DTLS

Definition, Funktion und Ablauf

Teilen Sie den Artikel
Ein Mann steht in einem Serverraum

Die Abk├╝rzung DTLS steht f├╝r Datagram Transport Layer Security und bezeichnet ein Sicherheitsprotokoll, das f├╝r den Schutz der Privatsph├Ąre in der elektronischen Kommunikation zust├Ąndig ist. Um Daten verschl├╝sselt ├╝ber IP-Netze wie das Internet zu ├╝bertragen, nutzt DTLS das User Data Protocol (UDP). Auf diese Weise sch├╝tzt DTLS den Datenaustausch von Client/Server-Applikationen vor Manipulation.

1. Wie funktioniert DTLS?

1. Wie funktioniert DTLS?
Eine Frau kommuniziert ├╝ber ihren Computer
Dank des DTLS k├Ânnen Daten verschl├╝sselt versendet und sichere Verbindungen aufgebaut werden

Datagram Layer Security ist im ISO/OSI-Schichtenmodell genau wie die Transport Layer Security auf der Sitzungsschicht angesiedelt. DTLS wurde entwickelt, um Daten verschl├╝sselt ├╝ber potenziell unsichere IP-Netze wie das Internet auch ├╝ber das verbindungslose UDP ├╝bertragen zu k├Ânnen. Damit dies funktioniert, wurden einzelne Bestandteile und Protokolle der Transport Layer Security angepasst.

Der Austausch von Informationen ├╝ber Datagram Transport Layer Security l├Ąsst sich in zwei Phasen aufteilen:
Erste Phase:

Hier findet der Verbindungsaufbau zwischen den Kommunikationspartnern per UDP statt. Je nach Anforderung weisen entweder beide Partner ihre Identit├Ąt nach oder nur einer von ihnen. Au├čerdem werden die Sitzungs- und Sicherheitsparameter ausgehandelt.

Zweite Phase:

Ist der Verbindungsaufbau erfolgreich, wird die eigentliche ├ťbertragung der Daten ├╝ber das Transportprotokoll UDP eingeleitet. Dabei werden die zuvor festgelegten Verschl├╝sselungsalgorithmen und Schl├╝ssel verwendet.

2. Das Transport Layer Record Security Protocol

2. Das Transport Layer Record Security Protocol

F├╝r die Transport Layer Security ist das sogenannte Transport Security Record Protocol in DTLS-spezifischer Form von zentraler Bedeutung, da es nicht nur die unterste Schicht f├╝r weitere Protokolle bildet, sondern auch die Verbindung absichert. Zu den Hauptaufgaben des Transport Security Record Protocols z├Ąhlen die Ende-zu-Ende-Verschl├╝sselung sowie die Sicherung der Nachrichtenintegrit├Ąt und Authentizit├Ąt.

Auf dem Transport Layer Security Record Protocol bauen insgesamt vier weitere Protokolle auf:

  • Das Transport Layer Security Handshake Protocol in DTLS spezifischer Form
  • Das zu TLS identische Transport Layer Security Alert Protocol
  • Das zu TLS identische Layer Security Change Cipher Spec Protocol
  • Das Transport Layer Security Application Data Protocol

3. Anpassungen in DTLS aufgrund der Nutzung von UDP

3. Anpassungen in DTLS aufgrund der Nutzung von UDP

Der ungesicherte Transportdienst UDP garantiert nicht, dass alle Datenpakete ihr Ziel erreichen. Um diesen dennoch nutzen zu k├Ânnen, sind daher gegen├╝ber TLS verschiedene Anpassungen n├Âtig, da die m├Âglichen Verluste einzelner Pakete protokolltechnisch abgefangen werden m├╝ssen.

Handshake-Verfahren:

Dieses Verfahren ist f├╝r den Schl├╝sselaustausch und die Authentifizierung zust├Ąndig. Als Anpassung an DTLS werden hier Mechanismen zur Nummerierung und Timeout-Erkennung eingef├╝gt, mit deren Hilfe festgestellt werden kann, ob ein Paket verloren gegangen ist und erneut gesendet werden muss.

Blockweise Verschl├╝sselung:

Wenn ein einzelner verschl├╝sselter Block bei der ├ťbertragung verloren geht, lassen sich die nachfolgenden Bl├Âcke nicht mehr entschl├╝sseln. Daher wird bei DTLS der Verschl├╝sselungsmodus CBC mit explizitem Initialisierungsvektor eingesetzt. Die optionale Replay-Detection f├╝r einzelne Pakete ist eine weitere Anpassung.

4. Ablauf des Verbindungsaufbaus mit DTLS

4. Ablauf des Verbindungsaufbaus mit DTLS

Vereinfacht dargestellt besteht der Ablauf eines DTLS-Verbindungsaufbaus aus den folgenden Schritten:

  1. Der Server weist sich gegen├╝ber dem Client mit seinem Zertifikat aus.
  2. Der Client pr├╝ft, ob der Servername mit dem Servernamen des Zertifikats ├╝bereinstimmt. Je nach Anforderung kann sich auch der Client gegen├╝ber dem Server mit einem Zertifikat ausweisen.
  3. Beide Kommunikationspartner leiten mit dem ├Âffentlichen Schl├╝ssel des Servers einen Sitzungsschl├╝ssel ab, mit dem ab diesem Zeitpunkt alle ├╝bertragenen Daten verschl├╝sselt werden.
  4. Die Authentifizierung der Kommunikationspartner funktioniert ├╝ber asymmetrische Verschl├╝sselungsverfahren und der Public-Key-Kryptographie. F├╝r die Verschl├╝sselung der Daten wird hingegen auf einen symmetrischen Sitzungsschl├╝ssel zur├╝ckgegriffen, der das Verschl├╝sseln sowie das Entschl├╝sseln der Daten erm├Âglicht und w├Ąhrend einer Sitzung mehrmals ausgetauscht wird.

Genau wie das Secure Real Time Protocol (SRTP) und andere Sicherheitsprotokolle wird DTLS im Rahmen der WebRTC-Technologie zum Beispiel bei der Umsetzung von Videokonferenzen eingesetzt.

Ähnliche Artikel