|
| Hvor og hvordan foregår kryperingen ved e-~ Fra : Jakob Munck |
Dato : 24-05-02 21:08 |
|
Jeg har tit spekuleret over hvordan den påståede kryptering af ens
kontonummer foregår,
når man handler på nettet. Når jeg indtaster mit kontonummer i en form og
trykker på "Send", bliver dette kontonummer så krypteret inden det sendes
til den forretning jeg køber varen fra (eller dens bank)? Hvis det er
tilfældet, så må den software der foretager krypteringen jo ligge på min pc,
så krypteringen kan foregå clientside, og hvor ligger denne
krypteringsalgoritme? Den er vel ikke en del af IE? Eller bliver den "sendt"
fra forretningen til min browser, når jeg beder om at få sendt mit
kontonummer til sælgeren?
Jeg forstår ikke rigtig teknikken. Hvem kan foreklare hvor krypteringen
foregår, og hvordan det sikres at en person der "aflytter" min
internetforbindelse ikke kan læse mit kontonummer?
v.h.
Jakob Munck
| |
Kasper Dupont (25-05-2002)
| Kommentar Fra : Kasper Dupont |
Dato : 25-05-02 01:16 |
|
Jakob Munck wrote:
>
> Jeg har tit spekuleret over hvordan den påståede kryptering af ens
> kontonummer foregår,
> når man handler på nettet. Når jeg indtaster mit kontonummer i en form og
> trykker på "Send", bliver dette kontonummer så krypteret inden det sendes
> til den forretning jeg køber varen fra (eller dens bank)? Hvis det er
> tilfældet, så må den software der foretager krypteringen jo ligge på min pc,
> så krypteringen kan foregå clientside, og hvor ligger denne
> krypteringsalgoritme? Den er vel ikke en del af IE? Eller bliver den "sendt"
> fra forretningen til min browser, når jeg beder om at få sendt mit
> kontonummer til sælgeren?
>
> Jeg forstår ikke rigtig teknikken. Hvem kan foreklare hvor krypteringen
> foregår, og hvordan det sikres at en person der "aflytter" min
> internetforbindelse ikke kan læse mit kontonummer?
Krypteringen foregår i browseren. Jeg vil forklare, hvordan det i
princippet foregår. (Men der kan naturligvis findes fejlbehæftede
browsere.)
Browseren er på forhånd udstyret med de nødvendige signatur og
krypterings algoritmer. Desuden kender browseren den offentlige
nøgle på et antal certificerings autoriteter.
Når du kontakter en server vha https protokolen sender serveren
et certifikat til dig. Dette certifikat indeholder navnet på
serveren, navnet på serverens ejer, serverens offentlige nøgle,
og oplysning om, hvilken certificerings autoritet, der har
underskrevet certifikatet.
Browseren checker at certifikatet er korrekt underskrevet, samt
at det er et certifikat for den rigtige server. Hvis der er
noget galt råber browseren op, så du ikke er i tvivl.
Hvis alt gik godt kender browseren nu serverens offentlige nøgle,
dermed kan browseren aftale en sessionsnøgle med serveren. Og
browseren ved, at kun den selv og den korrekte server kender
sessionsnøglen. Denne nøgle kan så anvendes til kryptering og
signatur af resten af kommunikationen.
Dette er en lidt simplificeret beskrivelse af protokollen, men
skulle give en idé om, hvordan det virker.
--
Kasper Dupont -- der bruger for meget tid på usenet.
For sending spam use mailto:razor-report@daimi.au.dk
| |
Thomas B. Maxe (25-05-2002)
| Kommentar Fra : Thomas B. Maxe |
Dato : 25-05-02 13:17 |
|
"Jakob Munck" <jakob.munck@tdcadsl.dk> wrote in message
news:3cee99d2$0$97307$edfadb0f@dspool01.news.tele.dk...
> Jeg har tit spekuleret over hvordan den påståede kryptering af ens
> kontonummer foregår,
> når man handler på nettet.
Måske kan du få glæde af at lege lidt med en demo af SSL-kryptering:
http://demo.certifikat.dk
Med venlig hilsen
Thomas B. Maxe
(som i denne forbindelse repræsenterer sig selv og ikke TDC Internet)
| |
Dennis Jakobsen (25-05-2002)
| Kommentar Fra : Dennis Jakobsen |
Dato : 25-05-02 15:59 |
|
Jakob Munck wrote:
> Jeg har tit spekuleret over hvordan den påståede kryptering af ens
> kontonummer foregår,
> når man handler på nettet. Når jeg indtaster mit kontonummer i en form og
> trykker på "Send", bliver dette kontonummer så krypteret inden det sendes
> til den forretning jeg køber varen fra (eller dens bank)? Hvis det er
nej, ikke selve nummeret.. hele forbindelsen er krypteret.. eller det
skulle den da gerne være!! :)
der skulle være et lille ikon af en lås i status baren når forbindelsen
er krypteret..
> tilfældet, så må den software der foretager krypteringen jo ligge på min pc,
> så krypteringen kan foregå clientside, og hvor ligger denne
> krypteringsalgoritme? Den er vel ikke en del af IE? Eller bliver den "sendt"
jo, det er en del af IE.. og alle andre browsere der understøtter TLS/SSL
> fra forretningen til min browser, når jeg beder om at få sendt mit
> kontonummer til sælgeren?
>
> Jeg forstår ikke rigtig teknikken. Hvem kan foreklare hvor krypteringen
> foregår, og hvordan det sikres at en person der "aflytter" min
> internetforbindelse ikke kan læse mit kontonummer?
hvis du sikrer dig at det ovennævnte 'låse ikon' er tilstede når du
sender dit nummer, så kan du være ret sikker på der ikke er nogen der
lytter.. og hvis de lytter får de en masse krypteret skrammel der vil
tage dem årtier at dekryptere.. (med alm. pc'ere i hvert fald!)
Dennis
| |
Christian E. Lysel (26-05-2002)
| Kommentar Fra : Christian E. Lysel |
Dato : 26-05-02 09:50 |
|
Dennis Jakobsen wrote:
> hvis du sikrer dig at det ovennævnte 'låse ikon' er tilstede når du
> sender dit nummer, så kan du være ret sikker på der ikke er nogen der
> lytter.. og hvis de lytter får de en masse krypteret skrammel der vil
> tage dem årtier at dekryptere.. (med alm. pc'ere i hvert fald!)
Det sikre blot at kommunikationen er krypteret, men ikke hvem det er
krypteret til.
Hvis du svarer ja til at det er ok, at server navnet ikke stemmer
overens med certifikatet, kan du reelt være udsat for at lave en
krypteret forbindelse til angriberen, det blot proxier trafikken videre
til banken.
Og i ovenstående vil det ikke være krypteret skrammel for angriberen!
| |
|
|