Verantwortlich für Initiierung: Leiter IT, IT-Sicherheitsmanagement
Verantwortlich für Umsetzung: Administrator, Benutzer
Secure HTTP (S-HTTP) erlaubt es, Nachrichten zu sichern, die zwischen einem HTTP-Client und einem HTTP-Server ausgetauscht werden. S-HTTP stellt als Erweiterung von HTTP folgende Mechanismen zur Verfügung:
S-HTTP schützt übergebene HTTP-Daten auf Seite des Senders durch Verschlüsselung oder Anhängen einer kryptographisch erzeugten Prüfsumme und übergibt die geschützten Daten dem Transportsystem. Die so geschützten Daten werden zum Empfänger übertragen. Auf der Seite des Empfängers werden die gekapselten Daten vom Transportsystem dem lokalen S-HTTP übergeben. Dieses entschlüsselt die geschützten HTTP-Daten und übergibt sie der HTTP-Anwendung.
Die Sicherungsdienste basieren auf den Algorithmen RSA, DES, RC2, MD2 und MD5 (siehe hierzu auch M 3.23 Einführung in kryptographische Grundbegriffe). Durch eine optionale Verhandlungsphase vor jeder Übertragung können bei S-HTTP die Sicherheitspolitik und die zu verwendenden kryptographischen Algorithmen ausgewählt werden.
Daneben können auch verschiedene kryptographische Sicherheitsmechanismen in S-HTTP eingebunden werden, so zum Beispiel PKCS-7 (Cryptographic Message Syntax) und PEM. Durch die optionale Verhandlungsphase ist Interoperabilität zwischen S-HTTP-Clients und Servern, die kein S-HTTP verwenden, gewährleistet.
Die wesentlichen Unterschiede zu SSL (siehe M 5.66 ) sind:
S-HTTP dient zur Sicherung von WWW-Anwendungen. Dennoch können bösartige Applets bzw. MIME-codierte ausführbare Programme trotz der Sicherung oder gerade deswegen auf interne Systeme gelangen.
© Copyright by Bundesamt für Sicherheit in der Informationstechnik 2000.