4. Sicherheitsprotokolle Flashcards
Welche VPN-Typen kann man unterscheiden?
- Intranet VPN: (Site-to-Site):
- Verbindungen zwischen verschiedenen Standorten via Tunnel
- Remote Access VPN:
- individuelle Endnutzer/Geräte werden von außen in ein Netz verbunden, von überall
- Extranet VPN:
- Abgesicherter Bereich, beispielsweise für Zulieferer
- End-to-End VPN:
- speziell zwischen zwei Endgeräten
Ordnen Sie die Protokolle IPsec, SSL/TLS und SSH in das OSI-Schichtenmodell ein.
IPsec:
- Vermittlungsschicht
- somit werden alle Anwenundsprotokolle automatisch geschützt, egal ob TCP / UDP
SSL/TLS:
- Transportschicht
- nur mit TCP möglich
SSH:
- Anwendungsschicht
Was unterscheidet asymmetrische von symmetrischen Verschlüsselungsverfahren? Was für Schlüssel gibt es?
symmetrisch:
- der selbe Schlüssel wird für Ent- und Verschlüsselung genutzt
asymmetrisch:
- öffentlicher und privater Schlüssel
- privat: wird nicht geteilt, damit kann nur entschlüsselt
-öffentlicher: Kann beispw. in einem Key Server gespeichert werden.
Mit des Empfänger öffentlichem Key kann der Sender seine Nachricht verschlüsseln
Wie werden asymmetrische und symmetrische Verschlüsselung in der Praxis (z.B. bei IPsec und SSL/TLS) kombiniert?
SSL/TLS
- asymmetrische Verschlüsselung wird genutzt, um einen Session-Key zu generien und zu übermitteln
- Dieser Schlüssel wird nun zum Ver- und Entschlüsseln genutzt
Asymmetrisch: Austausch von Schlüsseln
Symmetrisch: dieser Schlüssel wird für symm Verschlüsselung genutzt
Wie erfolgte die Standardisierung von AES? Hat sich dieses Verfahren bewährt?
- Wettbewerb 1997 vom NIST zur Bestimmung eines DES-Nachfolgers
- steht in vielerlei Zusammenhängen wie IPsec, SSL/TLS und SSH
Was versteht man unter (Perfect) Forward Secrecy?
- Konzept, um nachträglich veröffentlichen private key zu schützen
- Nicht im Nachhinein Daten entschlüsselbar
- Verschlüsselung, die nicht abhängig vom private key ist
- Beispielsweise DH - Schlüsselaustausch
Was versteht man unter einer kryptographischen Hash-Funktion? Welche Eigenschaften soll eine solche Funktion haben?
- lässt sich sicherstellen, dass Daten nicht bei der Übertragung über das Netz manipuliert wurden
- bilden eine Nachricht beliebiger Länge auf eine Prüfsumme fester Länge ab
Funktionen:
- sind kollisionsresistent
- Hashwert leicht zu berechnen
- Einwegfunktion
- unmöglich, ein Paar von ungleichen Nachrichten m und m’ zu finden, bei denen dazugehörige Hash-Wert H(m)=H(m’) ist.
Welchen Vorteil erwartet man von Authenticated Encryption with Associated Data-Verfahren?
- spezielle Art der Kombination von symmetrischen Verschlüsselungsverfahren mit Hash-Verfahren
- Verwendung bei TLS-Version 1.3
- vereinfacht dem Entwickler die Realisierung von Vertraulichkeit und Nachrichtenauthentitizät, da beides zusammen über gemeinsame Programmierschnittstelle angeboten wird
Erklären Sie, wie ein Message Authentication Code berechnet wird.
Was wird durch die Verwendung bei der Kommunikation erreicht?
- Nachricht und ein gemeinsamer Schlüssel als Input
- Daraus wird eine Prüfsumme gebildet
- Prüfsumme und Nachricht wird an Empfänger geschickt
- Empfänger kann selbst eine Prüfsumme berechnen und dies dann vergleichen
- Integrität und Authentizität
Wie ist der Zusammenhang zwischen digitalen Unterschriften und Public Key-Kryptographie?
Mit Public Key-Kryptographie kann man Dokumente digital unterschreiben:
- Hash aus Nachricht ergibt Prüfsumme, mit Private Key verschlüsseln
- Hash wird der Nachricht angehangen und dadurch signiert
- Empfänger berechnet aus der Nachricht eine Prüfsumme
- Empfänger entschlüsselt die Signatur mit Senders öffentlichem Schlüssel
- Beide Prüfsummen müssen gleich sein
- sichert Authentizität und die Integrität
Welche Inhalte hat ein digitales Zertifikat?
Datenstruktur, bestehend aus
- öffentlichen Schlüssel,
- den Identitätsinformationen
- Angabe des Ausstellers
Was sind die Aufgaben einer Zertifizierungsstelle?
- überprüft die Zugehörigkeit des Public Keys zur Identifikation des Antragstellers
- legt Gültigkeitsdauer des Zertifikats fest
- speichern die Zertifikate in einer allgemein zugänglichen Weise.
- kümmern sich um den Widerruf und die Sperrung von Zertifikaten
- erneuern Zertifikate
- verwalten eine Historie der Zertifizierung
- beglaubigen wichtige Verträge
- betreiben einen Zeitstempel-Dienst
- zertifizieren auch andere CAs
Wie kann man überprüfen, ob ein digitales Zertifikat für ungültig erklärt wurde?
Mit dem Protokoll OCSP (Online Certificate Status Protocol)
- Client sendet Hash des zu überprüfenden Zertifikats
- gültig, ungültig oder unbekannt
Erklären Sie den Ablauf eines Challenge-Response-Verfahrens. Warum wird dabei der Challenge zufällig gewählt?
- Authentitfizierer schickt eine Zufallsfolge an den zu überprüfenden Client
- Client erstellt mit einer Hashfunktion aus der Zufallsfolge und ein Geheimnis, was beide kennen, eine Prüfsumme
- schickt diese an den Authentifizierer zurück
- bestimmt ebenfalls mit Hashfunktion aus Challenge und Geheimnis Prüfsumme
- beide gleich?
Response wäre immer gleich, wenn keine Zufallsfolge
Angreifer könnte Verkehr abfangen, Replay-Angriff
Wie ist der Zusammenhang von steganographischen Verfahren zur symmetrischen Verschlüsselung?
- die geheime und im Trägermedium versteckte Nachricht wird zusätzlich noch symmetrisch verschlüsselt