X.509 Certificate / Encrypting / Sing

Hallo,

Ich habe mich die letzten Tage in die Sicherheitsaspekte von WS Enhancements 2.0 eingearbeitet, da ich es für ein großes Projekt benötige.
Jetzt habe ich noch ein paar Fragen:

Was ist eigentlich der genaue Unterschied, wenn ich einer SOAP-Message eine digitale Signatur auf Grundlage eines X.509 Certificate hinzufüge und eine SOAP-Message mit Hilfe eines X.509 Certificate "encrypte". Beim "encrypten" wird der gesamte Body-Teil verschlüsselt? Und beim SIgnieren, wird nur die ?Signatur? meines Zertifikates mithilfe des x.509 Zertifikates verschlüsselt, aber der Body-Teil bleibt trotzdem noch in klarschrift????

Ihr seht, dass ich die Wörter etwas durcheinander werfe 🙂

Eine andere Frage:

Ich will eine absolut sichere Kommuniktaion zwischen einem Web Service und einer Windows Applikation entwerfen. Welche Möglichkeit bietet sich da an?
Wenn ich die asynchrone Verschlüsselung mittels x.509 verwende benötige ich doch dann 2 Schlüsselpaare (also 4 Schlüssel) und somit 2 Zertifikate, da wenn ich nur ein Paar benutze die Request unverschlüsselt gesendet wird und die Antwort dann auf grundlage des PrivateKeys verschlüsselt wird, oder?

Viele vielen vielen vielen Dank schonmal im voraus.

derSTEVE

Also .. um etwas Licht ins Dunkel zu bekommen:

Jetzt unabhängig von X.509 (weils eigentlich überall gleich ist):

Signatur:
Die Signatur wird mit dem privaten Schlüssel über den Text (Message, Mail, whatever) gebildet und angehängt. Der tatsächliche Text bleibt in seiner Form erhalten und lesbar. Der Empfänger des Textes (Mailempfänger, Server, Client, whatever) kann die gebildete Signatur nun mit dem öffentlichen Schlüssel desjenigen, der die Signatur erstellt hat, auf Richtigkeit überprüfen.

Verschlüsselung / Encryption
Der Text wird mit dem öffentlichen Schlüssel des zweiten Kommunikationspartners (MailEmpfänger, Server, etc.) verschlüsselt. Der Empfänger kann nun mit seinem privaten Schlüssel diesen Text wieder entschlüsseln. Hier wird der Text NICHT lesbar übertragen.

Verschlüsselung + Signatur
Hier wird der Text signiert und dann verschlüsselt. Je nach Protokoll (X.509, PGP, etc.) kann es Unterschiede geben bzw. gibt es auch unterschiedliche Einstellungsmöglichkeiten, wie dies gemacht wird. So kann die Signatur mitverschlüsselt werde, oder es wird nur der Text verschüsselt und die Signatur angehängt etc.

Wenn du nun eine sichere Kommunikation zwischen Server und Client herstellen möchtest, geht das schon in Richtung PKI.
Auf jeden Fall brauchst du ein Handshake-Verfahren in dem die notwendigen Informationen (zb. die öffentlichen Schlüssel) ausgetauscht werden. Danach kann eine verschlüsselte Verbindung aufgebaut werden. Hier gilt es jedoch einige Angriffsszenarien zu berücksichtigen. Zum Beispiel könnte für die Zeitdauer des Tauschens der öffentlichen Schlüssel das ganze über einen SSL-Tunnel laufen etc. Hier spielt dann jedoch die Bandbreite wieder eine Rolle.
Du könntest allerdings auch Dongles verwenden usw.