Cryptography Reference
In-Depth Information
noch von der Anwendung beeinflussbar ist. Von Nachteil ist jedoch, dass SSL nur
über TCP, nicht aber über UDP einsetzbar ist. Dadurch lassen sich Dienste wie
TFTP, DNS und insbesondere Internettelefonie nicht mit SSL absichern.
Wären in den Protokollen der TCP/IP-Familie Sicherheitsvorkehrungen von
Anfang an vorgesehen gewesen, dann hätte sich ein Protokoll wie SSL, das eine
eigene Schicht für sich in Anspruch nimmt, sicherlich nicht durchgesetzt. Durch
die Versäumnisse früherer Internettage hat sich SSL jedoch zum Erfolgsmodell
unter den Krypto-Protokollen entwickelt.
35.3.1
Vergleich zwischen IPsec und SSL
IPsec und SSL sind sich in ihrer Wirkungsweise auf den ersten Blick recht ähnlich.
Beide bieten einen sicheren Kanal unterhalb der Anwendungsebene zwischen zwei
ans Internet angeschlossenen Rechnern. Dennoch gibt es einige Unterschiede:
SSL lässt nur eine Ende-zu-Ende-Verbindung zu. IPsec kann dagegen auch
Teilstrecken zwischen zwei Routern verschlüsseln.
SSL ist näher an der Anwendung und kann die verwendeten Verfahren auf die
übertragenen Daten abstimmen. IPsec kann dagegen nur durch gravierende
Verletzungen des Schichtenparadigmas auf die entsprechende Anwendung
eingehen.
SSL arbeitet nicht mit UDP-basierten Schicht-7-Protokollen wie TFTP, DNS,
L2TP und PPTP zusammen. Auch Internettelefonie wird mit UDP realisiert
und kann daher nicht mit SSL abgesichert werden.
SSL lässt sich leichter in bestehende Netze integrieren, da es zwischen zwei
Schichten ansetzt. IPsec erfordert jedoch die Änderung bestehender Protokolle.
IPsec verwendet zum Schlüsselmanagement ein Schicht-7-Protokoll (IKE). Bei
SSL spielt sich dagegen alles in einer Schicht (oder genauer: in den zwei Teil-
schichten) ab.
IPsec ist aus mehreren Bestandteilen aufgebaut (ESP, AH, IKE), die teilweise
einen unterschiedlichen Ursprung haben und innerhalb der IETF zusammen-
gefügt wurden. SSL ist im Vergleich dazu ein homogeneres Protokoll, das von
einem Unternehmen (Netscape) entwickelt wurde. Durch die unterschiedliche
Entstehung ist es auch zu erklären, dass IPsec komplexer, dafür aber auch leis-
tungsfähiger ist. Dieser Umstand hat auch dazu geführt, dass die Standardi-
sierung von SSL schneller und unspektakulärer ablief als bei IPsec.
Eine häufig gestellte Frage ist, ob man eine sicherheitskritische Client-Server-
Lösung, die über das Internet zugänglich sein soll, als Webportal mit SSL oder als
VPN-Lösung mit IPsec realisieren soll. Eine solche Fragestellung taucht etwa
dann auf, wenn eine Versicherung ihren Vertretern eine Online-Datenbank mit
Preis- und Kundeninformationen zur Verfügung stellen will. Die Anwort lautet
meist: Im heterogenen Umfeld ist SSL zu bevorzugen, während in homogenen
Search WWH ::




Custom Search