SSL-Trace

Um den Nachweis einer gesicherten Verbindung zu liefern, kann der Netzverkehr abgehört werden. Sehr hilfreich bei dieser Aktion ist ssldump⁸. Mit ssldump wurde der Netzwerkverkehr zwischen dem Server und einem Client beobachtet und ausgewertet. ssldump sorgt für die geordnete Darstellung der einzelnen beobachteten SSL-Protokollschritte.

In der Ausgabe von ssldump, kann man sehr schön erkennen, wie zunächst der Kontrollkanal mit Port 4342 und anschliessend der Datenkanal mit Port 4343 aufgebaut werden.

*** Log von ssldump ***

 New TCP  connection #1: localhost(1892) <-> localhost(4342)


1 1  0.0010 (0.0010)  C>S  Handshake 


ClientHello    


Version 3.0   


1 2  0.0285 (0.0274)  S>C  Handshake 


ServerHello                                       


Version 3.0                                        


cipherSuite         SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA


1 3  0.0285 (0.0000)  S>C  Handshake


Certificate


1 4  0.0285 (0.0000)  S>C  Handshake


ServerKeyExchange


1 5  0.0285 (0.0000)  S>C  Handshake 


ServerHelloDone                               


1 6  0.1640 (0.1354)  C>S  Handshake     


ClientKeyExchange                               


1 7  0.1640 (0.0000)  C>S  ChangeCipherSpec              


1 8  0.1640 (0.0000)  C>S  Handshake                         


1 9  0.2419 (0.0778)  S>C  ChangeCipherSpec          


1 10 0.2419 (0.0000)  S>C  Handshake                    


1 11 1.6408 (1.3989)  C>S  application_data          


1 12 1.6437 (0.0029)  S>C  application_data        


1 13 1.6474 (0.0036)  C>S  application_data      


1 14 1.6498 (0.0024)  S>C  application_data    


1 15 1.6527 (0.0028)  C>S  application_data  


1 16 1.6674 (0.0146)  S>C  application_data


New TCP connection #2: localhost(1895) <-> localhost(4343) 


2 1  0.0002 (0.0002)  C>S  Handshake


ClientHello                                        


Version 3.0                                       


2 2  0.0350 (0.0348)  S>C  Handshake   


ServerHello                                         


Version 3.0                                          


2 3  0.0350 (0.0000)  S>C  Handshake      


Certificate                                              


2 4  0.0350 (0.0000)  S>C  Handshake       


ServerKeyExchange                              


2 5  0.0350 (0.0000)  S>C  Handshake         


ServerHelloDone                                   


2 6  0.1461 (0.1110)  C>S  Handshake      


ClientKeyExchange                             


2 7  0.1461 (0.0000)  C>S  ChangeCipherSpec  


2 8  0.1461 (0.0000)  C>S  Handshake                


2 9  0.2153 (0.0692)  S>C  ChangeCipherSpec    


2 10 0.2153 (0.0000)  S>C  Handshake              


2 11 0.3532 (0.2305)  C>S  application_data     


2 12 0.3587 (0.0563)  S>C  application_data    

...


1 17 1.8979 (0.2305)  C>S  application_data     


1 18 1.9542 (0.0563)  S>C  application_data    


1 19 1.9710 (0.0167)  C>S  application_data    


1 20 2.4576 (2.2209)  C>S  Alert          


1 21 2.4577 (0.0004)  S>C  Alert          


1 22 2.4582 (0.0001)  C>S  TCP FIN


1 23  5.9016 (3.4434)  S>C  TCP FIN

Beschreibung der Spalten: Verbindungsreferenz / Protokollschritt / Zeit seit Aufbau / Zeit / Kommunikationsrichtung / Paket-Typ

Die exemplarische Implementation erfüllt ihren Zweck. Es werden für den Kontrollkanal und die Datenkanäle gesicherte Verbindungen aufgebaut. Das implementierte Protokoll für den Austausch von Daten zum Zwecke einer biometrischen Authentikation beinhaltet alle zuvor beschriebenen Protokollschritte.