind wir hier an dieser Stelle sicher dankbar.

Und zum Schluss noch einige Links:

Deutsche PGP-Seite: [http://home.nexgo.de/kraven/pgp/pgpindex.html]
RFC2440 zu OpenPGP: http://www.ietf.org/rfc/rfc2440.txt
Robert's Crypto & PGP Links: http://crypto.yashy.com/www/
Handbook of Applied Cryptography: http://cacr.math.uwaterloo.ca/hac/

Bin gespannt, in welche Richtung sich das Ganze entwickelt.

Ich auch ;)

Na dan mal los ;-))

Grüsse

Eisbär

Beitrag melden
Informationen zu den Bewertungsregeln