Zitat von
maynard:
So, ich hab jetzt mal kurz ein bischen rumgestöbert und dabei
diesen
Link gefunden. Muß zugeben, ich hab nur den Anfang kurz überflogen... allerdings gehts hier erstens um HTTP - Verbindungen und das ist nicht das richtige, meine Verbindung soll bis zur ausdrücklichen Beendigung bestehenbleiben und nicht bei jedem neuen Request wieder aufgebaut werden.
Wozu denn das? Ob das sich nun um HTTP handelt oder ein andere "Socket-Verbindung" ist ja wurscht...
Zitat von
maynard:
Zweitens ist hier die Rede von Zertifikaten (schätze, dass ist vieleicht der öffentliche Schlüssel
) und privaten Schlüsseln die Rede, die von verschiedenen Autoritäten erworben werden können. Also hab ich gleich mal bei einem Anbieter (Verisign) vorbeigeschaut und da kommen dann kosten auf den Anwender zu.
Die Zertifikate dienen dazu um die Authentizität der Parteien zu sichern. Grob gesagt gibt es da eine CA (Certificate Authority) der du vertraust (bzw. dein Browser Hersteller, der die Zertifikate der CA's in deinen Browser eingebaut hat). Diese CA's stellen also Zertifikate aus (für viiiieeel Geld) und bestätigen damit die Authentizität von z.B. Web-Seiten. Wenn dein Browser eine CA nicht kennt, nervt er dich dann jedesmal wenn du auf eine Web-Seite mit einem Zertifikat welches von so einer unbekannten CA signiert wurde surfst.
IMHO hat das System aber eine rießige Schwachstelle - du mußt nämlich dem CA Aussteller ("Trustcenter") vertrauen
.
Für deinen Fall ist das aber erstmal egal, man kann auch seine eigene CA Aufbauen (da gibt von openssl Skripts dazu) und so die Authentifizität seiner Clients gewährleisten. Mit deiner CA erstellst du einfach für jeden Teilnehmer ein eigenes Client Zertifikat, und die können dann mittels des öffentlichen CA-Zertififkates gegenseitig überprüfen ob die Kommunikationspartner vertrauenswürdig sind.
Die ganze Verschlüsselungsgeschichte ist davon unabhängig - das wird dann klassisch über DH und Co gemacht.