Dieses Video hätte ich vor zwei Jahren zur Vorbereitung einer Infomatik Klausur gebraucht. Jetzt musste ich feststellen, dass ich schon wieder einiges vergessan haben. Danke für die Möglichkeit das ganze nocheinmal zu wiederholen
Kleine Anmerkungen: Der gezeigte Handshake ist TLS 1.2, Client Zertifikat an den Server zu schicken ist nicht Pflicht, haben die meisten Leute ja eh nicht. In TLS 1.3 gibt es wegen Forwards Secrecy keinen RSA Key Exchange mehr, nur Diffie Hellmann und es reicht ein "Roundtrip", weil wegen der reduzierten Key Exchange Möglichkeiten der Client beim Verbindungsaufbau schon raten kann, welches Verfahren verwendet wird und das nicht ausgehandelt werden muss.
Auf der Arbeit haben wir gerade ein Problem mit diesem Thema weil alte Skripte plötzlich nicht mehr auf Webseiten-Inhalte zugreifen können... total nervig, durch die Anhebung der TSL Version bricht quasi eine Tool-Kette in sich zusammen xD Danke für das Video, es hat mir sehr geholfen besser zu verstehen, wofür das Ganze gut ist. Auch der kleine Abriss der Historie am Anfang: sehr gut 👍
Hallo Florian, Du sagst in Minute 5:20, dass der Client den Hash-Wert mit seinem privaten Schlüssel verschlüsselt und der Server mit dem öffentlichen Schlüssel des Clients die Nachricht entschlüsselt. Sollte der Client die Nachricht nicht mit dem öffentlichen Schlüssel des Servers verschlüsseln, dass dieser sie mit seinem privaten Schlüssel entschlüsseln kann, wie im Schritt zuvor?
ich habe hier mal eine Frage zu 04:28 : Die Public Keys wurden ja unverschlüsselt ausgetauscht. D.h. jeder, der den Datenverkehr mitschneidet, verfügt auch über die beiden Public Keys (vom Client + Server). Wäre es dann nicht auch möglich dieses Pre-Master Secret mit dem Public Key des Servers zu entschlüsseln und somit auch die komplette nachfolgende Kommunikation? Oder habe ich hier etwas falsch verstanden?
Hi, ich hoffe du antwortes, hab in 2 Wochen meine Fisi Abschlussprüfung. 5:43 Hier sagst du, dass die ein Master Secret berechnen. Wie wird sichergestellt, dass beide das richtige haben? Wird da einfach offen drüber "gequatscht" weils ja eh bereits verschlüsselt ist oder gibts da noch einen zwischenschritt? Stehe da etwas aufm Schlauch
Wiedermal ein klasse Video, vielen Dank für die Mühe und die tollen Erklärungen! Ich habe allerdings noch eine Frage zum Client-Zertifikat. Nachdem ich in den Kommentaren gelesen habe, dass TLS1.3 keine Pflicht birgt ein Clinet-Zertifikat zu senden und ich mir das Video zu digitalen Signaturen angesehen habe, frage ich mich: 1. Wo finde ich "mein" Client-Zertifikat im Computer (auch wenn ich selbst keine erstellt habe)? Und erstellte der Compuer selbst ein "Standard-Zertifikat"? 2. Wie kann der Server ohne ein Client-Zertifikat die Authentizität der Nachrichten gewährleisten? Vielen Dank schon mal!
Toll erklärt. Wie ist deine Meinung zu SSL Interception? Positiv für Zwei-Scanner-Strategie oder negativ aufgrund der Verletzung von TLS. Das würde mich sehr interessieren. Danke.
Das Video gibt es nicht mehr auf UA-cam. Es ist aber eines der Videos, das ich im Rahmen meiner HACKcember Challenges veröffentlicht habe. Ich glaube bei Challenge 3.
Ich habe leider noch nicht ganz verstanden was es mit dem Hashwert in Phase 3 auf sich hat. Werden die gesamten Informationen ab Phase 1 von einer dritten Person abgefangen, stehen dem Angreifer nach deiner Erkärung doch ebenfalls alle benötigten Informationen zum errechnen des Hashwerts zur Verfügung?
Das liegt daran, dass es das Protokoll erst seit 2018 gibt. Es ist jedenfalls sicherer als 1.0 und 1.1. Es wird auch nicht überall angeboten, 1.2 schon, deshalb sollte 1.2 auf jeden Fall aktiviert sein.
Nein, da das Pre-Master-Secret, hier z.B. mit RSA verschlüsselt wird, also asymmetrisch, nur der Server kann es wieder mit dem zum public key, welchen er versendet hat, gehörenden private key wieder entschlüsseln. Dazu kommt noch, dass der public key vom Server zertifiziert wird, das verhindert man-in-the-middle Angriffe, da der Angreifer seinen public-key nicht als zum gewünschten Server gehörig zertifizieren kann
Vielleicht habe ich das nicht ganz verstanden, aber heißt das nicht, dass man als Hacker trotzdem alle Server Anfragen und Netzwerkaktivitäten aufnehmen kann und so den gesamten Prozess imitieren kann, um den Schlüssel zu erhalten?
Danke für das Video! Aber die Windows Internetoptionen sind doch nur interessant, wenn man den alten Internet Explorer nutzt, der sowieso End of Life ist? Denn, sowohl beim neuen Chromium Edge als auch bei Firefox & Google Chrome, werden diese Einstellungen browserbasiert vorgenommen statt über die Internetoptionen. Diese sind nur relevant beim IE, dem alten Edge und teileweise für Anwendungen, die so etwas benötigen.
Geht es nur per PC ? Weil ich besitze keinen und habe nur Mobile Internet ! Es zeigt mir aber im Wahts app , meine Freunde sind aber nicht zu sehen in wahts app oder es geht garnicht auf mein wahts app ! Kann sein das jemand mein handy gehackt hatte ? Gruß Petra
Warum bietet ein Router z.B. eine Fritzbox kein TLS an? Theoretisch müsste das doch genau so gehen, sonst kann doch quasi jeder in meinem internen Netzwerk den Handshake abgreifen, oder verstehe ich das falsch?
@@Florian.Dalwigk Hinter der Version 1.3 habe ich ein→ (experimentel) gesehen. Ich bin auf dem Stand: In der Zeitschrift 3/2019 gibt es eine Artikel auf der Seite 19. Im Übertragenen Sinne: legale Hacker ähnliche Instanzen können bei 1'3 keine Nachschlüssel erlauben. {Es ist so endlig wie bei bundes troojaneer} Es würden Überwaachung möcchkeiten genommen... (Ich habe mich sehr kritisch ausgedrückt. ) Meine Frage bezieht sich mehr darauf, ob man sie die Einstellung aktiviert sollte oder nicht?
diesen (mit privatem Key) verschlüsselten Hash nennt man auch elektronische Signatur und er stellt die beiden Schutzziele Daten-Authentizität und -Integrität sicher, richtig?
Hallo Florian, danke für die super Erklärung. Endlich habe ich verstanden wie TLS funktioniert. Eine Frage habe ich dennoch. Warum wird der Hash Wert in Phase 3 der an den Server gesendet wird, nicht mit den öffentlichen Schlüssel des Servers verschlüsselt und dann an den Server gesendet sondert mit den privaten Schlüssel des Clients? Wenn der Server mit den öffentlichen Schlüssel des Clients den Hash Wert entschlüsseln kann, kann doch jeder den Hash Wert entschlüsseln, da der öffentliche Schlüssel vom Client davor unverschlüsselt kommuniziert wurde. Ich bin mir aber auch nicht sicher, ob ich nicht doch was falsch verstanden habe.
ich weiß nicht wie oft ich schon Erklärungen zum TLS Handshake gesehen habe, aber deine war definitiv die beste und verständlichste. Top!
Wow, dankeschön :)
@@Florian.Dalwigk alle anderen erklärungen waren SYNlos
SYNlos ... 😆
@@Florian.Dalwigk Informatikerhumor. War der Knaller während der Ausbildung :)
Also ich hab nur Bahnhof verstanden... :D
Dieses Video hätte ich vor zwei Jahren zur Vorbereitung einer Infomatik Klausur gebraucht. Jetzt musste ich feststellen, dass ich schon wieder einiges vergessan haben. Danke für die Möglichkeit das ganze nocheinmal zu wiederholen
Gerne!
Ui, neues video perfekt für mein Internet Referat :D
Top, viel Erfolg :) TLS ist sehr wichtig für die sichere Kommunikation zwischen Clients und Servern!
Top Qualität. Kurz und bündelig auf den Punkt gebracht. Danke
Gerne
Deine Videos bringen mich hier noch vor den Abschlussprüfungen über die runden!! Super Videos!
:)
Viel Erfolg für die Prüfung!
Danke für die Info und für das gute tutorial! 😄👍
Ich finde den Aufbau deines Videos sehr gut was man auch zugleich sehr gut versteht.
Top! ✅
Danke für dein Feedback :)
@@Florian.Dalwigk Kein Problem 👍
Hybride Verschlüsselung an einem praktischen Beispiel
Du bist echt klasse :)
Wirklich super erklärt und gesprochen. Vor allem zum Schluss der Bezug zur asymmetrischen/symmetrischen Verschlüsselung. Top.
Vielen Dank :)
Top erklärt und im Unterschied zu vielen anderen Erläuterungen 100 % richtig und ohne wesentliche Teile wegzulassen. 🗝 😊
Vielen Dank, super erklärt und sehr hilfreich!
Deine Videos sind sehr gut und verständlich :)
Danke dir
😊
Kleine Anmerkungen: Der gezeigte Handshake ist TLS 1.2, Client Zertifikat an den Server zu schicken ist nicht Pflicht, haben die meisten Leute ja eh nicht. In TLS 1.3 gibt es wegen Forwards Secrecy keinen RSA Key Exchange mehr, nur Diffie Hellmann und es reicht ein "Roundtrip", weil wegen der reduzierten Key Exchange Möglichkeiten der Client beim Verbindungsaufbau schon raten kann, welches Verfahren verwendet wird und das nicht ausgehandelt werden muss.
Danke für die Ergänzung!
Sehr informatives Video, danke!
Gerne 🙂
1 Stunde vor Abschlussprüfung danke dir loo
Ich wünsche dir viel Erfolg
Auf der Arbeit haben wir gerade ein Problem mit diesem Thema weil alte Skripte plötzlich nicht mehr auf Webseiten-Inhalte zugreifen können... total nervig, durch die Anhebung der TSL Version bricht quasi eine Tool-Kette in sich zusammen xD Danke für das Video, es hat mir sehr geholfen besser zu verstehen, wofür das Ganze gut ist. Auch der kleine Abriss der Historie am Anfang: sehr gut 👍
Viel Erfolg bei der Problemlösung!
Danke, sehr gut erklärt :))
OH MEIN GOTT- ich hab es endlich verstanden!!! 🙏🙏🙏
Ausgezeichnet!
@@Florian.Dalwigk Danke für das Video und die anschauliche Darstellung! Am Dienstag schreibe ich eine Klausur darüber
Viel Erfolg!
Das war ja sehr gut Verständlich erklärt.
Das freut mich!
Sehr gutes und detailliertes Video! :)
Danke dir!
Top Video
Welches Programm verwendest du zum animieren? Oder möchtest du das nicht beantworten?
Vielen Dank für die top Erklärung ❤
Gerne 🙃
Richtig gut, danke dir!
Gerne 🙃
Sehr gut erklärt. War interessant
Nice, perfekt für meine IT-Sicherheit Klausur :D
Viel Erfolg!
OyabunTM Same :D
@@Florian.Dalwigk Danke (Y)
Danke, schönes Video!
Würde mir übrigens mal ein Video über OAuth und dessen Funktionalität freuen.
Danke. Ist aktuell erstmal nicht geplant.
Wow°° Danke....
Gerne!
Hallo Florian,
Du sagst in Minute 5:20, dass der Client den Hash-Wert mit seinem privaten Schlüssel verschlüsselt und der Server mit dem öffentlichen Schlüssel des Clients die Nachricht entschlüsselt. Sollte der Client die Nachricht nicht mit dem öffentlichen Schlüssel des Servers verschlüsseln, dass dieser sie mit seinem privaten Schlüssel entschlüsseln kann, wie im Schritt zuvor?
Siehe mein Video zu digitalen Signaturen.
Sehr hilfreich 👍
klasse!
3:45 was sind diese Zertifikate, woher kommen die und was ist diese CA-Kette?
Dazu folgt noch ein Video. In der Zwischenzeit: de.wikipedia.org/wiki/Zertifizierungsstelle
Ein Video über die Funktionsweise von TPM Modulen wäre ganz interessant :D
Ich schaue mal, was sich machen lässt :)
ich habe hier mal eine Frage zu 04:28 : Die Public Keys wurden ja unverschlüsselt ausgetauscht. D.h. jeder, der den Datenverkehr mitschneidet, verfügt auch über die beiden Public Keys (vom Client + Server). Wäre es dann nicht auch möglich dieses Pre-Master Secret mit dem Public Key des Servers zu entschlüsseln und somit auch die komplette nachfolgende Kommunikation? Oder habe ich hier etwas falsch verstanden?
Dafür ist der private Schlüssel erforderlich
Innteresant
Das freut mich
Hi, ich hoffe du antwortes, hab in 2 Wochen meine Fisi Abschlussprüfung. 5:43
Hier sagst du, dass die ein Master Secret berechnen. Wie wird sichergestellt, dass beide das richtige haben? Wird da einfach offen drüber "gequatscht" weils ja eh bereits verschlüsselt ist oder gibts da noch einen zwischenschritt? Stehe da etwas aufm Schlauch
viel glück dir mein bester habe die Prüfung auch in zwei Wochen
Wiedermal ein klasse Video, vielen Dank für die Mühe und die tollen Erklärungen!
Ich habe allerdings noch eine Frage zum Client-Zertifikat.
Nachdem ich in den Kommentaren gelesen habe, dass TLS1.3 keine Pflicht birgt ein Clinet-Zertifikat zu senden und ich mir das Video zu digitalen Signaturen angesehen habe, frage ich mich:
1. Wo finde ich "mein" Client-Zertifikat im Computer (auch wenn ich selbst keine erstellt habe)? Und erstellte der Compuer selbst ein "Standard-Zertifikat"?
2. Wie kann der Server ohne ein Client-Zertifikat die Authentizität der Nachrichten gewährleisten?
Vielen Dank schon mal!
Wird es ein Video über die einzelnen Referenzmodelle geben?
Zu dem OSI und dem Internet-Schichtenmodell? ua-cam.com/video/ElDZMmcEi7w/v-deo.html
Toll erklärt. Wie ist deine Meinung zu SSL Interception? Positiv für Zwei-Scanner-Strategie oder negativ aufgrund der Verletzung von TLS. Das würde mich sehr interessieren. Danke.
Danke dir! Dazu werde ich ein eigenes Video machen!
@@Florian.Dalwigk Top. Ich freue mich schon darauf aus aktuellem Anlass.
Wird aber noch ein bisschen dauern :)
Warum verschlüsselt der Client den Hash eigentlich mit seinem privaten schlüssel und nicht dem öffentlichen vom server 4:58
ua-cam.com/video/z7-EmiKbEeE/v-deo.html
Kann man die Grafik bei 6:32 irgendwo herunterladen? Ich hätte die gerne für meine Unterlagen. Super Video.
Nein, die habe ich selbst erstellt.
Kann mir jemand einen link zu dem in 0:06 erwähnten video geben?
Das Video gibt es nicht mehr auf UA-cam. Es ist aber eines der Videos, das ich im Rahmen meiner HACKcember Challenges veröffentlicht habe. Ich glaube bei Challenge 3.
gibt es einen bestimmten Grund, warum der Austausch der Zertifikate in zwei unterschiedlichen Phasen stattfindet?
Protokollbedingt
Ich habe leider noch nicht ganz verstanden was es mit dem Hashwert in Phase 3 auf sich hat. Werden die gesamten Informationen ab Phase 1 von einer
dritten Person abgefangen, stehen dem Angreifer nach deiner Erkärung doch ebenfalls alle benötigten Informationen zum errechnen des Hashwerts zur Verfügung?
Die Verschlüsselung erfolgt hier asymmetrisch.
Wieso steht denn "experimentell" bei TLS 1.3 in den Windows Interneteigenschaften? Ich dachte es ist empfehlenswert, die neuste Version zu verwenden?
Das liegt daran, dass es das Protokoll erst seit 2018 gibt. Es ist jedenfalls sicherer als 1.0 und 1.1. Es wird auch nicht überall angeboten, 1.2 schon, deshalb sollte 1.2 auf jeden Fall aktiviert sein.
Wenn ein Angreifer die Nachrichten in Phase 1&2 mitliest, könnte er doch auch den späteren Datenverkehr einsehen oder nicht?
Nein, da das Pre-Master-Secret, hier z.B. mit RSA verschlüsselt wird, also asymmetrisch, nur der Server kann es wieder mit dem zum public key, welchen er versendet hat, gehörenden private key wieder entschlüsseln. Dazu kommt noch, dass der public key vom Server zertifiziert wird, das verhindert man-in-the-middle Angriffe, da der Angreifer seinen public-key nicht als zum gewünschten Server gehörig zertifizieren kann
wie checke ich tls unterstützung auf linux ab?
devanswers.co/test-server-tls-1-2-ubuntu/
... vielen Dank das die
englischen Fachbegriffe hier kurz ins Deutsche übersetzt werden - das ist selten !
👍
🙂
Kann es sein, dass du das Video 0:10 entfernt hast :D?
Ja
@@Florian.Dalwigk Schade :/
Vielleicht habe ich das nicht ganz verstanden, aber heißt das nicht, dass man als Hacker trotzdem alle Server Anfragen und Netzwerkaktivitäten aufnehmen kann und so den gesamten Prozess imitieren kann, um den Schlüssel zu erhalten?
Wie soll das deiner Ansicht nach funktionieren? Dafür sind doch das Pre-Master-Secret und dir Hashbildung da.
Danke für das Video! Aber die Windows Internetoptionen sind doch nur interessant, wenn man den alten Internet Explorer nutzt, der sowieso End of Life ist? Denn, sowohl beim neuen Chromium Edge als auch bei Firefox & Google Chrome, werden diese Einstellungen browserbasiert vorgenommen statt über die Internetoptionen. Diese sind nur relevant beim IE, dem alten Edge und teileweise für Anwendungen, die so etwas benötigen.
War hier zu Demonstrationszwecken gedacht.
Geht es nur per PC ? Weil ich besitze keinen und habe nur Mobile Internet ! Es zeigt mir aber im Wahts app , meine Freunde sind aber nicht zu sehen in wahts app oder es geht garnicht auf mein wahts app ! Kann sein das jemand mein handy gehackt hatte ? Gruß Petra
TLS funktioniert auch mobil
Und die Zufallszahl ist nur für den hash notwendig?
Welche Zufallszahl genau? Es werden mehrere generiert. Für den Hash sind alle bis dahin ausgetauscht Nachrichten relevant.
Warum bietet ein Router z.B. eine Fritzbox kein TLS an? Theoretisch müsste das doch genau so gehen, sonst kann doch quasi jeder in meinem internen Netzwerk den Handshake abgreifen, oder verstehe ich das falsch?
www.tutonaut.de/dns-over-tls-in-der-fritzbox-aktivieren-und-sicherer-surfen/
Sollten Sirver und Clienten die 1.3 Version in Deutschland unterstützen?
Meinst du, ob sie das SOLLTEN im Sinne von sie "müssen" es oder SOLLTEN im Sinne von "wäre gut, wenn, weil sie es aktuell nicht tun"?
@@Florian.Dalwigk Hinter der Version 1.3 habe ich ein→ (experimentel) gesehen.
Ich bin auf dem Stand: In der Zeitschrift 3/2019 gibt es eine Artikel auf der Seite 19.
Im Übertragenen Sinne: legale Hacker ähnliche Instanzen können bei 1'3 keine Nachschlüssel erlauben.
{Es ist so endlig wie bei bundes troojaneer}
Es würden Überwaachung möcchkeiten genommen...
(Ich habe mich sehr kritisch ausgedrückt. )
Meine Frage bezieht sich mehr darauf, ob man sie die Einstellung aktiviert sollte oder nicht?
Hast du nen Discord Server?
Nein
@@Florian.Dalwigk Benutzt du Discord?
Ja hat er: discord.com/invite/X7QU7GXC2u
Hey, kannst du mal ein Video zu PPoE machen? Es würde mich sehr interessieren ☺️
Mal schauen. Aktuell ist dazu noch nichts geplant.
@@Florian.Dalwigk Danke sehr! :) (Ich meine natürlich PPPoE, der Fehler ist mir gerade aufgefallen :D)
Ja, ist mir aufgefallen. Es ist trotzdem noch nichts dahingehend geplant. ;)
Bin mir nicht sicher hat sich der Sound verändert oder liegt es daran, dass ich es ausnahmsweise am Rechner schaue ? xD
Es haben irgendwie mehrere geschrieben, dass sich der Ton verändert hat. Ich habe aber irgendwie nichts geändert :D
"Hyper Text Transfer Protocol over Transport Layer Security"
Ja, das ist die ausführliche Bezeichnung.
Deine Stimme klingt heute ja ganz anders (positiv), oder bilde ich mir das nur ein? :P
Ich weiß nicht 😄
diesen (mit privatem Key) verschlüsselten Hash nennt man auch elektronische Signatur und er stellt die beiden Schutzziele Daten-Authentizität und -Integrität sicher, richtig?
Siehe dazu mein Video zu digitalen Signaturen
@@Florian.Dalwigk ach du hast da sogar ein extra Video zu gemacht 🙂
@kissenklauer7011 na logisch ;) Einfach mal in der Kanalsuche "digitale Signaturen" eingeben.
Ich vermisse meine IT-Lehre... xD
Wieso?
Hallo Florian, danke für die super Erklärung. Endlich habe ich verstanden wie TLS funktioniert. Eine Frage habe ich dennoch. Warum wird der Hash Wert in Phase 3 der an den Server gesendet wird, nicht mit den öffentlichen Schlüssel des Servers verschlüsselt und dann an den Server gesendet sondert mit den privaten Schlüssel des Clients? Wenn der Server mit den öffentlichen Schlüssel des Clients den Hash Wert entschlüsseln kann, kann doch jeder den Hash Wert entschlüsseln, da der öffentliche Schlüssel vom Client davor unverschlüsselt kommuniziert wurde. Ich bin mir aber auch nicht sicher, ob ich nicht doch was falsch verstanden habe.
Hast du wirklich den Internet Explorer aufgemacht? 😂
Offensichtlich
Das Video hätte ich vor zwei Wochen für meine Infomatik Klausur gebraucht XD
Oh man 😄 Wie lief es?
Ich glaube ich sollte mal ein update machen verwende noch TLS 1.0
Uff, ja, das wäre gut 😄
Ich bin ein Wiederkehrendes Kommentar
🤖