Benutzersicherheit im Internet Flashcards
Was bietet PGP an?
Verschlüsseln von Dateien
Sicheres Löschen von Dateien
Vertrauliche Kommunikation (Sender verschlüsselt mit public key des Empfängers)
Authentische Kommunikation (Sender signiert mit privatem Schlüssel)
Erstellen von Schlüsselpaaren
Management eigener und fremder Schlüssel
Wie funktioniert PGP?
Hybride Verschlüsselung: Zufallskey wird generiert. Nachricht wird komprimiert (ZIP) und mit dem Zufallskey verschlüsselt. Der Session Key wird mit dem Public Key des Empfängers verschlüsselt und an die Nachricht angehangen.
Wie signiert man bei PGP?
Zuerst wird ein Hash von einer Nachricht generiert, der mit dem private key des Absenders digital signiert wird. Dieser wird an die Nachricht n angehangen, welche verzippt verschickt wird.
Wie richtet man PGP ein?
Herunterladen von vertraulicher Seite (ggf. mehrere Versionen runterladen, diese vergleichen um Manipulationen auszuschließen)
Schlüsselpaar erstellen (Identität festlegen, Schlüsseltyp, -länge und Ablaufzeit festlegen).
Privaten Schlüssel sicher speichern (symmetrisch verschlüsselt mit Pass Phrase)
Öffentlichen Schlüssel teilen
Wie kann man prüfen, ob ein öffentlicher Schlüssel stimmt?
Kommunikationspartner kontaktieren
Signatur durch Vorsteller, zu dem man hinreichend viel Vertrauen hat
Wie läuft eine Schlüsselsignatur durch einen Vorsteller ab?
Der Empfänger muss den öffentlichen Schlüssel vom Vorsteller kennen und dem Vorsteller vertrauen
Der Vorsteller hat den öffentlichen Schlüssel des Senders vorliegen und ist sich sicher, dass er korrekt ist.
Der Vorsteller signiert den Schlüssel, indem er den Hashwert mit seinem privaten Schlüssel verschlüsselt und anhängt.
Der Empfänger prüft die Signatur mit dem öffentlichen Schlüssel des Vorstellers
Welche Vertrauensfragen gibt es bei PGP?
Owner Trust: Vertrauen, dass ein vorliegender öffentlicher Schlüssel korrekt ist
Signature Trust: Vertrauen, dass der Signierende nur korrekte Schlüssel signiert
Welche Vertrauensstufen gibt es bei PGP? Erklären sie kurz
Ultimate Trust: Nur die eigene Person (Schlüssel, deren private key auch bekannt ist)
Always trusted to sign other keys / Full Trust: Man hält die Prüfung der Person für genauso gut wie seine eigene
Usually trusted to sign other keys (marginal trust): Signierte Schlüssel sind normalerweise korrekt
Usually not trusted to sign other keys (never trust): Explizites Misstrauen
Unknown User: Man weiß nicht, wie gut er prüft
Unknown Trust: Äquivalent zu unknown user
Wie stellt man bei PGP mit Vertrauensfragen fest, ob man einen Schlüssel vertrauen kann?
Man definiert zwei Zahlen K (Benutzer, denen man immer vertraut) und L (Benutzer denen man üblicherweise vertraut).
SignaturenAlways/K + SignaturenUsually/L sollte größer als 1 sein
Warum sollte man einen Schlüssel signieren?
- Eigenes System kennt nun öffentlichen Schlüssel
- Partner kann den signierten Schlüssel verwenden und ihr Vertrauen nutzen
Was ist Secure Mime?
S/MIME sollen Sicherheitsfunktionen für Vertraulichkeit und Authentizität in e-Mails bringen.
Beschreibt, aus welchen Teilen eine E-Mail besteht und wie diese zu interpretieren sind.
Was ist MIME?
Vermeidet Defizite von SMTP (z.B. das keine Programme verschickt werden können). Header Fields werden definiert, die die Codierung, den Typen und die Inhaltsbeschreibung des Nachrichtenrumpfes enthalten.
Welche MIME-Content-Transfer-Encodings gibt es? Incl. kurzer Beschreibung.
7bit: Daten sind im ASCII-Format
8bit: ASCII & Sonderzeichen
quoted-printable: ASCII, Sonderzeichen werden umcodiert
base64:Drei byte werden zu vier Sechsergruppen zusammengefasst => vier ASCII-Zeichen
Welche MIME-Content Types gibt es? Wie sind diese organisiert?
Es gibt eine Unterteilung in Type (Art) und Subtype (Format). Wichtige sind
text - plain, enriched
image - jpeg, gif
application - postscript, octet-stream
multipart - mixed
Welche Content-Types führt S/Mime ein?
Multipart - signed (Nachricht besteht aus Inhalt + digitaler Signatur)
Application - pkcs7-mime (verschlüsselte Nachricht oder Signatur)
Application - pkcs7-signature (Teil enthält digitale Signatur)
Application - pkcs10-mime (Teil enthält Antrag auf Registrierung eines Zertifikates)
Was ist das Web of Trust?
Ansatz von PGP, dass sich Teilnehmer gegenseitig zertifizieren
Welches zusätzliche Schutzziel gibt es für sicheres Surfen im Internet?
Privatheit: Über einen Benutzer werden ohne sein Wissen und Einverständnis keine Datensammlungen angelegt
Was ist TLS?
Standardprotokoll, das vertrauliche, authentische und integritätsgesicherte Kommunikation erlaubt. Funktionaler Nachfolger von SSL.
Wie sieht die TLS-Architektur aus?
TLS ist unter den Anwendungsprotokollen, aber über den Transportprotokollen. Es wird daher auch als “Sicherung auf Transportebene - Transport Layer Security) bezeichnet.
Welche Vorteile hat die TLS-Architektur?
- Die Anordnung unterhalb der Anwendungsprotokolle erlaubt die unveränderte Weiternutzung der Anwendungsprotokolle
- TLS kann auch andere Anwendungsprotokolle sichern und ist nicht auf Surfen im Web begrenzt.
Welche Schutzziele erreicht TLS?
Authentizität: Server wird immer authentisiert, Client optional auch.
Vertraulichkeit: daten werden in einer TLS-Verbindung nur noch verschlüsselt übertragen
Integrität: Falls einzelne Bits verändert werden, merken Client und Server das
Welche zwei wichtigen Komponenten sind in TLS realisiert?
TLS handshake: peers authentisieren sich, legen Schlüssel und Verfahren fest
TLS record protocol: beschreibt, wie Anwendungsdaten aufgeteilt und verschlüsselten werden sowie Integrität sichergestellt wird
Aus welchen Phasen besteht ein TLS-Handshake?
- Schlüsselaustausch
- Zusätzliche Serverparameter
- Authentisierung
Was findet in der ersten Phase des TLS-Handshake statt? Wie heißt sie?
Schlüsselaustauschphase
Client: schickt eine Zufallszahl, TLS Protokoll Versionsnummer, Verschlüsselungsalgorithmus und Client-Teil des Diffie Hellman an den Server
Server: wählt TLS-Protokollversion und Schlüsselverfahren aus. Führt seinen Teil des DH-Austausch aus
Server und Client: Berechnen das gemeinsame Geheimnis
Was findet in der zweiten Phase des TLS-Handshake statt? Wie heißt sie?
Zusätzliche Serverparameter: Server stellt weitere Parameter (z.B. nutzbare Anwendungsprotokolle) zusammen und fügt optional eine Zertifikats-Anforderung ein, mit der er den Client auffordern kann, sich zu authentisieren
Was findet in der dritten Phase des TLS-Handshake statt? Wie heißt sie?
Authentisierung: Server sendet sein Zertifikat und digitale Signatur über bisherige Nachrichten an den Client. Diese Nachricht ist mit expliziten Handshake-Ende abgeschlossen,
Client kann Server-Zertifikat entschlüsseln und mit öffentlichen Schlüssel prüfen (Dies schließt MIM-Attacke aus). Falls angefordert, sendet der Client sein Zertifikat an den Server
Wie kann der TLS-Handshake abgekürzt werden?
Mit gespeicherten pre shared keys kann wiederholter Verbindungsaufbau abgekürzt werden
Was ist ein TLS record?
Protokoll, das Nachrichten in passend größe Blocke übertragt, die komprimiert, verschlüsselt und integritätsgesichert werden. Nutzt Galois Counter Mode.
Woran erkennt man, das eine Webseite mit TLS verschlüsselt wurde?
Immer: Die URL beginnt mit https://
Meist: Kleines grafisches grünes Schloss links neben der URL
Wie kann man sich die Zertifikate von Webseiten anschauen?
Bei den meisten Webbrowsern klickt man auf den farbigen Bereich links von der URL.
Woran erkennt man, das Extended Validation Zertifikate genutzt wurden?
Im Browser wird nicht nur das grüne Schloss, sondern auch der Name des Zertifikatsinhabers angezeigt.
Welche drei Schutzmaßnahmen gibt es im Internetbanking?
- Einmalpasswort - Transaktionsnummer (TAN) muss durch zweiten Kommunikationsweg verschickt werden
- Sperrung des Systems nach Anzahl falscher Eingaben
- Limitierung des Schadens, z.B. durch Limits auf dem Konto
Was ist ein cookie?
Paar aus Variablenname & Wert. Sie werden vom Webserver gesetzt und auf dem Clientrechner gespeichert.
Warum braucht man Cookies?
Http ist ein zustandsloses Protokoll. Mit Cookies kann der Server den Client wiedererkennen und sich entsprechend verhalten
Welche Syntax haben Cookies?
Set-Cookie: NAME=WERT; [expires=DATUM;] [path=PFAD;] [domain=DNS;] [secure]
expires: Datum mit Ende der Lebensdauer
pfad: Cookie wird nur bei übereinstimmung mit URL zurückgeschickt
DNS: Zielserver, an den das Cookie gesendet wird
secure: Cookie wird nur an TLS-Verbindung geschickt
Wie wird ein Cookie aufgerufen?
Client schickt es bei http-Anfrage an Webserver mit
Welche Gefahren gehen von Cookies aus?
Webseiten können Interessen und Vorlieben speichern und dadurch Benutzer identifizieren
Wie kann man sich vor Cookies schützen?
- Cookies kontrollieren
- Privatmodus des Browsers nutzen (oder Plug-Ins wie Ghostery)
- Zweitaccount nutzen
Warum sollte man telnet nicht nutzen?
Telnet schickt Benutzername, Passwort und Daten unverschlüsselt
Was sollte anstelle von Telnet verwendet werden?
SSH
Aus welchen Komponenten besteht das SSH-Protokoll?
- SSH Transport-Layer
- SSH Authentication Protocol
- SSH Connection Protocol
- SSH File Transfer Protocol
Für was ist das SSH Transport Layer Protocol zuständig?
Aushandeln von Verschlüsselungs- und Hash-Algorithmen
Authentisierung des Servers
Operationen wie Komprimierung, Verschlüsselung und Integritätssicherung für den Datentransport