rein theoretisch: wie kann SSH o.ä. funktionieren?

Hallo,

ich komm' mir ein bisschen blöd beim stellen der Frage vor.
Was genau bringt mir eigentlich SSH?
Hab' mich bezüglich des Themas auch schon belesen aber so richtig den Nutzen erkennen konnte ich noch nicht. Wenn ich in der Mitte einer Leitung zwischen client und server sitze bekomm' ich ja eh alle Datenpakte und auch alle Schlüssel und kann somit ja auch alles entschlüsseln und mitlesen, oder? Aus welchem Grund wird es denn genau verwendet oder wo hab' ich meinen Denkfehler?

grüße

Weil man mit SSH eben genau das verhindern kann, indem man eine Punkt-zu-Punkt-Verbindung mittels ssh aufbaut und alle Datenpakete dann durch eben diesen Tunnel leitet - verschlüsselt und für den Rest der Welt unsichtbar.

Ja. Aber physikalisch gesehen geht ja trotzdem alles über eine Leitung. Es geht ja nicht zum Beispiel der Schlüssel über die Telefonleitung oder über einen Boten oder so...
Also wenn man an einem PC als gateway einen anderen PC einstellt, der alle Datenpakete abfängt und weiterleitet, dann bringt ja die ganze Verschlüsselung nichts, oder?
Z.B. kriegt ja mein Internet-Provider auch alle Datenpakte von mir mit...

Ok - der knackpunkt wäre dann ja bei der Authentifizierung oder? Also wenn ein sich ein anderer PC dazwischenschaltet merkt der eine auch, dass das nicht der Kollege ist, mit dem er kommunizieren will. Und wie authentifiziert sich dann der PC? Ein dazwischengeschalteter könnte ja eigentlich die Pakete abändern. Was ist denn so ein Merkmal an einem PC, dass ihn identifizierbar macht? In Realität ist's ja klar - da seh' ich mit wem ich rede. Wie kriegt das SSH hin?
(die Fragen sind schon komisch aber ich komm' von allein nicht drauf..)

die Fragen sind schon komisch aber ich komm' von allein nicht drauf.

Zum Vergrößern anklicken....

wieso, wer bringt dich denn auf diese komischen fragen?

ich mich selber (ernsthaft). Hört sich vllt so an als wollt' ich irgendwas böses machen (dazu reicht mein wissen, wie man sieht ja eh net aus). Aber wenn ich mich z.b. bei ner webiste einlogg un die ssl benutzt und so dann denk' ich so nach wie das funktioniert und komm' dann auf die Idee, dass mein Vater rein theoretisch alles mitlesen könnte (LAN)... und dann hab ich mich gefragt was das nützt

dann lies doch das verlinkte, wird nicht weh tuen.....stell' dir'n paar kekse dazu...

VinceWindel schrieb:

Aber physikalisch gesehen geht ja trotzdem alles über eine Leitung.

Zum Vergrößern anklicken....

richtig. aber ...

Es geht ja nicht zum Beispiel der Schlüssel über die Telefonleitung oder über einen Boten oder so...

Zum Vergrößern anklicken....

doch ... wenn du sicher sein willst, daß das von dir beschriebene nicht passiert, dann schickst du die erzeugten schlüssel (den sogenannten public key) über eine verschlüsselte e-mail oder auf einem medium das wiederum verschlüsselt ist an den kontrahenten zu dem du eine ssh verbindung aufbauen willst. dieser spielt den schlüssel lokal auf den rechner ein, so daß sich später nur der rechner der den passenden privaten schlüssel (private key) besitzt eine verbindung zu dem rechner der den öffentlichen schlüssel (public key) besitzt aufbauen kann. und um ganz sicher zu sein, kann man den schlüsseln noch einen sogenannten fingerprint mitgeben. diesen fingerprint kann man dann beim verbinden zusätzlich abfragen. und nur wenn der fingerprint auf beiden rechnern identisch ist, wird eine ssh verbindung etabliert. und ab dem zeitpunkt läuft dann die kommunikation verschlüsselt ab.

Also wenn man an einem PC als gateway einen anderen PC einstellt, der alle Datenpakete abfängt und weiterleitet, dann bringt ja die ganze Verschlüsselung nichts, oder?
Z.B. kriegt ja mein Internet-Provider auch alle Datenpakte von mir mit...

Zum Vergrößern anklicken....

doch, siehe oben. der provider hat ja deinen public key nicht und kann daher die daten die er abfangen würde auch nicht entschlüsseln. wenn er das doch versucht, würde er mit der heutigen technik einen hohen aufwand betreiben müssen um den key zu knacken. und dieser aufwand lohnt sich bei privaten daten nun wirklich nicht ...

greetz

hugo

also erstmal danke für die direkte antwort.
Also das mit der verschlüsselten Mail klingt ja erstmal logisch - aber wenn die auch über den abhörenden PC geht, dann kriegt der ja wiederum den Schlüssel für die Mail mit, mit dem er dann die mail entschlüsseln kann und so an den eigentlichen Schlüssel kommt - oder?

VinceWindel schrieb:

Also das mit der verschlüsselten Mail klingt ja erstmal logisch - aber wenn die auch über den abhörenden PC geht, dann kriegt der ja wiederum den Schlüssel für die Mail mit, mit dem er dann die mail entschlüsseln kann und so an den eigentlichen Schlüssel kommt - oder?

Zum Vergrößern anklicken....

lass ihn doch den schlüssel kriegen, da der ja nochmal verschlüsselt ist kann er damit auch nichts anfangen. die paraphrase oder den fingerprint der verschlüsselten datei kannst du dem empfänger auch post zuschicken oder du gehst einfach selber bei dem vorbei ...

greetz

hugo

Ok - darauf wollt ich eigentlich hinaus.. Also hab' ich das richtig verstanden, dass man, wenn man sich zwischen 2 PCs schaltet - trotz jeder Verschlüsselung - ja eigentlich alles mithören kann...
Hab mir nämlich echt den Kopf zerbrochen wie das gehen soll mit den ganzen Schlüsseln...

VinceWindel schrieb:

Also hab' ich das richtig verstanden, dass man, wenn man sich zwischen 2 PCs schaltet - trotz jeder Verschlüsselung - ja eigentlich alles mithören kann...

Zum Vergrößern anklicken....

nein, wenn verschlüsselt ist und die schlüssel bzw. die fingerprints auf einem sicheren weg zu dem anderen rechner kommen, kann der der mitschneidet nichts mit dem mitgeschnittenen anfangen. und das ist doch der status quo im internet. nach deiner deffinition gäbe es keine sichere verbindungen wie ssh, sftp, shttp usw. klar gibt es auch fälle wo sichere leitungen geknackt werden, da ist aber meist eine menschliche schwachstelle die das knacken erleichtert hat, entweder durch zu schwache verschlüsselung, unsachgemäßer umgang mit den schlüsseln, kein richtiger schutz von innen usw. denn: eins ist auch klar, die größte gefahr in firmen geht von innen aus und nicht von außen aus dem internet. selbst administratoren schützen ihren account unzureichend, passwörter werden fahrlässig einfach gehalten bis hin zu den fällen, daß passwörter an der tastatur oder am bildschirm im klartext geschrieben kleben, so daß jeder beliebige mitarbeiter zugang zu wichtigen systemen bekommen kann.

greetz

hugo

hm ich glaub ich arbeite mich nochmal n bissle in das Thema ein. Hab' noch ein bisschen Probleme das ganze zu verstehen...
Vllt. komm ich ja irgendwann auch noch dahinter.
Noch->ne konkrete Frage: Wie wird es realisiert, dass der Schlüssel/Fingerprint auf einem sicheren Weg zu einem anderen Rechner kommt? Da komm' ich nämlich nicht ganz mit

cheers

VinceWindel schrieb:

hm ich glaub ich arbeite mich nochmal n bissle in das Thema ein. Hab' noch ein bisschen Probleme das ganze zu verstehen...

Zum Vergrößern anklicken....

tu das mal ... hier mal alles über kryptologie aus wikipedia:

http://de.wikipedia.org/wiki/Kategorie:Kryptologie

Noch->ne konkrete Frage: Wie wird es realisiert, dass der Schlüssel/Fingerprint auf einem sicheren Weg zu einem anderen Rechner kommt? Da komm' ich nämlich nicht ganz mit

Zum Vergrößern anklicken....

z.b. über den postweg, dh. datenträger mit den schlüsseln drauf auch verschlüsseln und an den admin der gegenverbindungsstelle schicken. hier ein paar programme zum verschlüsseln:

http://www.wintotal.de/Artikel/verschluesselung/verschluesselung.php

greetz

hugo
..http://www.wintotal.de/Artikel/verschluesselung/verschluesselung.php

Also danke nochmal für die Antwort. Ich glaub' ich hab' jetzt ungefähr verstanden, wie das funktioniert. Es wird ja dann meistens Asymetrische Verschlüsselung gebraucht. Und jetz hab' ich da auch verstanden, dass man mit dem public key nur ver- aber nicht entschlüsseln kann. Dann macht das gnaze natürlich Sinn und ein Kollege, der alle Daten abfängt kann damit gar nix anfangen

Also danke nochmal für die vielen Tipps!

Grüße