Cryptography Reference
In-Depth Information
37.1.2
Digest Access Authentication
Da die in Version 1.0 von HTTP enthaltene Basic Authentication Mallory kaum
einen Schrecken einjagt, wurde mit der Version 1.1 ein weiterer Authentifizie-
rungsmechanismus eingeführt. Dieser wird als
Digest Access Authentication
bezeichnet und wird in [RFC2617] beschrieben. Es handelt sich dabei um ein
Challenge-Response-Verfahren. Die Funktionsweise der Digest Access Authenti-
cation ist recht einfach: Will Bob seine Webseite nicht für die Allgemeinheit, son-
dern nur für Alice zugänglich machen, dann vereinbart er mit ihr ein Passwort
(wie bei der Basic Authentication). Will Alice diese Seite mit ihrem Webbrowser
laden, dann schickt Bobs Webserver eine Zufallszahl (Challenge) an Alice. Alice
wendet auf diese Zufallszahl, das vereinbarte Passwort, die Webadresse und
einen Teil des HTTP-Headers eine kryptografische Hashfunktion an, deren
Ergebnis sie an Bobs Webserver zurückschickt. Dieser prüft das Ergebnis und sen-
det im Erfolgsfall die Webseite. Als Hashfunktion für die Digest Access Authenti-
cation ist MD5 vorgesehen, es können jedoch auch andere verwendet werden.
Wie im RFC 2617 vermerkt wird, ist die Digest Access Authentication »keine
komplette Antwort für die Sicherheitsbedürfnisse des World Wide Web«. Die
Digest Access Authentication ist vielmehr ein Mittelweg: Ist SSL zu aufwendig
und die Basic Authentication zu unsicher, dann ist die Digest Access Authentica-
tion die richtige Wahl.
37.1.3
NTLM
NTLM
(NT LAN Manager) ist ein Netzwerkprotokoll der Firma Microsoft
[Glass]. Es wird auch als
NTCR
(NT challenge/response) bezeichnet. Mit NTLM
kann sich Alice gegenüber einem Webserver authentisieren. Dieser Vorgang
erfolgt automatisch, nachdem sie sich an ihrem Windows-Client angemeldet hat.
NTLM bietet also ein Single Sign-On. NTLM ist eine proprietäre Lösung der
Firma Microsoft und ist daher vor allem in Produkten dieses Herstellers imple-
mentiert. Allerdings unterstützen beispielsweise auch der Mozilla Firefox, Opera
und der Apache Web Server dieses Protokoll. NTLM sieht eine Challenge-Res-
ponse-Authentifizierung vor, die den DES sowie MD4 oder MD5 zur Berechnung
der Response verwendet.
37.1.4
HTTP über SSL (HTTPS)
Mit der Digest Access Authentication und NTLM gibt es zwar kryptografische
Sicherheitsmechanismen für HTTP. Diese dienen jedoch nur der Authentifizie-
rung, nicht aber der Verschlüsselung. Wenn neben Authentizität auch Vertrau-
lichkeit gefordert ist, kommt im World Wide Web oft SSL ins Spiel. Von SSL,
einem Krypto-Protokoll für die Transportschicht, war bereits in Kapitel 35 die
Rede. Durch seine Lage zwischen TCP und einem Protokoll der Anwendungs-
