Definition Handshake

Was ist ein Handshake?

| Autor / Redakteur: Stefan Luber / Peter Schmitz

Ein Handshake dient zum Aufbau sicherer Verbindungen mit Hilfe gegenseitiger Bestätigungen. Das Handshake-Verfahren wird z.B. für die Transport Layer Security (TLS) genutzt.
Ein Handshake dient zum Aufbau sicherer Verbindungen mit Hilfe gegenseitiger Bestätigungen. Das Handshake-Verfahren wird z.B. für die Transport Layer Security (TLS) genutzt. (Bild: gemeinfrei / Pixabay)

Das Handshake-Verfahren wird häufig im Netzwerk- und Security-Bereich verwendet. Es ermöglicht den Aufbau sicherer Verbindungen, indem sich Sender und Empfänger beim Verbindungsaufbau ihre Nachrichten gegenseitig bestätigen. Die Transport Layer Security nutzt das Handshake-Verfahren für sichere TLS-Verbindungen.

Das deutsche Wort für Handshake lautet Handschlag. Es handelt sich um ein Verfahren, das im Netzwerkbereich, in der Signalisierungstechnik und im Security-Umfeld zum Einsatz kommt. Während des Handschlag-Verfahrens quittieren sich die beteiligten Systeme gegenseitig ihre Nachrichten, wodurch sich Verbindungen mit ausgehandelten Parametern wie Kommunikationsbedingungen oder Sicherheitsmerkmalen bestätigt aufbauen lassen. Es existieren sowohl Hardware- als auch Software-basierte Verfahren des Handshakes. Der Handshake kann in verschiedenen Phasen ablaufen. Häufig genutzt werden der Drei- oder Vier-Wege-Handshake (Three-Way-Handshake oder Four-Way-Handshake). Verschiedene Protokolle der TCP/IP-Protokollwelt wie das Transmission Control Protocol (TCP) oder die Transport Layer Security (TLS) verwenden Handshake-Verfahren.

Grundsätzliche Funktionsweise eines Drei-Wege-Handshakes am Beispiel eines TCP-Verbindungsaufbaus

Zur Erläuterung des Grundprinzips eines Handshakes folgt eine kurze vereinfachte Beschreibung eines Drei-Wege-Handshakes, wie er beispielsweise bei einem TCP-Verbindungsaufbau stattfindet.

Teilnehmer A sendet dem Teilnehmer B seinen Verbindungsaufbauwunsch (SYN-Nachricht) mit Zusatzinformationen wie der eigenen Sequenznummer. Teilnehmer B sendet ebenfalls eine SYN-Nachricht mit Sequenznummer und bestätigt gleichzeitig die erhaltene Nachricht, indem er eine SYN-ACK-Nachricht verschickt. Abschließend quittiert Teilnehmer A die SYN-Nachricht von Teilnehmer B mit einer ACK-Nachricht. Beide Teilnehmer haben damit den Verbindungsaufbauwunsch quittiert und die weitere Kommunikation kann stattfinden.

Handshake-Verfahren im Security-Umfeld - Beispiel TLS

Die Transport Layer Security (TLS) ermöglicht den Aufbau sicherer, verschlüsselter Verbindungen über unsichere Netzwerke wie beispielsweise das Internet. TLS-Verbindungen kommen unter anderem bei der Kommunikation eines Webbrowsers mit einem Webserver per HTTPS zum sicheren Abruf von Internetinhalten zum Einsatz. Beim Aufbau der TLS-Verbindung findet das Handshake Messaging Protocol Anwendung. Es wird genutzt, um die Sicherheitsattribute zwischen den Teilnehmern auszuhandeln und sich gegenseitig zu authentifizieren. Je nach angefordertem Sicherheitslevel und genutzten Protokollvarianten unterscheiden sich die in den Nachrichten des Handshakes enthaltenen Informationen. Das TLS-Handshake-Protokoll erfüllt folgende Funktionen:

  • Identifikation und Authentifizierung der kommunizierenden Teilnehmer mit Hilfe von asymmetrischen Verschlüsselungsverfahren und öffentlichen sowie privaten Schlüsseln
  • Aushandlung des verwendeten Verschlüsselungsverfahrens
  • Übertragung von Schlüsselinformationen
  • Aushandlung von kryptografischen Parametern

Der Handshake findet üblicherweise in vier Phasen statt. Im Folgenden eine stark vereinfachte Darstellung dieser vier Phasen:

Phase 1:

Austausch eines Client- und Server-Hellos mit Informationen wie TLS-Protokoll-Version, Session-ID, Cipher Suite und Zufallsinformation.

Phase 2:

Server identifiziert sich gegenüber dem Client mit seinem Zertifikat. Der Client verifiziert die Echtheit und Gültigkeit des Zertifikats und bricht die Verbindung bei einem ungültigen Zertifikat ab. Optional kann der Server die Verifizierung des Clients gegenüber dem Server ebenfalls mit einem Zertifikat anfordern.

Phase 3:

In dieser Phase findet die optionale Verifizierung des Clients mit seinem Zertifikat gegenüber dem Server statt. Soll sich der Client nicht gegenüber dem Server identifizieren, kann er auch mit einer leeren Zertifikatsliste antworten. Gleichzeitig werden die Geheimnisse, die zur Verschlüsselung der Daten benötigt werden, abhängig von der verwendeten Cipher Suite ausgehandelt.

Phase 4:

Die vierte Phase beendet den Handshake. Mit Hilfe der zuvor ausgetauschten Informationen lassen sich die Schlüssel ableiten, die zum Ver- und Entschlüsseln der übertragenen Daten verwendet werden. Auch die Integritätsprüfung findet mit diesen Schlüsseln statt. Die sichere Verbindung ist nun aufgebaut und die eigentliche Kommunikation kann starten.

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Aktuelle Beiträge zu diesem Thema

Sicherheit in Speichernetzen

Storage Area Networks (SANs) schützen

Sicherheit in Speichernetzen

Auf die in Speichernetzen abgelegten Daten können in der Regel eine große Zahl von Anwendern und Endgeräten zugreifen. Deswegen sind umfassende Maßnahmen für deren Absicherung erforderlich. So müssen gilt es Vorkehrungen gegen Datenmanipulationen zu treffen und dafür sorgen, dass nur Berechtigte auf die gespeicherten Informationen zugreifen dürfen. lesen

TLS Session Resumption schafft Schlupflöcher

Risiken der TLS-Sitzungswiederaufnahme

TLS Session Resumption schafft Schlupflöcher

Im Januar hat sie NSA eine Windows-Schwachstelle an Microsoft gemeldet, mit der ein Angreifer eine Malware so signieren kann, dass ein Benutzer keine Möglichkeit hat, die Datei als bösartig zu erkennen, da die digitale Signatur scheinbar von einem vertrauens­würdigen Anbieter stammt. Jedes Windows-Gerät verlässt sich auf das Vertrauen, das durch TLS und Code Signing-Zertifikate, aufgebaut wird – zurecht? lesen

Was ist SAE?

Definition Simultaneous Authentication of Equals

Was ist SAE?

Simultaneous Authentication of Equals (SAE) basiert auf dem Dragonfly-Handshake-Protokoll und ermöglicht den sicheren Austausch von Schlüsseln Passwort-basierter Authentifizie­rungs­methoden. SAE ersetzt in WPA3 die bisherige Methoden zur Aushandlung der Sitzungsschlüssel mittels Pre-Shared Key und kommt auch in WLAN-Mesh-Implemen­tierungen zum Einsatz. lesen

Was ist OWE?

Definition Opportunistic Wireless Encryption

Was ist OWE?

OWE (Opportunistic Wireless Encryption) ist ein standardisiertes Verfahren, mit dem sich in einem öffentlichen WLAN-Netz ausgetauschte Daten ohne Passwort sicher verschlüsseln lassen. Es ist im RFC 8110 spezifiziert und war ursprünglich als fester Bestandteil von WPA3 vorgesehen. Mittlerweile existiert mit "Wi-Fi CERTIFIED Enhanced Open" eine von WPA3 unabhängige Zertifizierung, mit der Hersteller die Unterstützung des Verfahrens nachweisen. lesen

59 Sicherheitslücken werden von Microsoft geschlossen

Microsoft Patchday Oktober 2019

59 Sicherheitslücken werden von Microsoft geschlossen

Am Patchday Oktober 2019 stellt Microsoft verschiedene Updates für Windows-Betriebssysteme zur Verfügung, die insgesamt 59 CVEs betreffen. Neben Updates für Windows werden auch Lücken in Microsoft SQL Server und Office geschlossen. lesen

Grundlagen des Ethical Hacking

Hacking mit Python, Teil 1

Grundlagen des Ethical Hacking

In diesem Workshop verwenden wir die Programmiersprache Python, um ein Passwort zu entschlüsseln. Genauer gesagt prüfen wir einen auf irgendeine Weise erlangten Passwort-Hash durch einen Vergleich mit dem MD5-Hash eines gegebenen Wörterbucheintrages auf Übereinstimmung. lesen

Dragonblood zeigt Schwächen von WLANs

Forscher liefern Tools und Paper, um WPA3 zu kompromittieren

Dragonblood zeigt Schwächen von WLANs

Wie angreifbar selbst aktuelle WLANs sind, haben jetzt die Forscher Mathy Vanhoef und Eyal Ronen mit einer Analyse des „Dragonfly handshake“ gezeigt. Im Fokus standen dabei auch das Protokoll EAP-pw sowie das Smartphone Samsung Galaxy S10. lesen

Was ist WireGuard?

Definition WireGuard

Was ist WireGuard?

WireGuard ist eine noch sehr junge Technologie, um sichere und leistungsfähige virtuelle private Netze (VPNs) mit geringem Aufwand zu realisieren. Es handelt sich um ein Open-Source-Protokoll und eine Open-Source-Software, die eine Alternative zu etablierten VPN-Lösungen wie OpenVPN oder IPsec bieten soll. lesen

Hacker nehmen vermeintlich sichere Web-Dienste ins Visier

DDoS-Schutz auf Anwendungsebene

Hacker nehmen vermeintlich sichere Web-Dienste ins Visier

Der Online-Handel boomt und mit ihm digitales Banking. Um E-Commerce- und Online-Banking-Transaktionen für Endverbraucher sicher zu gestalten, verwenden Anbieter für diese Transaktionen eine Verschlüsselung. Doch weil die sensiblen personenbezogenen Informationen und Finanzdaten für Cyber­kriminelle ein attraktives Ziel sind, versuchen sie, Verschlüsselungen und Sicherheits­protokolle zu umgehen. lesen

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 46557607 / Definitionen)