Unterschied SSL-, SSH- und TLS-Verschlüsselung

IT-Sicherheit

Hinter SSH und SSL verstecken sich zwei Verfahren zur Verschlüsselung bei Netzwerkverbindungen. Bezüglich Ursprung und Zweck unterscheiden sich die beiden Methoden deutlich. Vereinfacht ausgedrückt wird mit SSL die Verschlüsselung der Daten betrieben, während SSH für eine sichere Kommunikationsverbindung zwischen einem Client und einem Server sorgt. Als Erklärung reicht das aber noch nicht. Im Wesentlichen geht es hier um die zwei Säulen der IT-Sicherheit schlechthin. Auf der einen Seite – bei SSL – sollen der Missbrauch und das Ausspionieren von Daten verhindert werden. Auf der anderen Seite – bei SSH – sollen sichere Zugänge zu zentralen Rechnern Hacker- oder Sabotageattacken verhindern.

Um an die Unterschiede detaillierter heranzugehen, müssen beide Protokolle separat betrachtet und – zumindest bis zu einem gewissen Grad – verstanden werden.

Was verbirgt sich hinter der Abkürzung SSL und TLS?

SSL steht für Secure Sockets Layer und ist heute bereits ein veralteter Standard. Der Nachfolger heißt TLS, was für Transport Layer Security steht. Die Unterschiede sind relativ gering, aufgrund einiger zusätzlicher Funktionen ist TLS aber noch sicherer als das Vorgänger-Verfahren. Es handelt sich um ein sogenanntes hybrides Verschlüsselungsprotokoll, das asymmetrische und symmetrische Verfahren kombiniert einsetzt. Was ist das genau?

Asymmetrisches Public-Key-Verfahren

Zunächst wird ein Schlüsselpaar erzeugt, das aus einem öffentlichen und einem dazugehörigen privaten Key besteht. Unter Verwendung des Public-Schlüssels wird der Text chiffriert und versendet. Der Empfänger muss mit seinem passenden Privat Key die Daten wieder entschlüsseln.

  • Relativ hohe Sicherheit
  • Wenige Schlüssel
  • Kein Schlüsselverteilungsproblem
  • Erheblich langsamer
  • Sehr lange Schlüssel
  • Explizite Verschlüsselung

Symmetrische Verschlüsselung:

Bei diesem Kryptosystem nutzen Absender und Empfänger denselben Key.

  • Triviales Schlüsselmanagement
  • Hohe Geschwindigkeit
  • Ein Key für Ent- und Verschlüsselung
  • Schlüssel muss transportiert werden
  • Große Schlüsselanzahl

Wie funktioniert TLS bzw. SSL?

Zunächst wird ein symmetrischer Sitzungsschlüssel (Session-Key) generiert, der anschließend die schützenswerten Daten codiert und versendet. Auf dem Endgerät angekommen nimmt dessen Public-Key die Daten in Empfang und dechiffriert sie asymmetrisch. Durch dieses Verfahren können asymmetrische Einmalschlüssel an die Empfänger verteilt und gleichzeitig die schnellere symmetrische Verschlüsselung für den Datentransport genutzt werden. SSL bzw. dessen Nachfolger TLS kommt insbesondere bei https-Verbindungen zur Anwendung, weshalb die meisten Webserver TLS mit Camellia- oder AES-Algorithmen einsetzen.

Unterschied TLS / SSL
Unterschied zwischen TLS und SSL.

Im Klartext heißt das: TLS ist das Protokoll und legt die Rahmenbedingungen für die verschlüsselte Übertragung fest. AES und Camellia sind die Methoden, mit denen die Chiffrierung umgesetzt wird.

Was bedeutet SSH?

SSH steht für Secure Shell und ist ein Netzwerkverschlüsselungsprotokoll, das einem ganz anderen Ansatz als TLS beziehungsweise SSL entsprungen ist. Nachdem die im Klartext transportierten Daten mehrerer Telnet- oder RSH-Verbindungen in diversen Fällen mittels einer sog. Sniffer-Software mitgelesen worden waren, suchte der Finne Tatu Ylönen Mitte der 1990er Jahre nach einer sicheren Möglichkeit, sich von seinem PC mit einem Unix-Server verbinden zu können. Dabei ging es ihm nicht um die Verschlüsselung persönlicher Daten, Office-Dateien, Webseiteninhalten oder beim Webhosting. Er wollte einen Weg finden, von seinem PC aus sicher auf einem Server arbeiten zu können, ohne Gefahr zu laufen, im Netz ausspioniert zu werden. SSH ist eines der Grundprotokolle des Internets. Dies kann an der TCP-Portnummer 22 erkannt werden. Nur die wesentlichen Dienste erhielten seinerzeit von der IANA, der Zuordnungsstelle für Nummern und Adressen im Internet, zweistellige Werte.

Wie läuft der Verbindungsprozess mit SSH ab?

Ganz anders als SSL beziehungweise TLS setzt SSH nur das asymmetrische Public-Key-Prinzip ein. Dafür sendet der Server als Erstes seinen Public Key, den der Client verschlüsselt zurückschickt. Mit seinem passenden Privat Key ausgestattet kann der Server nun verschlüsselte Verbindungen mit dem Client zulassen. Ein Problem stellt sich ein, wenn sich ein Proxy-Server oder eine Firewall auf dem Weg befindet.

Dafür werden entweder andere, weiterentwickelte Protokolle (HTTPS) und Zertifikate genutzt, oder es wird ein SSH-Tunnel angelegt, der den Datenpaketen ein anderes Protokoll verpasst. Dieses wird zwischen den Tunnelendpunkten nicht erkannt und als weiterleitbare Daten interpretiert.

Verbindungsprozess SSH
Verbindungsprozess mit SSH.