1
00:00:06,220 --> 00:00:09,660
Leute hier ist wieder einfach 
komplex mit Folge 19 Burkhard 

2
00:00:09,670 --> 00:00:13,400
nicht zweite wieder am Start 
Moin Moin aus Hamburg letztes 

3
00:00:13,410 --> 00:00:15,220
Mal war es gar nicht mal so 
super. 

4
00:00:15,230 --> 00:00:18,990
Technisch Lite 2 a Sie war 
überrascht, doch technisch wurde

5
00:00:19,210 --> 00:00:21,980
aber für unsere Verhältnisse 
ging es eigentlich total und das

6
00:00:21,990 --> 00:00:23,970
ist das Signal um heute immer 
wieder technisch zu werden, 

7
00:00:23,980 --> 00:00:28,100
sollten um Verschlüsselung 
konkreter um SL beziehungsweise 

8
00:00:28,110 --> 00:00:31,060
heute dann eher TS 
Verschlüsselung würde man jetzt 

9
00:00:31,070 --> 00:00:33,290
erinner Burkhard genau Gerrit 
genau wir wollen das mal 

10
00:00:33,300 --> 00:00:35,480
probieren ja, das ist 
tatsächlich irgendwie ich hab 

11
00:00:35,490 --> 00:00:38,490
gerade auch schon gesagt das ist
wirklich einfach komplex und ich

12
00:00:38,500 --> 00:00:40,700
muss mich heute konzentrieren, 
dass ich keinen Quatsch erzählt.

13
00:00:40,770 --> 00:00:43,350
Das ist also Verschlüsselung, 
Kryptographie. 

14
00:00:43,960 --> 00:00:46,290
Also man hört schon den Wörtern,
also allein das Wort 

15
00:00:46,300 --> 00:00:48,270
Kryptographie da krieg ich 
irgendwie schon bisschen 

16
00:00:48,280 --> 00:00:50,250
Nackenhaare hoch so aber wir 
gucken mal, ob wir das irgendwie

17
00:00:50,260 --> 00:00:52,470
ein bisschen durch warum machen 
wir es dann trotzdem? 

18
00:00:52,480 --> 00:00:56,850
Ist ja relevant das Thema ja 
total ne genau also jeder jeder 

19
00:00:56,860 --> 00:01:00,810
heutzutage auch also der im Web 
brauchst, nutzt eigentlich TPS 

20
00:01:00,820 --> 00:01:03,740
und es gibt nur noch ganz wenig 
Seiten, die mit dem HTTP 

21
00:01:03,750 --> 00:01:05,870
doppelpunkt doppelslash 
anfangen, was so viel heißt. 

22
00:01:06,900 --> 00:01:09,670
Die Daten, die zwischen dem 
Browser und dem Server dann 

23
00:01:09,680 --> 00:01:11,370
laufen, sind komplett 
unverschlüsselt. 

24
00:01:11,700 --> 00:01:13,880
Und die werden eigentlich von 
den modernen Browsern kriegst du

25
00:01:13,890 --> 00:01:15,630
mindestens ein kleines 
Warnungszeichen. 

26
00:01:15,640 --> 00:01:18,910
Irgendwas was heißt pass auf? 
Also wenn du jetzt irgendwelche 

27
00:01:18,920 --> 00:01:22,300
Passwörter oder irgendwelche 
privaten Daten eingibst, die 

28
00:01:22,310 --> 00:01:24,830
können möglicherweise schon auf 
dem Weg zum Server hin irgendwie

29
00:01:24,840 --> 00:01:27,580
abgegrast werden und so weiter 
macht das schon mal erstmal 

30
00:01:27,590 --> 00:01:30,030
Reform muss schon extra 
bestätigen, dass du das möchtest

31
00:01:30,040 --> 00:01:32,050
zumindest bei mir. 
Wir sprechen ja von Cloud und 

32
00:01:32,060 --> 00:01:34,400
von Onlinebanking und so weiter 
und also eine sichere 

33
00:01:34,410 --> 00:01:36,490
Verschlüsselung auf dem 
Transportwege. 

34
00:01:36,500 --> 00:01:38,450
Darüber sprechen übrigens heute 
die Transportverschlüsselung, 

35
00:01:38,460 --> 00:01:41,570
also wenn ich Daten von A nach B
transportiere. 

36
00:01:43,140 --> 00:01:46,570
Das ist halt ein must have ich 
will auch gleich vorweg sagen 

37
00:01:47,000 --> 00:01:50,570
wenn das an ist, ist es halt 
auch hundertprozentig sicher. 

38
00:01:50,610 --> 00:01:53,730
Das kann heutzutage nach Stand 
der Technik nicht gehackt 

39
00:01:53,740 --> 00:01:55,350
werden. 
Ja, dann nehme ich gerne mal 

40
00:01:55,360 --> 00:01:58,830
irgendwie vielen Zuhörern 
vielleicht Angst die sagen so O 

41
00:01:58,840 --> 00:02:01,260
und das böse Internet und 
vielleicht rutscht dann doch 

42
00:02:01,270 --> 00:02:04,680
irgendwie durch so. 
Nein, also mindestens die 

43
00:02:04,690 --> 00:02:07,190
Verschlüsselungstechnologie 
nehmen wir gleich im Detail 

44
00:02:07,200 --> 00:02:09,750
auseinander, wenn ich was von A 
nach B schicken und benutze 

45
00:02:09,759 --> 00:02:13,830
einen aktuellen TS Standard. 
Es ist sicher, das würde mich 

46
00:02:13,840 --> 00:02:16,060
dann tatsächlich interessieren, 
wie es funktioniert. 

47
00:02:16,510 --> 00:02:19,710
Von häufiger versucht Themen zu 
verstehen es geht ja auch um 

48
00:02:19,720 --> 00:02:23,590
Kies und Private und Public Keys
und Zertifikate und den ganzen 

49
00:02:23,600 --> 00:02:25,770
Krempel und so bin ich 
ausgestiegen. 

50
00:02:25,780 --> 00:02:28,020
Aber dann muss nicht lange 
heißen Brei reden. 

51
00:02:28,260 --> 00:02:30,740
Ich glaube, die Relevanz haben 
wir gemacht und wenn ich die 

52
00:02:30,750 --> 00:02:34,030
verstanden haben, dann das 
Kleine auftaucht bei HTP, dann 

53
00:02:34,070 --> 00:02:37,870
ist es entsprechend Kanal 
verschlüsselt und dann ist es a.

54
00:02:37,940 --> 00:02:41,820
RTLM Einsatz kann man das so, 
kann man sagen genau wir lassen 

55
00:02:41,830 --> 00:02:43,900
uns auch ruhig auf der hohen 
Flughöhe anfangen wo kommt es 

56
00:02:43,910 --> 00:02:46,290
her, welche Entwicklung gibt es,
welche Version und so 

57
00:02:46,330 --> 00:02:49,280
Verschlüsselungen ist 
grundsätzlicher als jetzt das 

58
00:02:49,290 --> 00:02:53,760
HTP Protokoll ne also das heißt 
HTTP und HTTPS für secure oder 

59
00:02:53,770 --> 00:02:56,750
sowas. 
Dahinter verbirgt sich Halt SL 

60
00:02:56,760 --> 00:02:59,010
früher, heute TLS, da ich noch 
was zu. 

61
00:02:59,020 --> 00:03:01,230
Es geht aber auch also man kann 
auch andere Protokolle 

62
00:03:01,240 --> 00:03:04,030
verschlüsseln, wie hier zum 
Beispiel arbeiten wir schon mal 

63
00:03:04,040 --> 00:03:08,640
erzählt mit dem QT Protokoll ein
anderes Protokoll für das IOT 

64
00:03:08,650 --> 00:03:14,080
besonders geeignet und auch hier
gibt es MQTT und das MQTS. 

65
00:03:14,600 --> 00:03:18,940
Eigentlich ist es dem SL und TLS
verschlüsselungs Handshake, sag 

66
00:03:18,950 --> 00:03:22,970
ich mal völlig egal, was danach 
passiert und welches Protokoll 

67
00:03:22,980 --> 00:03:26,870
danach funktioniert, denn das 
ist das ja kann man sich auch 

68
00:03:26,880 --> 00:03:28,570
vorstellen, dass das erste was 
passiert. 

69
00:03:28,840 --> 00:03:32,640
Ganz rudimentär bei der 
Herstellung der Verbindung 

70
00:03:32,650 --> 00:03:35,510
zwischen Client und Server auch 
hier wieder Client Server. 

71
00:03:35,520 --> 00:03:37,540
Darum geht es jetzt mal 
technisch gesagt. 

72
00:03:38,260 --> 00:03:41,690
Wie schaffen wir es, dass die 
Kommunikation von einem Client 

73
00:03:41,700 --> 00:03:45,270
zu einem Server? 
Verschlüsselt stattfinden kann, 

74
00:03:45,280 --> 00:03:48,440
so dass keiner in der Mitte da 
zuhören kann und nichts abhören 

75
00:03:48,450 --> 00:03:49,600
kann. 
Das alles, was ich da durch 

76
00:03:49,610 --> 00:03:52,530
schicke danach und das kann dann
quasi die Daten selber sind, 

77
00:03:52,540 --> 00:03:54,480
dann müssen dann nicht 
verschlüsselt sein, ich kann 

78
00:03:54,490 --> 00:03:58,220
also Passwörter und so weiter 
rüber schicken, aber wenn ich 

79
00:03:58,230 --> 00:04:00,110
dann diese diese 
Kanalverschlüsselung durch TS 

80
00:04:00,120 --> 00:04:03,770
hab stattfinden lassen am Anfang
kann halt keiner dieses Kabel 

81
00:04:03,780 --> 00:04:07,400
reingucken alles durchfließt ist
völliges Turbo und kann keiner 

82
00:04:07,410 --> 00:04:10,510
von außen reingucken, also wenn 
ich Kanal verschlüsselt arbeiten

83
00:04:10,520 --> 00:04:13,820
möchte, ist das erste Protokoll 
was zum zum Einsatz kommt jetzt 

84
00:04:13,830 --> 00:04:16,700
eben das TS zum Beispiel. 
Im Anschluss kommt beliebiges. 

85
00:04:17,630 --> 00:04:19,850
Protokolle, also Verfahren 
eigentlich ist es ja im 

86
00:04:19,860 --> 00:04:22,350
Endeffekt nur, um Daten 
auszutauschen und genau danach 

87
00:04:22,360 --> 00:04:23,570
sprechen die ganz offen 
miteinander. 

88
00:04:23,580 --> 00:04:27,220
Ne Klick war n Server antwortet 
Was und so weiter und sofort 

89
00:04:27,580 --> 00:04:31,030
lass uns einmal kurz sagen ich 
TS und SL ne eigentlich ist es 

90
00:04:31,040 --> 00:04:34,330
das gleiche im 
umgangssprachlichen Gebrauch 

91
00:04:34,340 --> 00:04:38,100
benutzt man das quasi 
gleichzeitig SL und TLS man 

92
00:04:38,110 --> 00:04:40,620
meint immer das Gleiche. 
Tatsächlich ist es aber 

93
00:04:40,660 --> 00:04:43,920
historisch gesehen und auch 
technisch gesehen Unterschied in

94
00:04:43,930 --> 00:04:46,710
Brüssel mal kurz auf und danach 
benutzen wir es auch wieder so 

95
00:04:46,720 --> 00:04:50,030
wie alle also wir meinen dann 
einfach das modernste von dem 

96
00:04:50,040 --> 00:04:52,930
Krams wenn wir SL sagen, meinen 
wir dann eigentlich TS? 

97
00:04:53,280 --> 00:04:58,780
SESCQ Socket Layer und wurde 
ursprünglich 1990 von Netscape 

98
00:04:59,300 --> 00:05:03,580
ins Leben gerufen und es gab von
von von diesem SSL. 

99
00:05:03,620 --> 00:05:06,000
Das war quasi die ursprüngliche 
Version der Kanalverschlüsselung

100
00:05:06,010 --> 00:05:12,420
3 Versionen SL 12 und 3 und die 
dritte Version des 1996 

101
00:05:12,430 --> 00:05:15,560
erschienen immer so kurz zu 
Orientierung und da war halt 

102
00:05:15,570 --> 00:05:19,280
Netscape dahinter und dann wurde
quasi das noch weiter verbessert

103
00:05:19,290 --> 00:05:22,560
im Browser. 
Oder genau genau genau kennt 

104
00:05:22,570 --> 00:05:26,750
sich ne Firma auch ne und hat 
auch ein Paar genommen und dann 

105
00:05:26,760 --> 00:05:30,200
gibt s aber die ETF. 
Die Internet Engineering Task 

106
00:05:30,210 --> 00:05:34,120
Force, die einen ja ein 
unabhängiger Verein ist, weil 

107
00:05:34,130 --> 00:05:37,730
man so eine wichtige Sache wie 
Verschlüsselung eigentlich nicht

108
00:05:37,740 --> 00:05:40,730
in dem Unternehmen im Einzelnen 
zuschreiben möchte, und die 

109
00:05:40,740 --> 00:05:43,140
haben dann weiterentwickelt 
quasi und damit das neue 

110
00:05:43,150 --> 00:05:45,600
Protokoll geschaffen. 
Was heißt Transport Layer 

111
00:05:45,610 --> 00:05:50,080
Security TLS also SL gibt es 
eigentlich nicht mehr, aber das 

112
00:05:50,090 --> 00:05:53,220
Wort hat sich halt so im 
Sprachgebrauch festgelegt, dass 

113
00:05:53,230 --> 00:05:56,380
man das halt irgendwie einfach 
beides benutzt, ja, und von TLS 

114
00:05:56,390 --> 00:06:04,340
gibt es Versionen 101112 und 
ganz aktuell 1310 bis 1908 1990.

115
00:06:04,410 --> 00:06:08,530
Verstanden und bei Version 12 
die noch ziemlich geläufig ist, 

116
00:06:08,570 --> 00:06:13,380
ist 2008 entstanden und 
mittlerweile kommt 13 eigentlich

117
00:06:13,390 --> 00:06:16,090
mehr ins Feld und im Prinzip 
unterscheiden sich die Versionen

118
00:06:16,100 --> 00:06:18,590
einfach nur also hauptsächlich 
in der Performance. 

119
00:06:18,600 --> 00:06:20,970
Das ist ein riesenpunkt Sachen 
nachher noch warum also 

120
00:06:21,320 --> 00:06:23,990
Effizienz dieses dieser 
Verschlüsselung und des 

121
00:06:24,000 --> 00:06:27,700
Initialen Handshake? 
Und aber auch mit den 

122
00:06:27,710 --> 00:06:30,730
Verschlüsselungsalgorithmen denn
da, das ist immer noch 

123
00:06:30,740 --> 00:06:33,120
Gegenstand aktueller Forschung, 
gibt es immer noch neue ja, also

124
00:06:33,130 --> 00:06:36,770
wie kann ich also die 
kryptographische Mathematik, sag

125
00:06:36,780 --> 00:06:39,410
ich mal, da steckt richtig 
heftige Mathematik ist ein Thema

126
00:06:39,420 --> 00:06:41,820
in der ganze Untersektion der 
Mathematik. 

127
00:06:41,830 --> 00:06:44,700
Wenn man, wenn man das leid hat,
dass man irgendwie Maschinenbau 

128
00:06:44,710 --> 00:06:47,310
oder Informatik oder irgendwas 
studiert, dann eigentlich auch 

129
00:06:47,320 --> 00:06:49,450
Kryptographie Semester nicht 
vorbei. 

130
00:06:49,620 --> 00:06:52,480
Da weiß man, wie heftig das ist.
So ja, da steckt da drinne und 

131
00:06:52,490 --> 00:06:55,120
da entstehen neue Sachen und die
werden dann auch Schritt für 

132
00:06:55,130 --> 00:06:58,040
Schritt eingepflegt in diese 
Protokolle, weil die quasi eine 

133
00:06:58,050 --> 00:06:59,870
verbesserte Leistung können. 
Sie werden. 

134
00:07:00,080 --> 00:07:02,670
Auch sicherer, weil immer neuere
Algorithmen dann auch zum 

135
00:07:02,680 --> 00:07:04,900
Einsatz kommen, oder geht es 
primär um die Effizienz? 

136
00:07:04,910 --> 00:07:08,210
Und die werden auch sicher das 
kann man so sagen sicherer heißt

137
00:07:08,220 --> 00:07:10,770
ja auch also sicher heißt halt 
quasi kann nicht irgendwie in 

138
00:07:10,780 --> 00:07:15,430
einer übersichtlichen Zeit sowas
irgendwie knacken, so sind quasi

139
00:07:15,440 --> 00:07:17,860
immer so eine Art Quiz Rätsel es
geht eigentlich immer darum, 

140
00:07:17,870 --> 00:07:20,980
riesige Zahlen kryptographisch 
zu erschaffen, also sind 

141
00:07:20,990 --> 00:07:23,690
wirklich lang ich weiß gar 
nicht, also darf nicht lügen, 

142
00:07:23,700 --> 00:07:27,000
aber vielleicht stellen oder 
sowas ne zahlen so und die muss 

143
00:07:27,010 --> 00:07:29,510
man quasi erraten. 
Also könnte man erraten mal 

144
00:07:29,520 --> 00:07:32,590
richtig viele Power hat und da 
passieren natürlich auch ein 

145
00:07:32,600 --> 00:07:36,380
bisschen waren Grafikkarten und 
so und das erraten. 

146
00:07:36,880 --> 00:07:41,350
Wird halt schneller ja also ich 
kann das nie analytisch 

147
00:07:41,360 --> 00:07:44,370
errechnen. 
Ich kann aber rumspielen so ja, 

148
00:07:44,380 --> 00:07:47,170
irgendwie und mit, wenn wir 
jetzt über Quantencomputer 

149
00:07:47,180 --> 00:07:50,550
nachdenken, so was ja jetzt 
nicht irgendwie angekommen ist 

150
00:07:50,560 --> 00:07:54,410
sowas wie ein brutforce Angriff,
was zu erraten genau ich glaube 

151
00:07:54,420 --> 00:07:57,860
nur so wenn ich eben limitierte 
Rechnung Leistungen habe und 

152
00:07:58,220 --> 00:08:00,750
dann bräuchte ich irgendwann 100
Jahre, um irgendwie sowas zu 

153
00:08:00,760 --> 00:08:04,160
wahrscheinlich hunderttausend 
Jahre gegeben Algorithmen, die 

154
00:08:04,170 --> 00:08:07,310
wir heute haben sollten und dann
reden wir sicher einfach ja dann

155
00:08:07,350 --> 00:08:09,510
in hunderttausend Jahren ist mir
auch egal ja, ob das dann 

156
00:08:09,520 --> 00:08:11,960
geknackt wird oder nicht ja, 
genau dann ist ja genau und du 

157
00:08:11,970 --> 00:08:14,230
sprichst ja auch hunderttausend 
Jahre lang mit dem Server. 

158
00:08:14,620 --> 00:08:17,110
Das ist ja auch sehen. 
Sie temporär. 

159
00:08:17,880 --> 00:08:21,130
Das ist übrigens auch vorweg. 
Wir sind immer noch in der 

160
00:08:21,140 --> 00:08:23,360
Einleitung, ja, wir sind noch in
der Einleitung, ja wie das 

161
00:08:23,370 --> 00:08:26,340
andere ist ja auch das ist ja 
dann auch Schweißperlen auf der 

162
00:08:26,350 --> 00:08:28,880
Stirn so ich glaube, das ist 
wichtig, dass wir das ist das 

163
00:08:28,890 --> 00:08:31,520
Wichtigste, vielleicht sogar 
heute von der, dass wir 

164
00:08:31,530 --> 00:08:34,530
verstehen wo ist im Einsatz und 
wie funktioniert es erstmal so 

165
00:08:34,539 --> 00:08:38,020
eine ganz hohe Flugebene. 
Es ist ja so wenn du Kontakt 

166
00:08:38,330 --> 00:08:41,480
aufnimmst, also nehmen wir das 
einfachste Beispiel und das, was

167
00:08:41,490 --> 00:08:44,710
unsere Zuhörer wahrscheinlich am
meisten nutzt, als Client, als 

168
00:08:44,830 --> 00:08:46,430
Menschen Client hat das ja auch 
schon. 

169
00:08:46,440 --> 00:08:49,760
Es gibt problematische Klienten,
aber als Menschen Klienten vor 

170
00:08:49,770 --> 00:08:54,040
deinem Computer Laptop PC ist ja
egal und Tipps im Browser NUL 

171
00:08:54,050 --> 00:08:57,400
ein. 
Und nimmst und was passiert denn

172
00:08:57,410 --> 00:08:59,370
jetzt? 
Ja, also jetzt bist du der 

173
00:08:59,380 --> 00:09:02,420
Client und du willst eine 
Verbindung mit dem Server 

174
00:09:02,430 --> 00:09:04,210
aufnehmen und muss auch 
passieren, wir wollen ja 

175
00:09:04,220 --> 00:09:07,190
anfragen, wir zurückschicken der
Website oder was auch immer. 

176
00:09:08,310 --> 00:09:12,000
Also entsteht eine Verbindung 
zwischen dir als Client und dem 

177
00:09:12,010 --> 00:09:14,520
Server, den du irgendwo 
aufgerufen hast, ja, und diese 

178
00:09:14,530 --> 00:09:20,080
ganze verschlüsselungs Akrobatik
ist nur valide für den einzigen 

179
00:09:20,090 --> 00:09:22,420
Aufruf des Servers. 
Das passiert dann immer wieder 

180
00:09:22,430 --> 00:09:25,370
neu, wenn du jetzt ne ganz 
klassische Webseite hast und 

181
00:09:25,380 --> 00:09:28,640
klickst die an, dann muss 
verschlüsselt werden und dann 

182
00:09:28,650 --> 00:09:31,680
machst du eigentlich request 
gegen die UL und dem ganz 

183
00:09:31,690 --> 00:09:34,950
einfachen Falle schickt der 
Server ne fertig gerenderte 

184
00:09:35,330 --> 00:09:40,140
Webseite zurück und dann wird 
aufgelegt und aufgelegt heißt 

185
00:09:40,490 --> 00:09:43,390
die Verbindung ist halt. 
Aufgelegt es gibt keine 

186
00:09:43,400 --> 00:09:46,140
Verbindung mehr zwischen dir und
dem Server der Server hat die 

187
00:09:46,150 --> 00:09:49,990
Daten geschickt, dann Browser 
Renner das hin und dann ist 

188
00:09:50,000 --> 00:09:53,830
aufgelegt ja, aber das merkst du
gar nicht so, weil das du denkst

189
00:09:53,840 --> 00:09:56,310
irgendwie, du hast ne Webseite, 
da kannst du mit der Maus drüber

190
00:09:56,320 --> 00:09:59,250
Havanna gibt vielleicht ne, das 
sind alles schon lokal bei dir 

191
00:09:59,260 --> 00:10:01,050
auf dem Browser, dafür brauchst 
du nicht mehr. 

192
00:10:01,810 --> 00:10:04,880
So und wenn du jetzt aber zum 
Beispiel was machst also zum 

193
00:10:04,890 --> 00:10:07,990
Beispiel eine Form ausfüllt, ist
und sagst du, das hat mit. 

194
00:10:09,030 --> 00:10:11,920
Und muss dann ein zweites Mal 
mit dem technisch mit dem Server

195
00:10:11,930 --> 00:10:14,020
kommunizieren, damit der das zum
Beispiel in seiner Datenbank 

196
00:10:14,030 --> 00:10:17,530
einträgt, dann fängt dieses 
ganze Kryptographie Wahnsinns 

197
00:10:17,540 --> 00:10:21,210
Gedöns von vorne an und wieder 
authentifiziert du dich, als 

198
00:10:21,220 --> 00:10:24,490
wärst du noch nie dagewesen also
von der Kryptographie jetzt her,

199
00:10:24,500 --> 00:10:26,420
ich spreche nicht von Cookies 
oder irgendwas ja. 

200
00:10:27,420 --> 00:10:29,890
Für die sichere Verbindung 
zwischen Client und Server fängt

201
00:10:29,900 --> 00:10:32,880
alles wieder von vorne an ne 
wenn man sich auf der Zunge 

202
00:10:32,890 --> 00:10:35,120
zergehen lässt, merkt man, wie 
wichtig das ist. 

203
00:10:35,820 --> 00:10:38,390
Dass dieser Prozess auch nicht 
zu langsam ist, weil unser 

204
00:10:38,400 --> 00:10:40,620
Internet lebt halt davon, dass 
wir ständig Verbindungen 

205
00:10:40,630 --> 00:10:42,810
aufbauen und ständig wieder 
abbauen ne, das ist also und 

206
00:10:42,820 --> 00:10:44,990
zwar in der wahnsinnige 
Geschwindigkeit von ganz vielen.

207
00:10:45,000 --> 00:10:47,030
Wir haben ja ganz viele Klienten
und ganz viele Server das 

208
00:10:47,040 --> 00:10:51,510
passiert die ganze Zeit, da man 
nennt das Handshake oder auch SL

209
00:10:51,520 --> 00:10:54,460
Termination. 
Dieses Initiieren dieser 

210
00:10:54,470 --> 00:10:57,750
sicheren Verbindung. 
Das ist total wichtig, dass das 

211
00:10:57,760 --> 00:10:59,370
halt auch schnell und 
Performance durch die Gegend 

212
00:10:59,380 --> 00:11:01,990
läuft. 
Es laufen jetzt also die laufend

213
00:11:02,000 --> 00:11:05,980
handshake ab wann immer ich als 
Client oder ich oder mein mein 

214
00:11:06,020 --> 00:11:09,070
mein Gerät, mit dem ich gerade 
arbeite mich gegenüber dem 

215
00:11:09,110 --> 00:11:11,390
Server. 
Also ich dort meldet und dann 

216
00:11:11,400 --> 00:11:13,750
läuft jedes Mal wieder so ein 
Handshake ab ja und wenn ich 

217
00:11:13,760 --> 00:11:15,580
dann wieder das neue auf der 
Website also. 

218
00:11:16,280 --> 00:11:19,880
Interagieren muss mit dem Server
ja zum Beispiel um ein Formular 

219
00:11:19,890 --> 00:11:22,180
auszufüllen und abzuschicken 
oder eben das abschicken, das 

220
00:11:22,220 --> 00:11:24,770
das das Ausfüllen mache ich 
lokal wahrscheinlicher, je 

221
00:11:24,780 --> 00:11:28,220
nachdem wie das programmiert, 
aber könnte es ja genau genau, 

222
00:11:28,230 --> 00:11:30,490
aber jetzt nehmen wir mal 
passiert ist und dann schick ich

223
00:11:30,500 --> 00:11:34,150
das Formular und dann sag ich 
wieder hier Hallo, ich bin sehr 

224
00:11:34,160 --> 00:11:36,910
Garrett in dem Fall und muss 
mich wieder authentifizieren ja,

225
00:11:36,920 --> 00:11:39,570
genau sogar oder auch wenn du 
klassisch n Link machst also du 

226
00:11:39,580 --> 00:11:42,010
hast du kommst auf der Homepage 
auf der Landingpage von deiner 

227
00:11:42,020 --> 00:11:45,190
Seite und dann gehst du auf 
Products oder sowas oder Team 

228
00:11:45,200 --> 00:11:47,250
guckst du irgendwann, wenn 
Firmenwebsite ist zum Beispiel. 

229
00:11:47,260 --> 00:11:50,550
Und wenn das ganz klassisch zum 
Beispiel P programmiert wird, 

230
00:11:50,560 --> 00:11:53,680
alles Server rendert. 
Ja, dann bist du sogar mit jedem

231
00:11:53,690 --> 00:11:56,430
Link Aufruf machst du wieder 
genau dieses ganze Gedöns vorne 

232
00:11:56,650 --> 00:11:59,360
immer wieder aufgelegt, also wie
schon gesagt, Herr Aufwand ja? 

233
00:11:59,370 --> 00:12:01,140
Und auch wenn es jetzt schnell 
geht, das ist doch 

234
00:12:01,150 --> 00:12:04,180
wahrscheinlich schneller und 
einfacher wenn das ließe, aber 

235
00:12:04,190 --> 00:12:06,660
das wäre eine große Gefahr, weil
sich auf dem Weg zwischen 

236
00:12:06,670 --> 00:12:09,240
kleinen Server jemand reinhängen
könnte, mitlesen könnte. 

237
00:12:09,250 --> 00:12:12,360
Und ganz genau das tun könnte, 
als wäre er der Server oder 

238
00:12:12,370 --> 00:12:15,060
richtig so ne Art da genau. 
Darum geht es am Ende des Tages.

239
00:12:15,070 --> 00:12:17,870
Ne, also wir wollen wir wollen. 
Wir wollen mindestens 2 Sachen 

240
00:12:17,880 --> 00:12:19,520
erreichen. 
Wir wollen wissen, dass der 

241
00:12:19,530 --> 00:12:23,360
Server, mit dem Wir sprechen, 
auch der Server ist, mit dem wir

242
00:12:23,370 --> 00:12:25,740
denken, dass wir sprechen, dass 
der vertrauenswürdig ist. 

243
00:12:26,840 --> 00:12:29,540
Und das zweite ist wir wollen 
auch sichergehen, dass wir nur 

244
00:12:29,550 --> 00:12:32,440
mit ihm sprechen und kein 
anderer in der Leitung irgendwie

245
00:12:32,450 --> 00:12:35,030
zuhört und lauscht und so 
weiter, wenn wir einmal wissen 

246
00:12:35,040 --> 00:12:37,550
O, das sind vertrauenswürdige 
Server, zum Beispiel Commerzbank

247
00:12:37,560 --> 00:12:41,060
oder irgendwas ja, dann mach ich
ja doch ziemlich relevante 

248
00:12:41,070 --> 00:12:42,370
Sachen. 
So mache Überweisungen und so 

249
00:12:42,380 --> 00:12:44,750
weiter, dann will ich erstmal 
wissen das ist auch die 

250
00:12:44,760 --> 00:12:47,040
Commerzbank und zweitens will 
ich wissen OK, alles was ich 

251
00:12:47,050 --> 00:12:48,740
jetzt hier irgendwie noch mit 
kommuniziere. 

252
00:12:48,750 --> 00:12:51,120
Mit der Commerzbank hat 
gefälligst auch nur die 

253
00:12:51,130 --> 00:12:53,450
Commerzbank zu interessieren und
dann nicht irgendwie anders, 

254
00:12:53,460 --> 00:12:55,250
oder? 
Das ist natürlich n krasses 

255
00:12:55,260 --> 00:12:57,510
Beispiel klar geht 
wahrscheinlich Banking in dem 

256
00:12:57,520 --> 00:13:01,070
Beispiel Wir müssen Beispiel 
rausgesucht, wo man sich einfach

257
00:13:01,080 --> 00:13:03,440
also wenn ich jetzt einfach. 
Ja, oder wenn einer auf unsere 

258
00:13:03,450 --> 00:13:06,650
Website ist n bisschen surfen 
und so weiter wäre tragisch, 

259
00:13:06,660 --> 00:13:10,650
wenn nicht, heißt es ja auch 
nicht ewig so ne, das ist also 

260
00:13:10,660 --> 00:13:13,890
ich würde sagen heute, es ist 
schon ziemlich best practice, 

261
00:13:13,900 --> 00:13:15,760
dass du auch für einfache 
Webseiten, wo eigentlich 

262
00:13:15,770 --> 00:13:18,750
tatsächlich keine trustworthy 
Information geschickt wird, 

263
00:13:19,380 --> 00:13:21,470
macht es aber trotzdem. 
Das gehört sich einfach so. 

264
00:13:21,480 --> 00:13:23,750
Es gehört zum Guten zum guten 
Ton. 

265
00:13:23,760 --> 00:13:25,910
Sag ich mal sind auch nicht 
auffindbar auf Google, wenn man 

266
00:13:25,920 --> 00:13:27,870
das nicht vernünftig macht. 
Manchmal gibt es so 

267
00:13:27,880 --> 00:13:29,870
Entwicklerseiten, wurde 
irgendwas erklärt wird so 

268
00:13:29,880 --> 00:13:31,760
eigentlich doppelt peinlich, 
weil Entwickler sind. 

269
00:13:31,770 --> 00:13:35,450
So ja, die sind manchmal TP. 
Ich versuche das eigentlich gar 

270
00:13:35,460 --> 00:13:36,570
nicht mehr zu machen, weil ich 
bin da. 

271
00:13:36,780 --> 00:13:39,350
Auch genervt das ist einfach 
auch nicht notwendig, denn auch 

272
00:13:39,360 --> 00:13:41,350
Tooling drumherum ist 
aufzusetzen, ist auch schon 

273
00:13:41,360 --> 00:13:44,420
ziemlich gut und es spricht 
nichts dagegen, einfach immer 

274
00:13:44,430 --> 00:13:46,830
standardmäßig Sicherheit 
reinzubringen. 

275
00:13:46,840 --> 00:13:49,400
Ja, man ist immer gut beraten, 
wenn man erstmal sicher denkt 

276
00:13:49,410 --> 00:13:52,300
ja, das hatten wir ja einer 
schon in der Sicherheitsfrage 

277
00:13:52,310 --> 00:13:54,470
auch so, dann lass uns doch 
jetzt mal gucken, wie dieser 

278
00:13:54,480 --> 00:13:55,710
Handshake eigentlich 
funktioniert. 

279
00:13:55,720 --> 00:13:58,380
Das wahrscheinlichste Punkt du 
hast richtig, dass der nächste 

280
00:13:58,390 --> 00:14:00,250
Punkt und das ist auch der 
technische Punkt und dann sind 

281
00:14:00,260 --> 00:14:03,350
wir eigentlich schon durch. 
Ja, wie fangen wir denn also 

282
00:14:03,650 --> 00:14:06,500
vielleicht einmal kurz über 
Zertifikate sagen? 

283
00:14:07,150 --> 00:14:09,420
Das ist jetzt nicht ganz wichtig
für den Handshake, aber 

284
00:14:09,430 --> 00:14:12,260
vielleicht sage ich ganz schnell
vielleicht mal folgende 

285
00:14:12,270 --> 00:14:16,160
Zertifikate, weil sich so mega 
kompliziert schon also, dass man

286
00:14:16,170 --> 00:14:20,410
da auch ne Folge verwenden kann.
Fangen wir mal Flughöhe ansagen 

287
00:14:20,420 --> 00:14:24,420
wir mal Gerrit, du würdest jetzt
quasi sagen OK, ich möchte neue 

288
00:14:24,910 --> 00:14:28,760
neue Webseite ins Leben rufen 
und das kannst du schnell mal 

289
00:14:28,770 --> 00:14:32,580
Schools und so weiter also 
weiterhin, sondern möchtest du 

290
00:14:32,590 --> 00:14:37,310
jetzt quasi die im Internet zur 
Verfügung stellen, dann brauchst

291
00:14:37,320 --> 00:14:39,610
du was dann brauchst du nämlich 
dann brauchst du n 

292
00:14:39,620 --> 00:14:43,130
typischerweise NS Eintrag. 
Also du kaufst irgendein sag mal

293
00:14:43,140 --> 00:14:45,850
was ich weiß, nicht ist ja auch 
egal Gerrit Gerrit Meyer, es 

294
00:14:45,860 --> 00:14:49,780
Webseite oder sowas.de.de, weil 
ich ne Firma aufmachen wollte, 

295
00:14:49,790 --> 00:14:52,710
dies aber dann hat sie jetzt 
erklärt ich irgendwann verkauft 

296
00:14:52,720 --> 00:14:55,910
und sofort danach war sie dann 
so die hat mit Sicherheit nichts

297
00:14:55,920 --> 00:14:57,270
zu tun. 
Die Sorge aber dafür, dass die 

298
00:14:57,280 --> 00:15:00,760
Leute dich quasi deinen Server 
dann quasi finden und dann wenn 

299
00:15:00,770 --> 00:15:04,170
du das vielleicht sogar auch 
wenn Nester bist oder irgendwas,

300
00:15:04,180 --> 00:15:07,980
dann geht es immer gleich die ja
was los mit dem SL Zertifikat 

301
00:15:08,020 --> 00:15:11,310
was übrigens immer SL Zertifikat
heißt auch nicht TS Zertifikat. 

302
00:15:11,320 --> 00:15:13,710
Aber jetzt wissen wir ja, was da
los ist so ja, das ist 

303
00:15:13,720 --> 00:15:17,330
eigentlich NTS Zertifikat. 
So Zertifikat. 

304
00:15:17,340 --> 00:15:21,890
Das ist so ein bisschen wie in 
den Zertifikat also n Beweis 

305
00:15:21,900 --> 00:15:23,950
genau wie sowas? 
Wie der Personalausweis vom 

306
00:15:23,960 --> 00:15:27,570
Server und der Personalausweis 
vom Server, den kannst du dir 

307
00:15:27,580 --> 00:15:30,950
nicht einfach selber erstellen, 
weil glaubt auch keiner, 

308
00:15:30,960 --> 00:15:33,330
irgendwie kann ja jeder 
irgendwie was dahin rutschen so 

309
00:15:33,340 --> 00:15:35,770
ja. 
Da gibt es quasi Certificate 

310
00:15:35,780 --> 00:15:38,370
Authorities kann man sich so 
vorstellen, wenn du jetzt 

311
00:15:38,380 --> 00:15:39,890
tatsächlich einen 
Personalausweis willst, dann 

312
00:15:39,900 --> 00:15:42,640
musst du ja auch eine Autorität,
also gehst du zum Amt zum ein 

313
00:15:42,650 --> 00:15:45,060
oder melden glaub ich mal dahin 
und so weiter, dann musst du 

314
00:15:45,070 --> 00:15:48,450
dich ausweisen a die gucken dich
an und so und dann sagen sie ja 

315
00:15:48,460 --> 00:15:51,290
ja, das ist OK, sie sind hier 
deutscher Staatsbürger und so 

316
00:15:51,300 --> 00:15:53,760
weiter alles perfekt so sie 
kriegen jetzt hier den den den 

317
00:15:53,770 --> 00:15:57,040
den Personalausweis ja ganz 
ähnlich funktioniert es bei den 

318
00:15:57,210 --> 00:16:02,230
Servern auch du musst quasi 
beweisen, dass du Herr über 

319
00:16:02,240 --> 00:16:06,060
deine Domain bist und dass darin
das lass ich jetzt kurz weg wie 

320
00:16:06,070 --> 00:16:08,630
das technisch geht. 
Da kann man quasi dann 1 machen.

321
00:16:08,640 --> 00:16:12,510
Sowas kann technisch beweisen. 
Und dann bekommst du von einer 

322
00:16:12,520 --> 00:16:17,640
Certificate sorry so heißen die 
CA kurz gesprochen, die stellen 

323
00:16:17,650 --> 00:16:20,310
dir dann quasi ein Zertifikat 
aus und zwar eines 

324
00:16:20,320 --> 00:16:23,840
Serverzertifikat ja, und jetzt 
ist es wichtig und so ein 

325
00:16:23,850 --> 00:16:27,480
Zertifikat quasi so eine Art 
Certificate Chain sagt man auch 

326
00:16:27,490 --> 00:16:32,260
also eine Kette, das heißt jetzt
kann ein Client wenn dein 

327
00:16:32,270 --> 00:16:37,120
Zertifikat sieht nachverfolgen, 
dass das auch ein gültiges 

328
00:16:37,130 --> 00:16:40,090
Zertifikat ist von einer 
bekannten Zertifikate thority 

329
00:16:40,100 --> 00:16:44,040
wie funktioniert das ist nämlich
interessant eigentlich es ist 

330
00:16:44,050 --> 00:16:46,570
nämlich so, dass jetzt dein 
Rechner dein Computer, an dem du

331
00:16:46,580 --> 00:16:48,280
mit dem Browser sitzt, als 
Client jetzt. 

332
00:16:49,910 --> 00:16:53,440
Der hält im Browser 
typischerweise vor ein ganzes 

333
00:16:53,450 --> 00:16:57,080
Pack von ja auch wieder 
Zertifikaten beziehungsweise 

334
00:16:57,090 --> 00:17:01,300
Listen von Certificate of 
Societies, die glaubwürdig sind.

335
00:17:01,590 --> 00:17:05,119
Das machen die bisher für dich 
ja manchmal so komische Sachen, 

336
00:17:05,130 --> 00:17:08,650
wo ich schon mal wo die 
verstellt und so weiter oder du 

337
00:17:08,660 --> 00:17:11,510
wolltest mal irgendwie so nach 
nach 10 Jahren findest du 

338
00:17:11,520 --> 00:17:13,670
irgendwie in der Kammer noch 
einen alten Laptop schmeißt dann

339
00:17:13,680 --> 00:17:17,540
als Linux drauf und dann blasen 
und wenn du nichts machst nichts

340
00:17:17,550 --> 00:17:21,359
Updates funktioniert gar nichts,
weil der sagt die ganzen Server 

341
00:17:21,369 --> 00:17:23,440
die haben alle irgendwelche 
komischen Zertifikate, den 

342
00:17:23,450 --> 00:17:26,069
glaube ich das alles nicht. 
Das liegt dann nicht an den 

343
00:17:26,079 --> 00:17:27,500
Server. 
Ist nicht das Internet auf 

344
00:17:27,510 --> 00:17:31,350
einmal gegen dich? 
Du hast nicht nur Geisterfahrer 

345
00:17:31,360 --> 00:17:34,750
quasi auf der Autobahn, sondern 
du bist der Geisterfahrer, weil 

346
00:17:34,960 --> 00:17:37,970
nämlich den Browser so alt ist 
oder komisch eingestellt ist, 

347
00:17:38,280 --> 00:17:41,980
dass der nicht die aktuelle 
Liste hat von glaubwürdigen 

348
00:17:41,990 --> 00:17:45,330
Certificate Autoritäts und ich 
interessieren, wie man eine 

349
00:17:45,340 --> 00:17:49,800
glaubwürdige Certificate 
Authority Word also jetzt wieder

350
00:17:49,920 --> 00:17:52,690
da gibt es gar nicht so viele 
und es gibt es gibt so ein paar 

351
00:17:52,700 --> 00:17:56,180
Firmen, die sind das und es gibt
also es gibt die Route CA das 

352
00:17:56,190 --> 00:17:59,560
sind so ganz die ganz oben sind.
Dann gibt es Intermedia CAS. 

353
00:17:59,940 --> 00:18:02,920
Weil du hast viel mehr Nachfrage
als das also es gibt sehr, sehr 

354
00:18:02,930 --> 00:18:06,470
wenig rot CS die also wirklich 
diesen maximalen Trust haben und

355
00:18:06,480 --> 00:18:08,850
die müssen auch die Zertifikate 
sehr gut aufbewahren, also die 

356
00:18:08,890 --> 00:18:11,890
dürfen auch nicht belegt werden,
weil die die Signieren quasi 

357
00:18:11,900 --> 00:18:14,400
deinem Passport so deinen 
Personalausweis, ja also die 

358
00:18:14,410 --> 00:18:18,040
haben schwere Tresore digitale 
Tresore für diese Dinger mit 

359
00:18:18,050 --> 00:18:20,840
Zugriffskontrollen und und und 
und ja wenn nichts schief geht, 

360
00:18:20,850 --> 00:18:23,980
so also irgendwie qualifizieren 
sich die nationale wenn ich mir 

361
00:18:23,990 --> 00:18:26,880
jetzt eine Domain kaufe, dann 
ein Zertifikat auszustellen 

362
00:18:26,890 --> 00:18:29,920
genau und damit kann ich dann 
nachweisen gegenüber Klienten, 

363
00:18:29,930 --> 00:18:32,940
dass ich wirklich Inhaber dieser
Domain bin, also damit hab ich 

364
00:18:32,950 --> 00:18:33,480
schon mal die 
Vertrauenswürdigkeit. 

365
00:18:34,550 --> 00:18:36,980
Hergestellt war der erste Punkt 
genau das Zertifikat auch ein 

366
00:18:36,990 --> 00:18:39,140
paar Informationen mit drin. 
Da steht typischerweise in der 

367
00:18:39,150 --> 00:18:41,620
Firma drin, wer du bist und wer 
irgendwie und so weiter und 

368
00:18:41,630 --> 00:18:43,550
sofort ne oder welches Land und 
so weiter. 

369
00:18:43,920 --> 00:18:47,530
Welches Unternehmen genau und 
das Zertifikat 2 Teile, das muss

370
00:18:47,540 --> 00:18:49,050
jetzt wichtig. 
Es gibt einen sogenannten 

371
00:18:49,060 --> 00:18:52,990
Private, einen private Key 
Public Key beim Personalausweis 

372
00:18:53,000 --> 00:18:57,130
nur ein Ding und beim beim 
Serverzertifikat überhaupt bei 

373
00:18:57,140 --> 00:18:58,930
jedem Zertifikat hast du in 2 
Teile. 

374
00:18:58,940 --> 00:19:02,010
Der eine Teil ist privat für 
dich, denn legst du Quälst 

375
00:19:02,020 --> 00:19:04,690
irgendwie bei dir in Tresor? 
Ja, der muss zwar auf deinen 

376
00:19:04,700 --> 00:19:07,850
Server drauf, dem darfst du 
niemanden zeigen, dass der 

377
00:19:07,860 --> 00:19:10,800
private Key. 
Deswegen heißt er auch so und 

378
00:19:10,810 --> 00:19:13,720
der Public Key den kannst du ihm
schicken so ja, das ist quasi 

379
00:19:13,730 --> 00:19:16,820
der Key, den du schickst, damit 
der Klient weiß OK, der ist den 

380
00:19:16,830 --> 00:19:21,350
kenne ich so, der ist ja so. 
Damit geht es los so ja und wenn

381
00:19:21,360 --> 00:19:24,650
wir das jetzt wir jetzt erstmal 
haben, dann müssen wir noch eine

382
00:19:24,660 --> 00:19:26,560
Sache auseinander nehmen es gibt
nämlich. 

383
00:19:27,500 --> 00:19:30,870
Es gibt nämlich ein sogenanntes 
One Way TLS und N Two Way TLS 

384
00:19:30,880 --> 00:19:33,620
typischerweise. 
Wenn wenn du jetzt Internet 

385
00:19:33,630 --> 00:19:36,140
brauchst, dann ist die ja 
eigentlich nur erstmal wichtig, 

386
00:19:36,180 --> 00:19:40,050
dass der Server mit dem du 
sprichst, vertrauenswürdig ist 

387
00:19:40,060 --> 00:19:42,460
weiß, dass der das ist, mit dem 
Du sprechen möchtest. 

388
00:19:43,540 --> 00:19:47,150
Das nennt sich dann One Way TLS.
Ich drehe jetzt mal, wenn jetzt 

389
00:19:47,160 --> 00:19:51,010
auf einem Server auch total 
wichtig wäre, dass du wirklich 

390
00:19:51,020 --> 00:19:54,560
auch Gerrit bist, mit dem er 
spricht, weil ich mir ihr 

391
00:19:54,570 --> 00:19:58,170
sprecht ja beide ja. 
Dann könnte der Server von dir 

392
00:19:58,180 --> 00:20:02,560
verlangen, auch ein Zertifikat 
vorzuzeigen, was r validieren 

393
00:20:02,570 --> 00:20:05,790
kann in seinen Zertifikaten, die
er kennt und den er, den er 

394
00:20:05,800 --> 00:20:08,090
vertraut. 
Ja, das könnt ihr auch machen 

395
00:20:08,100 --> 00:20:10,980
und dann sprechen von 
sogenannten Two way und dann 

396
00:20:10,990 --> 00:20:13,870
caption quasi dann einen 
Anwendungsfall, wäre dann zum 

397
00:20:13,880 --> 00:20:16,630
Beispiel IOT oder sowas, wenn 
ich so ganz genau mit so einem 

398
00:20:16,640 --> 00:20:18,950
Gerät wird, dann sind und so 
weiter und dann packst du das 

399
00:20:18,960 --> 00:20:22,410
Zertifikat auf das Gerät, damit 
dann in den QT Broker irgendwo 

400
00:20:22,420 --> 00:20:24,850
hin senden darf und so weiter. 
Und ganz genau das nämlich beim 

401
00:20:24,860 --> 00:20:27,000
normalen Internetbrowser ist das
nicht relevant, da eigentlich 

402
00:20:27,010 --> 00:20:29,300
typischerweise immer nur da geht
es immer nur darum, dass Server 

403
00:20:29,340 --> 00:20:32,620
vertrauenswürdig ist beim IOTK. 
Das ist genau der Fall. 

404
00:20:32,820 --> 00:20:36,480
Ich könnte ja ein böses Stück 
Hardware n böses IOT Device 

405
00:20:36,490 --> 00:20:39,920
irgendwo einsetzen, was dann 
anfängt zu havarieren, da 

406
00:20:39,930 --> 00:20:42,940
irgendwie in diesem Netzwerk und
da ist es oft gewollt, dass das 

407
00:20:42,950 --> 00:20:45,800
auch dieses Device quasi was 
dann aber als Client auftritt 

408
00:20:45,810 --> 00:20:47,690
gegenüber dem Server dem P 
Server. 

409
00:20:47,700 --> 00:20:51,650
Dass ich das auch ausweist als 
einem Device, was hier was hier 

410
00:20:51,660 --> 00:20:55,860
irgendwo schon mal eingepflegt 
wurde, irgendwas dafür plus das 

411
00:20:55,870 --> 00:20:59,120
sag ich jetzt noch schnell. 
Man kann das Client Zertifikat. 

412
00:20:59,130 --> 00:21:01,580
Man kann das Nutzen als Username
Passwort wenn man kann 

413
00:21:01,590 --> 00:21:04,230
Zertifikat methylation 
reinpacken und dann kann ich 

414
00:21:04,240 --> 00:21:07,890
meinen Usernamen in dem 
Zertifikat mit einbetten und 

415
00:21:07,900 --> 00:21:11,130
dann, wenn ich dann gültiges 
Zertifikat, dann brauchen 

416
00:21:11,140 --> 00:21:13,640
Passwort eintippen so das kann 
das auch ersetzen quasi das 

417
00:21:13,650 --> 00:21:17,470
nennt man dann auch Certificate 
Based Authentication Duration. 

418
00:21:17,480 --> 00:21:20,820
Es gibt es auch alles. 
Ich wollte es nur gesagt haben, 

419
00:21:20,830 --> 00:21:23,280
lassen wir jetzt kurz mal weg 
für den Handshake, weil das das 

420
00:21:23,290 --> 00:21:26,730
ist schon echt Edge Case so dass
das nutzt man im IOT tatsächlich

421
00:21:26,770 --> 00:21:30,790
relativ häufig, also Werte sind 
die Voraussetzungen, dass h 

422
00:21:30,800 --> 00:21:33,480
nicht stattfinden kann. 
So richtig das ist genau richtig

423
00:21:33,490 --> 00:21:35,920
so genau so und dann? 
Und dann gehen wir jetzt den 

424
00:21:35,930 --> 00:21:38,110
Prozess durch. 
Ich habe ja in einer früheren 

425
00:21:38,120 --> 00:21:40,810
Folge schon mal gesagt, der ist 
immer da und lauscht, der kann 

426
00:21:40,820 --> 00:21:43,530
angerufen werden von einem 
Client, der kommt in das Game 

427
00:21:43,540 --> 00:21:45,390
rein, das heißt, der fängt auch 
an, die Kommunikation 

428
00:21:45,400 --> 00:21:49,190
aufzunehmen, so wie du immer so 
Podcast Einleitest so Hallo, 

429
00:21:49,200 --> 00:21:52,450
hier ist Gerrit Burchart bist du
auch da bist du client ja, sagst

430
00:21:52,460 --> 00:21:55,660
ihr, ich bin immer da. 
Jetzt im Büro und das Beispiel 

431
00:21:55,710 --> 00:21:59,180
ist hier Burkhard auch da und 
ich sag dann ja alles klar, ja 

432
00:21:59,390 --> 00:22:01,190
und jetzt wollen wir 
sicherstellen, dass meine Stimme

433
00:22:01,200 --> 00:22:04,120
auch wirklich zu mir gehört so 
ja also das fängt tatsächlich 

434
00:22:04,130 --> 00:22:06,020
an. 
Das nennt sich Client Hello also

435
00:22:06,030 --> 00:22:08,860
ich will jetzt machen, wir gehen
jetzt diesen Handshake durch. 

436
00:22:08,870 --> 00:22:11,150
Man nennt das Handshake, weil n 
schönes bildliches Ding ist 

437
00:22:11,400 --> 00:22:14,080
vielleicht das vorweg bevor wir 
durchgehen, was wir eigentlich 

438
00:22:14,090 --> 00:22:17,160
machen wollen. 
Ganz vereinfacht ausgedrückt 

439
00:22:17,570 --> 00:22:22,090
wenn wir es schaffen, dass der 
Client und der Server sich auf 

440
00:22:22,100 --> 00:22:26,360
eine ziemlich große Nummer 
einigen können, die sie beide 

441
00:22:26,370 --> 00:22:30,380
haben, die nur gültig ist, für 
die eine Sitzung also für die 

442
00:22:30,390 --> 00:22:34,090
eine Verbindung. 
Und ohne dass sie diese Nummer 

443
00:22:34,100 --> 00:22:37,170
durch den Kanal schicken. 
Dann haben wir es geschafft, 

444
00:22:37,240 --> 00:22:39,670
darum geht es in der 
Verschlüsselung ja, wir wollen 

445
00:22:39,680 --> 00:22:42,570
irgendwie erreichen, dass die 
beiden Herren ne gleiche 

446
00:22:42,580 --> 00:22:44,930
ziemlich große Nummer kennen, 
die man nicht so einfach erraten

447
00:22:44,940 --> 00:22:48,200
kann, ohne die selbst über den 
Äther zu schicken. 

448
00:22:48,500 --> 00:22:50,420
Das sind aber Maschinen in dem 
Fall. 

449
00:22:50,640 --> 00:22:53,770
Ja ja genau, aber ist egal ist 
wichtig. 

450
00:22:55,230 --> 00:22:58,620
Ich finde immer sonst ist es so 
kompliziert so man muss immer 

451
00:22:58,630 --> 00:23:01,350
wissen, was man erreichen will 
also ich verrate dir irgendwie 

452
00:23:01,360 --> 00:23:04,330
oder ich geb dir eigentlich ein 
Rätsel und und wenn du auf das 

453
00:23:04,340 --> 00:23:07,170
auf die richtige Antwort kommst,
dann vertraue ich dir so ne Art 

454
00:23:07,210 --> 00:23:09,540
ja genau, wir machen es nochmal 
machen. 

455
00:23:09,880 --> 00:23:13,060
Ich hatte von diesem Public und 
von dem private Part gesprochen.

456
00:23:13,070 --> 00:23:16,920
Von Zertifikat im Prinzip gibst 
du mir deinen deinen Public 

457
00:23:16,930 --> 00:23:20,960
Zertifikat und ich gebe dir mein
Sky Entschuldigung den Key vom 

458
00:23:20,970 --> 00:23:24,300
Zertifikat ja plus noch ein 
bisschen randomisierten Krams 

459
00:23:24,310 --> 00:23:27,620
und so weiter und n bisschen 
Vereinbarung und dann schaffen 

460
00:23:27,630 --> 00:23:31,360
wir es beide eine Nummer zu 
generieren, die für uns beide 

461
00:23:31,370 --> 00:23:34,140
gleich ist ohne dass wir die 
explizit getauscht haben und 

462
00:23:34,150 --> 00:23:36,260
ohne dass jemand dazwischen 
irgendwie erraten könnte, was 

463
00:23:36,270 --> 00:23:38,790
passiert so dass wir haben 
wollen ne? 

464
00:23:39,600 --> 00:23:40,910
Und dann? 
Und dann wird diese Nummer 

465
00:23:40,920 --> 00:23:43,090
tatsächlich am Ende, das ist 
alles, was wir brauchen. 

466
00:23:43,100 --> 00:23:45,650
Diese Nummer wird dann genommen,
um jeden weitere Daten, nachdem 

467
00:23:45,660 --> 00:23:49,360
wir einmal diesen Handshake 
gemacht haben, werden alle Daten

468
00:23:49,370 --> 00:23:52,300
mit dieser Nummer und einem 
Verschlüsselungsalgorithmus. 

469
00:23:52,920 --> 00:23:57,400
Verschlüsselt ja so dass, dass 
da nur noch Hacks rauskommt, für

470
00:23:57,410 --> 00:23:58,940
jeden, der diese Nummer nicht 
kennt. 

471
00:23:59,660 --> 00:24:02,430
Weißt du, was ich meine ja und 
diese Nummer ist ein sehr 

472
00:24:02,470 --> 00:24:05,260
temporäres Ding, da die 
existiert quasi nur für diese, 

473
00:24:05,310 --> 00:24:07,120
für diese ein. 
Eine Session für diese 

474
00:24:07,130 --> 00:24:09,400
Verbindung und diese Nummer es 
kann nur zu dieser Nummer 

475
00:24:09,410 --> 00:24:11,940
kommen. 
Zwischen diesem Klienten und 

476
00:24:11,950 --> 00:24:15,200
Server ja genau und kein Dritter
kann da irgendwie herumraten, 

477
00:24:15,210 --> 00:24:17,480
dass es darum geht es ja und das
ist das, was man seit 

478
00:24:17,490 --> 00:24:19,580
Jahrzehnten versucht immer zu 
verbessern. 

479
00:24:19,590 --> 00:24:23,170
Im Kleinen sind immer dann 
geschickt während der Sitzung 

480
00:24:23,210 --> 00:24:27,010
ach nein, die werden aber es ist
verschlüsselt und wenn man 

481
00:24:27,020 --> 00:24:29,720
entschlüsseln das wichtige ist, 
dass beide die Nummer da haben, 

482
00:24:29,730 --> 00:24:33,290
quasi lokal aber sie nie über 
die Leitung geschickt wurde. 

483
00:24:33,360 --> 00:24:36,670
Damit ein Dritter das Raten, und
das ist diese Nummer 

484
00:24:36,710 --> 00:24:38,940
funktioniert so lange zur 
Entschlüsselung, bis die Sitzung

485
00:24:38,950 --> 00:24:41,570
wieder beendet werden wird, dann
geht das Ganze von vorne los wie

486
00:24:41,580 --> 00:24:43,880
angesagt. 
Da sich eine Nummer geeinigt, 

487
00:24:43,890 --> 00:24:46,410
womöglich bei jedem Klick auf 
neuen oder beim Absenden 

488
00:24:46,420 --> 00:24:47,940
Formular. 
Nachdem wie programmiert ist ja 

489
00:24:48,130 --> 00:24:53,540
OK, genau das ist ne h Erlebnis 
ist es OK, das ist gut, dann 

490
00:24:53,550 --> 00:24:57,680
lass den Schal durch ne jetzt n 
bisschen langweilig, aber also 

491
00:24:57,690 --> 00:24:59,380
wir können ja mal 
durchexerzieren, also es fängt 

492
00:24:59,390 --> 00:25:02,100
so an, dass da das mit dem 
Client Hello so ist. 

493
00:25:02,110 --> 00:25:05,050
Der englische Begriff der Klient
sagt Hallo zum Server noch 

494
00:25:05,060 --> 00:25:07,140
unverschlüsselt. 
Also irgendwo muss ich anfangen,

495
00:25:07,150 --> 00:25:09,660
ne? 
So und der schickt jetzt schickt

496
00:25:09,670 --> 00:25:12,230
er sogar schon mal mit und und 
zwar schickt die 

497
00:25:12,240 --> 00:25:14,240
Protokollversionen mit, die er 
unterstützt. 

498
00:25:14,250 --> 00:25:19,300
Jetzt hab ich ja gesagt die s 
101112 und 13 vielleicht noch 

499
00:25:19,310 --> 00:25:22,560
die ganzen SL die guten Klienten
unterstützen gar kein SL und 

500
00:25:22,570 --> 00:25:25,440
auch kein 1011 mehr da ist 
eigentlich nur noch 12 oder 13 

501
00:25:25,450 --> 00:25:29,710
so. 
Damit sagte nur der Pass mal 

502
00:25:29,720 --> 00:25:32,080
auf, also auf diesem auf diesem 
Level könnt ihr mich überhaupt 

503
00:25:32,090 --> 00:25:34,160
unterhalten, ja, so kompetent 
bin ich ja. 

504
00:25:34,490 --> 00:25:38,430
Dann schickt der randomisierten 
Daten Zahl durch, und wir müssen

505
00:25:38,440 --> 00:25:42,140
ja ne Nummer generieren und er 
schickt durch eine Liste von 

506
00:25:42,150 --> 00:25:44,720
Verschlüsselungsalgorithmen, die
er selbst unterstützt. 

507
00:25:44,910 --> 00:25:47,280
Da gibt es eine ganze Menge. 
Ich werde jetzt hier nicht 

508
00:25:47,290 --> 00:25:50,140
aufzählen, aber das ist halt der
Kryptographie, ja die diese 

509
00:25:50,150 --> 00:25:52,480
Algorithmen werden dann nachher 
benutzt, um dann mit dieser 

510
00:25:52,690 --> 00:25:54,810
ausgehandelten Zahl die ich 
vorher genannt habe, dann 

511
00:25:54,820 --> 00:25:56,290
irgendwie Daten verschlüsseln 
ja. 

512
00:25:57,020 --> 00:25:59,630
So und dann antwortet der Server
mit einem Hallo, du bist jetzt 

513
00:25:59,640 --> 00:26:02,790
mal client, ich bin hier der 
Server dann sagst du sagst Hallo

514
00:26:02,800 --> 00:26:07,350
Burkhard so ja hier, ich kann 
irgendwie Protokoll 1 ein TS 11 

515
00:26:07,360 --> 00:26:12,690
und 12 und 13 ja, hier ist immer
so n randomisierter Datensatz 

516
00:26:12,700 --> 00:26:17,170
von mir und Verschlüsselung 
können wir machen über was weiß 

517
00:26:17,180 --> 00:26:19,630
ich la LA und so weiter ja, was 
sind RSH? 

518
00:26:19,640 --> 00:26:23,170
Wäre einer dieser Algorithmen, 
der ja ist, hast du mich egal, 

519
00:26:23,180 --> 00:26:26,470
aber das einordnen können wäre 
ritmus ja genau. 

520
00:26:26,480 --> 00:26:28,340
Ich habe immer im Kopf, aber ich
glaube, das ist auch schon 

521
00:26:28,350 --> 00:26:30,470
wieder alt wie ich will ja nicht
so oft. 

522
00:26:30,540 --> 00:26:33,440
Aber jetzt Google, ich das ich 
hier das hier bekommen. 

523
00:26:34,500 --> 00:26:39,390
Ja, genau SA ist natürlich einer
und CCTLSECDH er ist und so 

524
00:26:39,400 --> 00:26:42,310
weiter und sofort. 
Es gibt eine ganze Menge, das 

525
00:26:42,320 --> 00:26:45,390
sind die Algorithmen, die du 
beherrschst du und ich, Hallo 

526
00:26:45,400 --> 00:26:49,220
Gerrit zurück zu dir ja und ich 
entscheide ja, ich bin der 

527
00:26:49,230 --> 00:26:52,300
Server, ich sehe was ich kann, 
also was wichtig ist. 

528
00:26:52,310 --> 00:26:55,140
Wir müssen ja beide irgendwie 
das gleiche können Algorithmen 

529
00:26:55,180 --> 00:26:58,370
ja und an Versionen kann gar 
nicht machen. 

530
00:26:58,530 --> 00:27:00,150
Und wenn ich das nicht kann, 
dann ist es schon vorbei. 

531
00:27:00,160 --> 00:27:03,090
Ja, dann ist nach Client und 
Server Hallo, wenn wir nicht 

532
00:27:03,130 --> 00:27:05,530
irgendeine Schnittmenge haben. 
Zwischenversionen und 

533
00:27:05,540 --> 00:27:08,730
Verschlüsselungsalgorithmus. 
Dann hängt sich das alles auf 

534
00:27:08,740 --> 00:27:11,110
kriegst ne Fehlermeldung irgend 
so ne komische, das ist dann so 

535
00:27:11,120 --> 00:27:13,350
ne Wahnsinns Fehlermeldung 
irgendwie nicht den Browser 

536
00:27:13,360 --> 00:27:16,360
irgendwas mit TS gedöns, sondern
hat nicht geklappt passiert 

537
00:27:16,370 --> 00:27:19,730
selten, weil das relativ 
standardisiert ist, ja, aber ich

538
00:27:19,740 --> 00:27:22,430
will dann aus ich sag dann OK 
gegeben deine Optionen will ich 

539
00:27:22,440 --> 00:27:26,540
die aus und die aus ne also das 
wir nehmen das Protokoll 12 zum 

540
00:27:26,550 --> 00:27:29,170
Beispiel und den RSA unterstrich
hast du nicht gesehen 

541
00:27:29,180 --> 00:27:32,990
verschlüsselungsalgorithmus und 
dann schick ich dir noch meinen 

542
00:27:33,000 --> 00:27:39,010
Public Anteil vom Zertifikat ja.
Plus der Chain also nicht nur 

543
00:27:39,020 --> 00:27:42,890
mein eigenes Ding, sondern alle 
weiteren Zertifikate bis zu 

544
00:27:42,900 --> 00:27:46,330
einer mindestens intermediären 
Zertifikate Authority. 

545
00:27:46,540 --> 00:27:48,060
Da schicke ich dir alles zurück,
ja. 

546
00:27:49,700 --> 00:27:52,790
Und dann schicke ich dir noch so
n Key Exchange mit, so heißt das

547
00:27:52,830 --> 00:27:57,050
das ist quasi der erste Teil von
dem von dem Teil, mit dem du 

548
00:27:57,060 --> 00:28:00,150
dann zu Hause quasi dir deine 
Nummer generieren kannst und ich

549
00:28:00,160 --> 00:28:02,960
dann später auch ja also ich 
fange das an zu tun, ja. 

550
00:28:03,790 --> 00:28:08,320
Und was dann jetzt käme optional
habt ihr gesagt lassen wir weg 

551
00:28:08,330 --> 00:28:11,900
wäre quasi das umgekehrte wenn 
ich jetzt quasi an deinem 

552
00:28:11,910 --> 00:28:15,240
Zertifikat interessiert würde 
wäre dann würde ich und das 

553
00:28:15,250 --> 00:28:17,840
initiierte Server, der muss so 
konfiguriert sein, dass ihr das 

554
00:28:17,850 --> 00:28:21,470
braucht, das sind die Internet 
Webserver typischerweise nicht 

555
00:28:21,510 --> 00:28:25,400
ja, aber würde ich jetzt quasi 
wissen wollen und war lidieren 

556
00:28:25,410 --> 00:28:27,570
wollen, dass du auch ein gutes 
Zertifikat hast würde ich dir 

557
00:28:27,580 --> 00:28:30,030
jetzt sagen. 
Und bitte lieber Gerrit schick 

558
00:28:30,040 --> 00:28:32,900
mir mal deine ganze Zertifikat 
Chance zu deinen Public Teil von

559
00:28:32,910 --> 00:28:36,420
deinem Zertifikat das hätte ich 
gerne auch gesehen ja so und das

560
00:28:36,430 --> 00:28:38,780
passiert also nicht. 
Das ist dann optional. 

561
00:28:39,620 --> 00:28:42,620
Aber wenn du oneway jetzt 
besprechen, so und dann schickst

562
00:28:42,630 --> 00:28:45,650
du mir noch mit den Daten, die 
ich dir geschickt hab mit meinem

563
00:28:45,660 --> 00:28:50,050
Public Key und meinem 
generierten Key Exchange. 

564
00:28:51,530 --> 00:28:54,880
Rechnest du dann gegeben schon 
diesen vor angelegten 

565
00:28:54,890 --> 00:28:59,230
Algorithmen einen Key aus für 
mich, der nicht der gleiche ist,

566
00:28:59,270 --> 00:29:03,640
ja, und dann gibst du mir wieder
zurück und dann kommt der 

567
00:29:03,650 --> 00:29:06,580
Kryptographie und Magie und so 
weiter und dann können wir quasi

568
00:29:06,590 --> 00:29:11,370
es schaffen, jeweils beide einen
gleichen Verschlüsselungs langen

569
00:29:11,710 --> 00:29:15,330
quasi wert zu zu erschaffen, den
wir nie ausgetauscht, ja, den 

570
00:29:15,340 --> 00:29:18,190
hat niemand gesehen und von da 
an verschlüsseln wir dann mit 

571
00:29:18,200 --> 00:29:21,360
den vorher geeinigten 
Algorithmus alle Nachrichten im 

572
00:29:21,370 --> 00:29:24,140
Prinzip ist, dass der Prozess so
ja ganz grob gesprochen, viel zu

573
00:29:24,150 --> 00:29:26,270
vereinfacht alle diesen Podcast 
hören und selber. 

574
00:29:26,340 --> 00:29:29,790
Security Leute sind mögen, mir 
verzeihen und nicht nicht n 

575
00:29:29,800 --> 00:29:32,710
bisschen, aber man versteht das 
sonst glaube ich nicht nein, für

576
00:29:32,720 --> 00:29:35,890
mich ist das völlig in Ordnung. 
Also nochmal um das zu versuchen

577
00:29:35,900 --> 00:29:38,210
zu wiederholen und ich glaube, 
ich brauche noch mal ein 

578
00:29:38,220 --> 00:29:40,670
bisschen Hilfe, also der Klient 
ist, der die Verbindung 

579
00:29:40,680 --> 00:29:43,560
initiiert, also in der was 
gesagt, weil ich das jetzt, ja 

580
00:29:43,570 --> 00:29:46,760
ich sag hier Hallo, das bin ich 
voll irgendwie von dir und das 

581
00:29:46,770 --> 00:29:48,540
sind die 
Verschlüsselungsalgorithmen 

582
00:29:48,550 --> 00:29:52,590
nicht beherrsche und die Version
von TS oder von SA heutzutage 

583
00:29:52,630 --> 00:29:57,040
eigentlich noch t 12 s bekommen.
Das wunderbar hier ist unsere 

584
00:29:57,050 --> 00:30:01,750
kleinste gemeinsame Schnittmenge
zum Beispiel. 12 lass uns mal 

585
00:30:01,760 --> 00:30:05,330
den Verschlüsselungsalgorithmus 
auswählen plus hier ist mein 

586
00:30:05,340 --> 00:30:09,260
Public Key und verschiedene 
andere Parameter, die noch 

587
00:30:09,270 --> 00:30:12,550
mitgeschickt werden. 
So ungefähr gesagt du bist jetzt

588
00:30:12,560 --> 00:30:15,980
noch bei dir als Client noch bei
dir als als Server genau genau 

589
00:30:15,990 --> 00:30:18,250
das ist richtig Public Key genau
von mir kriegst du genau und 

590
00:30:18,260 --> 00:30:21,120
dann ja und das wäre jetzt der 
One Way und dabei bleiben wir 

591
00:30:21,130 --> 00:30:23,870
erstmal. 
Und dann sagt der Kleine wieder 

592
00:30:23,880 --> 00:30:27,610
OK mit diesen Informationen, die
du mir gegeben hast, rechne ich 

593
00:30:27,620 --> 00:30:31,280
dies und das Ergebnis aus oder 
diese diesen unter diesen Wert 

594
00:30:31,320 --> 00:30:35,020
genau Kryptographie genau 
Photographie Magic Magic, genau 

595
00:30:35,030 --> 00:30:37,750
was du auch machst du guckst dir
vor allen Dingen Clan und die 

596
00:30:37,760 --> 00:30:41,900
Chance dahinter hängt und guckst
erstmal hab ich da lokal auf 

597
00:30:41,910 --> 00:30:44,090
meinem System in meinem Browser 
hinterlegt irgendeine 

598
00:30:44,100 --> 00:30:48,130
Zertifikate Authority, die sich 
dazu auflöst ne, das ist auch 

599
00:30:48,140 --> 00:30:52,590
Kryptographie, wenn das so ist, 
dann sagst du ja ist grün, so 

600
00:30:52,600 --> 00:30:55,720
dass dann auch der Macht das für
dich schon alles ja so, dann ist

601
00:30:55,730 --> 00:30:57,640
das so ein grünes Zeichen da 
oben beim beim. 

602
00:30:57,940 --> 00:31:00,330
Er hat zum Glück muss man leider
nichts wirklich manuell machen. 

603
00:31:00,340 --> 00:31:04,500
Es wäre ja schlimm, aber ich 
will das hier an dieser Stelle 

604
00:31:04,510 --> 00:31:09,050
sagen wenn du kannst ja, du 
kannst ja trotzdem eine eine 

605
00:31:09,060 --> 00:31:12,470
HTTPS verbindung herstellen, 
also eine TLS verschlüsselte 

606
00:31:12,480 --> 00:31:17,370
Verbindung herstellen, auch wenn
du nicht den Server erkennst. 

607
00:31:17,440 --> 00:31:22,540
Als einen offiziellen von den 
Zertifikaten bestätigten und es 

608
00:31:22,550 --> 00:31:25,790
kommt sogar ganz, ganz oft vor 
das mal es gerade so schön 

609
00:31:25,800 --> 00:31:28,590
passt. 
Das ist ganz oft stellt man 

610
00:31:28,600 --> 00:31:31,240
Salciccia, vielleicht hast du 
schon gehört. 

611
00:31:31,310 --> 00:31:36,310
Selbst Science ja, Self Science 
heißt quasi ich hab halt keine, 

612
00:31:36,320 --> 00:31:39,160
ich weiß das kostet ja auch 
notfallgeld ich ganz Schluss, 

613
00:31:39,170 --> 00:31:43,660
also eine Autorität, die quasi 
ein ein Zertifikat übergibt ja, 

614
00:31:43,700 --> 00:31:47,710
es kostet immer Geld. 
Sowas ja ja ist ein Produkt 

615
00:31:47,720 --> 00:31:50,410
Dienstleistung, so kostet Geld 
so und wenn du aber jetzt 

616
00:31:50,420 --> 00:31:53,420
entwickeln bist zum Beispiel 
wenn dein Server gar nicht im 

617
00:31:53,430 --> 00:31:56,240
Internet steht, sondern lokal 
ist, so wie das hier auch die 

618
00:31:56,250 --> 00:31:59,650
ganze Zeit haben, dann wird sie 
vielleicht trotzdem schon ETPS 

619
00:31:59,660 --> 00:32:02,470
Verbindung aufbauen zu deinem 
eigenen Server. 

620
00:32:02,480 --> 00:32:04,310
Das macht zwar keinen Sinn, aber
die sind ja. 

621
00:32:04,950 --> 00:32:07,730
Ne sind anderes Ding, so willst 
ja so echt wie möglich irgendwie

622
00:32:07,740 --> 00:32:11,130
alles simulieren, dann bist du 
angefixt, weil du weil es kann 

623
00:32:11,140 --> 00:32:14,380
ja noch nicht mal selbst wenn du
wolltest du unglaublich viel 

624
00:32:14,390 --> 00:32:16,190
Geld hättest und so weiter 
könnte noch nicht mal die 

625
00:32:16,200 --> 00:32:19,020
Zertifikate Accuracy 
feststellen, dass das irgendwie 

626
00:32:19,030 --> 00:32:21,660
super ist, weil die kommen nicht
auf den lokalen Host drauf wäre 

627
00:32:21,670 --> 00:32:24,360
ja auch noch schöner. 
Also tust du so, als wärst du 

628
00:32:24,370 --> 00:32:28,250
selber die CA alles in einem und
signiert dir dein dein 

629
00:32:28,260 --> 00:32:31,090
Zertifikat selber als Server 
schön private Public Key fertig 

630
00:32:31,100 --> 00:32:34,690
aus so und aber wenn du n Server
ins Internet stellst das hast du

631
00:32:34,700 --> 00:32:37,020
auch schon mal gesehen. 
Dann sagt der HTTP es 

632
00:32:37,030 --> 00:32:38,470
funktioniert alles und dann sagt
er. 

633
00:32:39,040 --> 00:32:42,440
Nee, mein Freund, das ist nicht 
trusted ne, das kennst du. 

634
00:32:42,850 --> 00:32:45,460
Ich kenne diesen Server nicht, 
sag dir dann und willst du das 

635
00:32:45,470 --> 00:32:47,940
ist ein Risiko willst du das 
wirklich weitermachen? 

636
00:32:47,950 --> 00:32:49,400
So weiter? 
Das ist der klassische Fall, 

637
00:32:49,410 --> 00:32:51,540
wenn der Klient des 
Serverzertifikat nicht erkennt, 

638
00:32:51,550 --> 00:32:55,000
als ein Trostverse C Artikel an 
der Stelle nur kurz sind damit 

639
00:32:55,010 --> 00:32:57,590
so jetzt fällt mir noch ein, bei
dem Wir hatten das auch schon 

640
00:32:57,600 --> 00:32:59,070
mal auf unserer Website 
irgendwie das Zertifikat 

641
00:32:59,080 --> 00:33:02,720
ausgelaufen war. 
Klassiker genau ja ja ja. 

642
00:33:02,810 --> 00:33:04,730
Die Zertifikate das ist auch 
ganz furchtbar. 

643
00:33:04,740 --> 00:33:09,100
Auch ne Vollmacht angekündigt. 
Aber ja gerade sagen genau diese

644
00:33:09,140 --> 00:33:11,390
also diese Zertifikate haben 
immer eine Lebensdauer. 

645
00:33:12,540 --> 00:33:14,830
Also ein bisschen wie ein wie 
dein, das ist alles ganz ähnlich

646
00:33:14,840 --> 00:33:17,060
wie dein wie dein 
Personalausweis ja, der läuft 

647
00:33:17,070 --> 00:33:20,540
auch irgendwann ab, ja, und die 
sind relativ kurz also ich sag 

648
00:33:20,550 --> 00:33:22,750
jetzt mal wenn du ein bisschen 
sparsamer unterwegs ist die 

649
00:33:22,760 --> 00:33:25,160
Lebenszeit immer noch kürzer, 
also wenn du relativ viele 

650
00:33:25,170 --> 00:33:27,700
Münzen einschmeißen, kriegst du 
auch Lebenszeit so ne und wir 

651
00:33:27,710 --> 00:33:30,350
haben nämlich ganz viele Münzen.
Eingeschmissen haben wir auch ne

652
00:33:30,360 --> 00:33:33,100
kurze Lebenszeit und dann laufen
die gerne mal ab und dann musst 

653
00:33:33,110 --> 00:33:35,980
du quasi ein neues Zertifikat 
beantragen, bevor das Alte 

654
00:33:35,990 --> 00:33:38,500
abgelaufen ist. 
Aber ein Klassiker und ich sag 

655
00:33:38,510 --> 00:33:40,790
dir bestimmt der Grund wenn du 
mal was hörst der ganze 

656
00:33:40,800 --> 00:33:42,780
Flughafen? 
Wir haben das ganze IT System 

657
00:33:42,790 --> 00:33:46,150
ist ausgefallen und so weiter. 
Nicht selten liegt das einfach 

658
00:33:46,160 --> 00:33:48,590
nur daran. 
Hast du Beknacktes Server 

659
00:33:48,600 --> 00:33:52,250
Zertifikat abgelaufen ist und 
keiner mehr eine Verbindung 

660
00:33:52,260 --> 00:33:54,870
aufgebaut hat automatisch weil 
auch die programmatischen 

661
00:33:54,880 --> 00:33:57,620
Klienten die gucken auch ob das 
passt oder nicht, ja, und im 

662
00:33:57,630 --> 00:33:59,670
Notfall, wenn sie sich unsicher 
sind, da machen die nichts so, 

663
00:33:59,680 --> 00:34:03,690
ja dann, dann fällt eine ganze 
it Landschaft hinüber, weil das 

664
00:34:03,700 --> 00:34:06,670
Zertifikat abgelaufen ist, ja, 
Lösungen ist Neues kaufen, 

665
00:34:06,680 --> 00:34:10,530
installieren am Server und alles
wieder schick also ich will das 

666
00:34:10,540 --> 00:34:12,710
Thema nicht erreichen. 
Ich habe jetzt auch mal 

667
00:34:12,719 --> 00:34:14,510
verstanden. 
Ich glaube, Christopher ist 

668
00:34:14,520 --> 00:34:16,679
irgendwie was muss man sich 
wahrscheinlich ein bisschen 

669
00:34:16,690 --> 00:34:19,400
angucken, was da passiert. 
Aber der Schlüsselmoment war für

670
00:34:19,409 --> 00:34:20,750
mich der wo du sagst o man muss 
sich eigentlich. 

671
00:34:21,380 --> 00:34:23,250
In seinen jeweiligen 
Berechnungen, ohne dass man 

672
00:34:23,260 --> 00:34:24,600
diese Zahl jemals ausgetauscht 
hat. 

673
00:34:24,610 --> 00:34:26,639
Auf das gleiche Ergebnis 
eigentlich Komma um dann kann 

674
00:34:26,650 --> 00:34:30,480
man gesichert miteinander 
kommunizieren über offene 

675
00:34:30,489 --> 00:34:33,489
Netzwerke, das Internet quasi 
ja, genau, ich will nochmal 

676
00:34:33,500 --> 00:34:37,139
sagen, es gibt ja vielleicht die
Zuhörer, die n bisschen da auch 

677
00:34:37,150 --> 00:34:40,100
tiefer reinschnuppern wollen. 
Es gibt ja die asymmetrische und

678
00:34:40,110 --> 00:34:44,199
die symmetrische Verschlüsselung
und nur um das jemand sagen bei 

679
00:34:44,210 --> 00:34:46,389
dem Handshake, also bei der 
ganzen TS Verschlüsselung, 

680
00:34:46,560 --> 00:34:48,409
handelt es sich typischerweise 
über die symmetrische 

681
00:34:48,420 --> 00:34:51,380
Verschlüsselung und da gibt es 
den einen Algorithmus, wenn man 

682
00:34:51,389 --> 00:34:54,389
da tiefer einsteigen will, den 
muss man kennen, der heißt 

683
00:34:54,429 --> 00:34:57,600
Diffie Hellmann. 
Und die Hellmann, also, wo ich 

684
00:34:57,610 --> 00:35:00,140
jetzt hier gesagt, da kommt dann
irgendwie nur randomisiert und 

685
00:35:00,150 --> 00:35:02,520
so weiter und dann können wir 
das ausrechnen und so weiter der

686
00:35:02,530 --> 00:35:05,230
Zuhörer jetzt irgendwie 
angeteasert und will mal gucken,

687
00:35:05,240 --> 00:35:08,100
wie das wirklich so, der kann ja
mal D Hellmann in Google 

688
00:35:08,110 --> 00:35:10,650
eintippen und das ist der 
Algorithmus, der heute immer 

689
00:35:10,660 --> 00:35:13,020
noch Standard ist, um so eine 
symmetrische Verschlüsselung 

690
00:35:13,030 --> 00:35:15,300
dann tatsächlich herzustellen 
Wikipedia Eintrag verlinken 

691
00:35:15,310 --> 00:35:18,960
schauen oder so dann was ich 
mich gerade gefragt haben wir 

692
00:35:18,970 --> 00:35:22,590
jetzt wieder ein bisschen 
Richtung ja private Netzwerke 

693
00:35:22,930 --> 00:35:25,360
sowas wieso ein 
produktionsnetzwerk denken also 

694
00:35:25,370 --> 00:35:28,060
in produzierenden Unternehmen 
typischerweise seine Maschinen 

695
00:35:28,070 --> 00:35:29,370
irgendwelchen 
Produktionsnetzwerken? 

696
00:35:30,890 --> 00:35:34,120
Und gar nicht im Internet 
ausgesetzt, zumindest bis dato 

697
00:35:34,130 --> 00:35:37,710
oder in der Vergangenheit hat 
man in solchen Netzwerken auch 

698
00:35:37,720 --> 00:35:39,850
so eine Verschlüsselung 
wahrscheinlich würde man das 

699
00:35:39,860 --> 00:35:42,090
erstmal nicht machen, das sieht 
jetzt keiner. 

700
00:35:42,100 --> 00:35:44,990
Du bist skeptisch, erzähl doch 
mal ja wie wär s denn Netzwerk 

701
00:35:45,000 --> 00:35:48,110
Produktionsnetzwerk zum Beispiel
oder auch n Office Netzwerk also

702
00:35:48,120 --> 00:35:51,460
nicht das Internet Endes ne ja, 
was muss ich tun, wenn ich das 

703
00:35:51,470 --> 00:35:54,200
jetzt ändern möchte? 
Ja ja also es ist ein leidiges 

704
00:35:54,210 --> 00:35:57,490
Thema ich ich kann mal n 
bisschen points anteasern warum 

705
00:35:57,500 --> 00:36:00,270
also? 
Wenn ich quasi ein großes 

706
00:36:00,280 --> 00:36:02,900
Firmennetzwerk hab, zum Beispiel
im Produkt in der ganzen 

707
00:36:03,440 --> 00:36:07,010
Produktion OT Netzwerk oder 
irgendwas, was halt quasi 

708
00:36:07,020 --> 00:36:09,080
eigentlich nicht direkt mit dem 
Internet verbunden ist, dann 

709
00:36:09,090 --> 00:36:11,310
habe ich das gleiche Problem wie
mit einem Localhost, wie ich 

710
00:36:11,320 --> 00:36:13,680
gerade gesagt habe, dann kriege 
ich von keiner Zertifikate sorry

711
00:36:13,690 --> 00:36:17,700
irgendwie ordentliches 
Zertifikat ja ist einfach ne, 

712
00:36:17,710 --> 00:36:20,220
weil die einfach nicht mit dem 
Internet kommunizieren, aber 

713
00:36:20,230 --> 00:36:23,770
trotzdem bin ich ja wenn ich 
innerhalb dieses Netzwerkes und 

714
00:36:23,990 --> 00:36:26,330
ziemlich groß zum Beispiel da 
bin ich ja trotzdem unterwegs 

715
00:36:26,340 --> 00:36:28,820
mein Laptop und so weiter kann 
ich einloggen und so weiter ja, 

716
00:36:28,830 --> 00:36:31,480
hab aber dann das Problem, dass 
die Server da rumstehen. 

717
00:36:31,490 --> 00:36:34,490
Es gibt ja viele. 
PE Server und sollten auch schon

718
00:36:34,500 --> 00:36:36,860
geäußert, dass auch diese 
Zertifikate können und so können

719
00:36:36,870 --> 00:36:39,830
die ja auch, aber die sind dann 
halt quasi nicht von den 

720
00:36:39,840 --> 00:36:44,800
Standardwerte Web aus 
autorisiert, sondern da musst du

721
00:36:44,810 --> 00:36:47,820
dann anfangen, selber 
aufzutreten ja, das heißt wenn 

722
00:36:47,830 --> 00:36:50,020
du groß genug bist, ich würde 
mal schätzen, dass ein BMW 

723
00:36:50,030 --> 00:36:52,260
Mercedes und so weiter. 
Die haben garantiert, die sind 

724
00:36:52,270 --> 00:36:56,740
halt quasi selber CAS Zertifikat
für ihre eigene Subnetze ja. 

725
00:36:57,590 --> 00:36:59,450
So und dann bringt es aber 
trotzdem ein bisschen 

726
00:36:59,460 --> 00:37:02,360
Sicherheit, weil, dann kannst du
so wird das gemacht, ne, also du

727
00:37:02,370 --> 00:37:05,580
trittst selber als Zertifikate 
sorry auf als Unternehmen. 

728
00:37:06,280 --> 00:37:09,520
Und alle deine Server, die die 
bekommen, dann quasi einen von 

729
00:37:09,530 --> 00:37:12,640
dir signiertes und das ist eine 
Abteilung, die müssen wissen, 

730
00:37:12,650 --> 00:37:15,400
was sie tun. 
Von der signiertes Zertifikat. 

731
00:37:16,070 --> 00:37:18,830
Und dann kriegen wir auch alle 
Klienten typischerweise fängt an

732
00:37:18,840 --> 00:37:22,490
zu machen, auch also auch von 
dir von von BMW sag ich mal, 

733
00:37:22,500 --> 00:37:27,100
dann hört Authority, signiertes 
Klienten, Zertifikate und die 

734
00:37:27,110 --> 00:37:28,550
Klienten kriegen auch 
hinterlegt. 

735
00:37:28,590 --> 00:37:32,800
Die BMW aus Harry und die Server
auch weißt du und jetzt kann ich

736
00:37:32,810 --> 00:37:35,400
auch einmal ich muss trotzdem so
schön sagt gegenseitiges 

737
00:37:35,410 --> 00:37:38,510
Vertrauen jetzt können die 
stecken, dass der Klient auch 

738
00:37:38,520 --> 00:37:43,620
mit der BMW aus Thority signiert
wurde und umgekehrt ja und dann 

739
00:37:43,630 --> 00:37:47,250
kann ich mich schon ziemlich gut
davor schützen, wenn jetzt ich 

740
00:37:47,260 --> 00:37:49,340
sag mal was jetzt kommt 
irgendwie gar Firma oder 

741
00:37:49,350 --> 00:37:51,040
irgendwas oder? 
Irgendwelche Leute mit 

742
00:37:51,050 --> 00:37:55,290
kriminellen Intentionen kommen 
an und platzieren da irgendwie 

743
00:37:55,300 --> 00:37:58,160
einen Klienten oder n Daten 
ausspähen auf USB Stick oder 

744
00:37:58,170 --> 00:38:01,320
Irgendsowas und wollen sich in 
dieses Netzwerk einschleusen bei

745
00:38:01,330 --> 00:38:04,220
BMW, ja im Shop, weil irgendwie 
hingekommen sind so ja. 

746
00:38:04,900 --> 00:38:08,400
Dann können wir das gar nicht so
einfach, weil wenn das alles so 

747
00:38:08,410 --> 00:38:11,430
abgesichert ist, dann wird der 
erste Server, den dieser Client 

748
00:38:11,440 --> 00:38:13,980
der Malware ist, quasi 
ankontaktieren will. 

749
00:38:13,990 --> 00:38:16,500
Da wird der erste sein jetzt 
pass mal auf, ja Kollege, dein 

750
00:38:16,510 --> 00:38:18,880
Zertifikat, was du mir da 
schickst, das ist ja ganz das 

751
00:38:18,890 --> 00:38:20,900
kenne ich nicht. 
Das ist nicht von uns signiert, 

752
00:38:20,910 --> 00:38:23,800
ja, du darfst hier nicht 
teilnehmen in der Kommunikation 

753
00:38:24,470 --> 00:38:28,130
hier stoßen wir schon an Public 
Private Key Infrastructure. 

754
00:38:28,140 --> 00:38:31,590
Das ist der Begriff Dadrüber ja 
also wenn ich anfange meine 

755
00:38:31,600 --> 00:38:35,080
gesamte it Landschaft über diese
ganzen Zertifikats Mechanismen 

756
00:38:35,090 --> 00:38:38,110
und TLS Verschlüsselung 
abzusichern. 

757
00:38:38,490 --> 00:38:40,950
Dann sprechen wir im Großen und 
Ganzen über Public Private Key 

758
00:38:40,960 --> 00:38:43,530
Infrastructure und auch keine 
Passwörter eingeben. 

759
00:38:43,900 --> 00:38:46,470
Übrigens deswegen vielleicht 
nochmal kurz gesagt, Ich hatte 

760
00:38:46,480 --> 00:38:48,700
ja gesagt, sonst hätte Fikat 
fallen könnten. 

761
00:38:48,710 --> 00:38:53,140
Zertifikat ist genauso cool wie 
Username Passwort Eingabe ist 

762
00:38:53,150 --> 00:38:55,580
halt auch immer dann total 
praktisch, also Username 

763
00:38:55,590 --> 00:38:57,890
Passwort kannst du ja sicher 
eingeben wenn du ein Mensch bist

764
00:38:57,900 --> 00:39:00,510
so ja für einen programmatischen
Klienten ist das dumm. 

765
00:39:00,520 --> 00:39:02,900
So ja, der nimmt gerne lieber 
ein Zertifikat und schickt 

766
00:39:02,910 --> 00:39:06,070
darüber, dass ein Pfeil kann er 
lesen Zack bumm und dann ist da 

767
00:39:06,080 --> 00:39:09,070
alles drin so. 
Aber dass man in der nächsten 

768
00:39:09,080 --> 00:39:13,240
Folge dann sprechen wir heute 
nicht ich will Masern, man kann 

769
00:39:13,250 --> 00:39:16,890
ja auch, wenn man Zertifikate 
und private geleakt ist und das 

770
00:39:16,900 --> 00:39:18,970
weiß, dann muss man anfangen, 
irgendwie das alles zu 

771
00:39:18,980 --> 00:39:21,460
invalidiert und so. 
Dann gibt es Listen von von 

772
00:39:21,470 --> 00:39:24,880
schlechten Zertifikaten so ich 
sag mal das Problem an ne in 

773
00:39:24,890 --> 00:39:28,670
deinem Browser hab ich ja gesagt
liegen fest auf deinem System 

774
00:39:29,220 --> 00:39:31,170
Zertifikate, die glaubwürdig 
sind. 

775
00:39:32,330 --> 00:39:34,990
Zu dem Zeitpunkt, als die da 
drauf gespielt waren, die noch 

776
00:39:35,000 --> 00:39:38,340
glaubwürdig, ja so jetzt lass 
mal lass passieren, dass da 

777
00:39:38,350 --> 00:39:40,920
irgendwas liegt und eine 
Autorität ist auf einmal nicht 

778
00:39:40,930 --> 00:39:43,720
mehr glaubwürdig ja, weil die 
gehackt wurden oder irgendwas 

779
00:39:43,730 --> 00:39:47,030
und eine gewisse Anzahl von 
Zertifikaten sind halt Mist ja. 

780
00:39:48,180 --> 00:39:50,140
Jetzt kriegst du das ja nicht 
mit und das ist übrigens ein 

781
00:39:50,150 --> 00:39:51,570
Grund, warum man immer updaten 
sollte. 

782
00:39:51,580 --> 00:39:53,870
Auch die Browser Updates. 
Deswegen ist das so wichtig. 

783
00:39:53,880 --> 00:39:56,930
Ja gerade wegen diesen 
Zertifikaten ja, das passiert 

784
00:39:56,940 --> 00:39:59,200
schon mal ja das Zertifikat 
installiert ist und wenn ich 

785
00:39:59,210 --> 00:40:02,120
jetzt aber mich nie update mit 
meinem Kram dann bleibt einfach 

786
00:40:02,130 --> 00:40:05,510
die alten Files als gültig in 
deinem Browser liegen und du 

787
00:40:05,520 --> 00:40:09,220
kommst auf Webseiten, also du 
vertraust Webseiten, die schon 

788
00:40:09,230 --> 00:40:11,820
längst als nicht 
vertrauenswürdig abgestempelt 

789
00:40:11,830 --> 00:40:15,140
sind, wo die Zertifikate 
invalidiert wurden ne so und das

790
00:40:15,150 --> 00:40:18,040
ist schlecht und deswegen ist es
immer angesagt ordentlich die 

791
00:40:18,050 --> 00:40:20,750
Browser updaten und so weiter 
alleine weil weil zum Beispiel 

792
00:40:20,760 --> 00:40:22,690
diese ganzen hinterlegten 
Trustworthy. 

793
00:40:22,760 --> 00:40:24,870
Zertifikate dann mal upgedatet 
werden und die alten 

794
00:40:24,880 --> 00:40:27,280
rausgeschmissen werden cooler? 
Dieser ja aber du sagst n 

795
00:40:27,290 --> 00:40:30,380
anderes, sind aber ganz andere 
da können wir nochmal drüber 

796
00:40:30,390 --> 00:40:34,020
sprechen, aber Sicherheit hat 
auch viel mit Aktualisierung von

797
00:40:34,030 --> 00:40:37,080
von von Software zu tun, ne also
das kann man so sagen, ist in 

798
00:40:37,090 --> 00:40:39,840
der letzten Folge gar nicht, 
also updaten von Software hat 

799
00:40:39,850 --> 00:40:42,340
nicht nur was mit neuen Features
zu tun und Bugfixes hat auch was

800
00:40:42,350 --> 00:40:45,250
mit Sicherheit zu tun ne und die
an diesem Beispiel sieht man mal

801
00:40:45,260 --> 00:40:46,340
wie es technisch warum es so 
ist. 

802
00:40:46,350 --> 00:40:49,960
So also ich hab heute extrem 
viel gelernt, ich hab en 

803
00:40:49,970 --> 00:40:53,580
bisschen Schweißperlen auf der 
Stirn, lasse so ein komplexes 

804
00:40:53,590 --> 00:40:56,680
Thema mal gucken, ob wir Zuhörer
das irgendwie einigermaßen 

805
00:40:56,690 --> 00:40:59,400
verstanden hab. 
Kannst du dich auch nicht 

806
00:40:59,410 --> 00:41:04,020
Bescheid sagen wir Freitag auf 
ja ja kenne ich die aller 

807
00:41:04,030 --> 00:41:06,330
geilste Zeit für so ein Thema, 
aber was solls, ja passt schon, 

808
00:41:06,340 --> 00:41:09,280
wir machen gleich eine Bier und 
dann ist auch wieder gut prima. 

809
00:41:09,290 --> 00:41:12,780
Burkhard Ja, TS, oder früher ist
er jetzt TS. 

810
00:41:12,790 --> 00:41:15,680
Aber noch immer SL Zertifikate 
haben wir damit mal auseinander 

811
00:41:15,690 --> 00:41:17,880
genommen und verstanden. 
Vielleicht finden wir irgendwann

812
00:41:17,890 --> 00:41:21,430
mal café Experten der uns 
Orgasmus von innen erklärt O ich

813
00:41:21,440 --> 00:41:25,700
glaub, du brauchst mal kurz oder
irgendwas dann vielleicht zu 

814
00:41:25,710 --> 00:41:29,340
tief ist ja für einfach komplex 
gut, dann warst du da Folge 19 

815
00:41:29,380 --> 00:41:31,850
vielen Dank fürs Zuhören und 
danke nochmal und bis nächste 

816
00:41:31,860 --> 00:41:33,890
Woche? 
Ja gerne bis deine Tschüss. 

817
00:41:35,670 --> 00:41:38,650
Vielen Dank fürs Zuhören dieser 
Folge von einfach komplex die 

818
00:41:38,660 --> 00:41:41,350
Folge gefallen dann lass uns 
doch ne gute Bewertung da oder 

819
00:41:41,360 --> 00:41:43,890
Teile die Folge mit jemanden aus
seinem Netzwerk für Kritik 

820
00:41:43,900 --> 00:41:47,280
zufolge Anregungen und Fragen 
für neue Folgen, freuen wir uns 

821
00:41:47,290 --> 00:41:50,710
auf deine Email an Podcast 
teilnehmer.com Abonniere jetzt 

822
00:41:50,720 --> 00:41:53,720
unseren Podcast, um keine Folge 
zu verpassen bis zum nächsten 

823
00:41:53,730 --> 00:41:56,330
mal Tschüss aus Hamburg h.
