Gegenseitige Authentifizierung
Was ist Gegenseitige Authentifizierung?
Gegenseitige AuthentifizierungAuthentifizierungsaustausch, bei dem beide Seiten — Client und Server oder zwei Dienste — ihre Identitaet kryptografisch nachweisen, bevor Daten ausgetauscht werden.
Gegenseitige Authentifizierung (Two-way Authentication) verlangt, dass beide Enden einer Verbindung die Identitaet der anderen pruefen, nicht nur der Server gegenuber dem Client. Die dominierende Umsetzung ist heute Mutual TLS (mTLS), definiert in RFC 8446 fuer TLS 1.3, bei dem jede Seite ein X.509-Zertifikat vorlegt, das gegen eine private CA validiert wird. Weitere Beispiele: Kerberos AP-REQ/AP-REP, SSH mit Host- und Schluesselauth, IPsec IKEv2 mit Zertifikaten und FIDO2/WebAuthn-Zeremonien mit Attestation. Sie ist Standard in Service Meshes (Istio, Linkerd, Consul) und Zero-Trust-Architekturen wie Google BeyondCorp, wo jeder Workload-Aufruf mit kurzlebigen SPIFFE-Identitaten authentifiziert wird. Sie mindert Impersonation, Man-in-the-Middle und rogue Services.
● Beispiele
- 01
Istio-Service-Mesh, das mTLS zwischen jeder Microservice-Paarung in einem Kubernetes-Cluster erzwingt.
- 02
Banking-APIs verlangen zusatzlich zu OAuth-Token ein Client-Zertifikat der bankeigenen privaten CA.
● Häufige Fragen
Was ist Gegenseitige Authentifizierung?
Authentifizierungsaustausch, bei dem beide Seiten — Client und Server oder zwei Dienste — ihre Identitaet kryptografisch nachweisen, bevor Daten ausgetauscht werden. Es gehört zur Kategorie Identität und Zugriff der Cybersicherheit.
Was bedeutet Gegenseitige Authentifizierung?
Authentifizierungsaustausch, bei dem beide Seiten — Client und Server oder zwei Dienste — ihre Identitaet kryptografisch nachweisen, bevor Daten ausgetauscht werden.
Wie funktioniert Gegenseitige Authentifizierung?
Gegenseitige Authentifizierung (Two-way Authentication) verlangt, dass beide Enden einer Verbindung die Identitaet der anderen pruefen, nicht nur der Server gegenuber dem Client. Die dominierende Umsetzung ist heute Mutual TLS (mTLS), definiert in RFC 8446 fuer TLS 1.3, bei dem jede Seite ein X.509-Zertifikat vorlegt, das gegen eine private CA validiert wird. Weitere Beispiele: Kerberos AP-REQ/AP-REP, SSH mit Host- und Schluesselauth, IPsec IKEv2 mit Zertifikaten und FIDO2/WebAuthn-Zeremonien mit Attestation. Sie ist Standard in Service Meshes (Istio, Linkerd, Consul) und Zero-Trust-Architekturen wie Google BeyondCorp, wo jeder Workload-Aufruf mit kurzlebigen SPIFFE-Identitaten authentifiziert wird. Sie mindert Impersonation, Man-in-the-Middle und rogue Services.
Wie schützt man sich gegen Gegenseitige Authentifizierung?
Schutzmaßnahmen gegen Gegenseitige Authentifizierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Gegenseitige Authentifizierung?
Übliche alternative Bezeichnungen: Bidirektionale Authentifizierung, Mutual TLS, mTLS.
● Verwandte Begriffe
- network-security№ 1159
TLS (Transport Layer Security)
Das von der IETF standardisierte Kryptoprotokoll, das Vertraulichkeit, Integrität und Authentizität für den Verkehr zwischen zwei Netzwerkanwendungen liefert.
- network-security№ 157
Zertifikats-Pinning
Eine Technik, bei der eine Anwendung ein erwartetes Zertifikat oder einen öffentlichen Schlüssel fest hinterlegt und TLS-Verbindungen ablehnt, die nicht passen — auch wenn eine kompromittierte CA beteiligt ist.
- network-security№ 878
Public-Key-Infrastruktur (PKI)
Gesamtsystem aus Richtlinien, Software, Hardware und vertrauenswürdigen Instanzen, das digitale Zertifikate ausstellt, verteilt, prüft und widerruft, die Identitäten mit öffentlichen Schlüsseln verknüpfen.
- network-security№ 156
Zertifizierungsstelle (CA)
Vertrauenswürdige Instanz, die digitale Zertifikate ausstellt und signiert und damit kryptografische öffentliche Schlüssel mit geprüften Identitäten wie Domains oder Organisationen verknüpft.
- identity-access№ 584
Kerberos
Ticket-basiertes Netzwerk-Authentifizierungsprotokoll, das mit symmetrischer Kryptografie und einem vertrauenswürdigen Key Distribution Center sicheres Single Sign-On ermöglicht.
- identity-access№ 076
Authentifizierung
Verfahren, mit dem überprüft wird, dass eine Entität – Benutzer, Gerät oder Dienst – tatsächlich diejenige ist, die sie zu sein vorgibt, bevor ein Zugriff gewährt wird.