P128 - Sicherheit 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI)
Auflistung P128 - Sicherheit 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI) nach Schlagwort "Authentifikation"
1 - 1 von 1
Treffer pro Seite
Sortieroptionen
- KonferenzbeitragNutzung von selbstsignierten Client-Zertifikaten zur Authentifikation bei SSL/TLS(SICHERHEIT 2008 – Sicherheit, Schutz und Zuverlässigkeit. Beiträge der 4. Jahrestagung des Fachbereichs Sicherheit der Gesellschaft für Informatik e.V. (GI), 2008) Jager, Tibor; Jäkel, Heiko; Schwenk, JörgFür die sichere browserbasierte Kommunikation im Internet wird heutzutage häufig das SSL-Protokoll benutzt. In der Regel weist sich der Server dabei mit einem von einer vertrauenswürdigen Partei (CA) signierten Zertifikat gegenüber dem Benutzer aus. Der Benutzer authentifiziert sich über einen Login mit Benutzername und Passwort. Diese Form der Authentifizierung ist allerdings anfällig für Attacken wie Phishing, Pharming und Identitätsdiebstahl, da sich jeder Angreifer, der in den Besitz des Passworts kommt, erfolgreich damit bei dem Server authentifizieren kann. Ausserdem zeigt die Erfahrung, dass viele Benutzer nicht darauf achten, ob ihr Passwort stets über eine sichere Verbindung übertragen wird. Um diesen Risikofaktor zu eliminieren, kann sich ein Benutzer bei SSL auch mit einem Zertifikat gegenüber dem Server authentifizieren. Dies wird allerdings in der Praxis selten genutzt, da kaum ein Webservice diese Möglichkeit anbietet und nur die wenigsten Benutzer über ein Zertifikat von einer kommerziellen Certification Authority (CA) verfügen. Wir präsentieren in dieser Arbeit einen Ansatz zur Verwendung von selbstsignierten Client-Zertifikaten, welcher im Wesentlichen darauf basiert dass der Benutzer sich selbst ein Zertifikat ausstellt und sich damit beim Server authentifiziert. Beispielhaft wurde hierfür ein Plugin für den Firefox-Browser [Moz07] implementiert und mit dem Apache-Webserver [Apa07] getestet.