Hi,

was ist mit der Zertifizierungsstelle beim SSL? Koennte das vielleicht auf die Existenz eines dritten Geraets hindeuten? - Und wie will man logisch ueberhaupt im Web Sicherheit implementieren ohne einer dritten Instanz?

Die dritte Instanz ist für SSL nicht zwingend notwendig.

sagen wir mal ich moechte Dir z.B. ein XML-Dokument per http zukommen lassen und moechte dieses Verschluesseln. Wie lasse ich Dir den Schluessel zum Entschluesseln zukommen?

Sie ist deswegen vorhanden, um SSL-Zertifikate auf den Webservern digital zu unterschreiben. Zusammen mit den in eigentlich allen Browsern installierten Zertifikaten dieser Stellen kann der Browser nicht nur die Verschlüsselung aktivieren, sondern automatisch auch die Authentizität des Servers feststellen. Denn nur der Server, der ist, wofür er sich ausgibt, wird eine gültige Unterschrift haben.

Das interesiert mich. Habe ich die o.g. Funktionalitaet in meinem Ausgangsposting treffend beschrieben?

Und es ist auch problemlos möglich, ohne eine dritte Stelle eine eigene Unterschrift zu benutzen.

Zurzeit bezweifle ich diese Aussage stark.

Du hast irgendwas von "SSL selber implementieren" gefaselt, obwohl die Notwendigkeit dazu nicht besteht. Warum selber machen? Welchen Vorteil hat das? Wärst du so schlau, wie tausende Kryptographie-Experten, die das System entworfen und getestet haben, um es besser zu machen? Vermutlich nicht. Warum also diese akademische Diskussion ohne Ziel? Die schwimmt nämlich in meinen Augen sehr ziellos im freien Raum umher und kommt nicht voran.

Nun, ich habe gute Erfahrung damit gemacht bestimmte Konzept-Implementation, ja ich traue mich sogar, bestimmte Produkte zu schreiben, nachzubauen. - Z.B. DB-Replikationen oder das gute alte Sitzungskonzept. Das ist gut fuer's Verstaendnis, glaub's mir einfach mal.

Gruss,
Lude