Grundlagen

Question 1

Was sind grundlegende Sicherheitsziele?

Answer 1

Vertraulichkeit (Confidentiality)

Integrität (Integrity)

Verfügbarkeit (Availability)

Authentizität (Authenticity)

Verbindlichkeit (Accountability) / Nichtabstreitbarkeit (Non-Repudiation)

Question 2

Definiere Vertraulichkeit

Answer 2

Vertraulichkeit: Ein System gewährleistet Informationsvertraulichkeit (engl. confidentiality), wenn es keine unautorisierte Informationsgewinnung ermöglicht

Question 3

Was versteht man unter Integrität?

Answer 3

Integrität: Ein System gewährleistet Datenintegrität (engl. integrity) , wenn es Subjekten nicht möglich ist, die zu schützenden Daten unautorisiert und unbemerkt zu manipulieren

Question 4

Was versteht man unter Verfügbarkeit?

Answer 4

Verfügbarkeit: Ein System gewährleistet Verfügbarkeit (engl. availability), wenn authentifizierte und autorisierte Subjekte in der Wahrnehmung ihrer Berechtigungen nicht unautorisiert beeinträchtigt werden können.

Question 5

Definiere Authentizität

Answer 5

Authentizität: Unter der Authentizität (engl. authenticity) eines Objekts bzw. Subjekts versteht man die Echtheit und Glaubwürdigkeit des Objekts bzw. Subjekts, die anhand einer eindeutigen Identität und charakteristischen Eigenschaften überprüfbar ist.

Question 6

Zeige Authentizität vs. Authentifizierung vs. Authentisierung auf

Answer 6

Authentizität: ist ein Sicherheitsziel

Authentisierung: Vorgang „Echtheit nachweisen“

Authentifizierung: Vorgang „Echtheit überprüfen“

Question 7

Definiere Identität

Answer 7

Definition: Eine Identität ist der eindeutige Identifikator für eine Person, Organisation, Ressource oder einen Dienst.

Question 8

Was versteht man unter Verbindlichkeit/Zuordenbarkeit?

Answer 8

Verbindlichkeit/Zuordenbarkeit: Ein System gewährleistet Verbindlichkeit bzw. Zuordenbarkeit (engl. non repudiation) einer Menge von Aktionen, wenn es nicht möglich ist, dass ein Subjekt im Nachhinein die Durchführung einer solchen Aktion abstreiten kann.

Question 9

Was versteht man unter einer Anforderungen in der Softwareentwicklung?

Answer 9

Anforderung = eindeutiger, isolierter, dokumentierter Bedarf von Eigenschaften, Funktionalitäten oder Qualitätsaspekten eines Produkts

Question 10

Was unterscheidet unterscheidet funktionale und nicht-funktionale Anforderungen?

Welche Art ist meistens eine Sicherheitsanforderungen?

Answer 10

Funktionale Anforderungen:
beschreiben Vorhandensein einer bestimmten Funktionalität
Beispiel: „Benutzer der App werden per Push-Nachricht über eingehende Nachrichten benachrichtigt“

Nicht funktionale Anforderungen:
beschreiben qualitative oder quantitative Aspekte Beispiel: „Die App ist benutzerfreundlich“

Sicherheitsanforderungen meist nicht-funktionale Anforderungen

Question 11

Nicht funktionale Anforderungen haben häufig ein Problem bei den Akzeptanzkriterien. Was kann man hier dagegen tun?

Answer 11

Bilde nicht-funktionale Eigenschaft auf eine funktionale Eigenschaft ab (z.B. innerhalb der Entwurfsphase)

Erzeuge aus nicht-funktionaler Anforderung eine funktionale Anforderung sowie eine leichter überprüfbare nicht-funktionale Anforderung

Unmöglich die Eigenschaft zu überprüfen, aber man geht nach einer Reihe von Prüfungen davon aus, dass Eigenschaft erfüllt

Question 12

Definiere folgende Begriffe:

Chiffre
Chiffrat
Klartext (engl. Plaintext)

Answer 12

Chiffre = Symmetrischer Verschlüsselungsalgorithmus

Chiffrat = Verschlüsselter Text

Klartext (engl. Plaintext) = Unverschlüsselter Text

Question 13

Wie arbeitet ein Stromchiffre?

Answer 13

Jedes Bit bzw. jedes „Zeichen“ (z.B. 8 Bit) des Klartexts wird einzeln mit einem „Schlüsselstrom“ verschlüsselt

Schlüsselstrom ist aus Schlüssel erzeugt

Gut geeignet, wenn regelmäßig Daten anfallen (Zeichen sofort verschlüsselt)

Question 14

Wie funktioniert ein Blockchiffre?

Answer 14

Klartext wird in Blöcke aufgeteilt (z.B. 128 Bit), letzter Block evtl. mit Padding ergänzt (d.h. geeignet auffüllen)

Jeden Block einzeln verschlüsseln

Gut, wenn viele Daten

Question 15

Was ist das Hybride Verschlüsselungsverfahren?

Wie funktioniert die Ver- und Entschlüsselung?

Answer 15

Kombination symmetrischer und asymmetrischer Verschlüsselung

Verschlüsselung:
1. Erzeuge zufällig symmetrischen Schlüssel
2. Verschlüssele Daten mit symmetrischem Verfahren
3. Verschlüssele symmetrischen Schlüssel mit asymmetrischem Verfahren und
öffentlichem Schlüssel Empfänger
4. Sende Daten und verschlüsselten symmetrischen Schlüssel

Entschlüsselung:

1. Entschlüssele verschlüsselten symmetrischen Schlüssel mittels privatem Schlüssel
2. benutze symmetrischen Schlüssel um Daten zu entschlüsseln

Question 16

Was ist eine Hashfunktion und ihre Aufgabe?

Answer 16

Hash-Funktionen bilden Eingaben beliebiger Länge auf einen Hash-Wert mit fester Länge ab

Hash-Funktionen sind kryptographische Einwegfunktionen

Wird z.B. verwendet, um einen „Fingerabdruck“ von einem Dokument zu erstellen

Question 17

Was sind wichtige Eigenschaften einer Signatur?

Answer 17

Der private Schlüssel muss geheim gehalten werden

Der öffentliche Schlüssel muss dem Prüfenden bekannt sein

Üblicherweise unterscheiden sich die zum Verschlüsseln verwendeten Schlüsselpaare von den zum Signieren verwendeten.

Question 18

Was ist ein Zertifikat? Was enthält ein Zertifikat?

Answer 18

Zertifikate bescheinigen Zuordnungen

Zertifikate besitzen im Internet die vergleichbare Funktion eines Personalausweises in der Offline-Welt. Mit Hilfe eines Zertifikats lässt sich ein öffentlicher Schlüssel sicher einem bestimmten Besitzer zuweisen.

Ein Zertifikat enthält:
Identität des Inhabers der Zertifikats

Public Key des Inhabers

Identität des Ausstellers des Zertifikats (Certificate Authority, CA)

Weitere Verwaltungsinformationen (z.B. Schlüssel ID der CA, URL einer Widerrufsliste, …)

Digitalen Signatur über den Inhalt ausgestellt durch die Certificate Authority

Question 19

Beschreibe kurz das Vertrauensproblem bei Zertifikaten. Gibt es einen Ansatz zur Etablierung von Vertrauen?

Answer 19

Vertrauen in Zertifikat-Aussteller notwendig

Definition: Problematik Vertrauen zwischen zwei Instanzen aufzubauen

Zertifikate und Vertrauensanker:

Zertifikate werden von Zertifizierungsstellen (engl. Certificate Authorities (CA)) ausgegeben

Zertifizierungsstellen verfügt über selbstsignierte Zertifikate

Damit ein Zertifikat vertrauenswürdig ist, muss es bis zu der Root of Trust zurückverfolgt werden können, von der es signiert wurde

Man hat ein Hierarchisches Modell

Question 20

Was bedeuten die Begriffe Root-CA und Sub-CA?

Answer 20

Root-CA = Aussteller eines Root-Zertifikats

Sub-CA = Zertifizierungsstelle, für die es einen Pfad zu einer Root-CA gibt

Question 21

Wie lauten Regeln bei kryptographischen Verfahren?

Answer 21

▪ Verwenden Sie nur standardisierte Algorithmen
▪ Verwenden Sie nur offengelegte Algorithmen
▪ Verwenden Sie nur populäre Algorithmen
▪ Beachten Sie Randbedingungen der Algorithmen
▪ Wenden Sie sich an einen Experten!!!

Question 22

Symmetrische Verschlüsselung:

Alice und Charley sind beste Freundinnen, Bob und David sind beste Freunde. Auf einer Party verlieben sich Alice und Bob sowie Charley und David. Die Pärchen senden sich untereinander verschlüsselte Nachrichten. Auch die besten Freunde/Freundinnen senden sich untereinander verschlüsselte Nachrichten. Wie viele verschiedene Schlüssel werden benötigt?

Answer 22

4 Schlüssel

Question 23

Die Länge des Schlüssels in Bit ist für die Sicherheit der Verschlüsselung von ganz zentraler Bedeutung. Warum?

Answer 23

Schutz vor Brutforce Angriffen (Errechnen/Erraten des Schlüssels)

Wahrscheinlichkeit sinkt, Aufwand steigt

Question 24

Was sind Probleme bei Strom- und Blockchiffre?

Answer 24

Stromchiffre:
Wenn im Vorgang ein Fehler auftritt, ist das System kapput/zunichte

Blockchiffre:
Blöcke müssen am Ende wieder zusammengebaut werden. Also muss sich die Blockreihenfolge gemerkt werden

Question 25

Was ist der große Vorteil von asymetrischer Verschlüsselung gegenüber der symetrischen?

Answer 25

Nutzer müssen nicht geheime Schlüssel teilen. Die Notwendigkeit der Schlüsselverteilung entfällt

Question 26

Was ist das Schlüsselaustauschproblem?

Answer 26

Problematik einen Schlüssel für ein Verschlüsselungs- verfahren vor der ersten Benutzung sicher auszutauschen.

Bei symmetrischer Kryptografie muss die Vertraulichkeit (geheim/nicht einsehbar), Integrität (nicht manipulierbar) und Authentizität (Echtheit) gewährleistet sein.

Bei asymetrischer Kryptografie entfällt die Notwendigkeit von Vertraulichkeit (kein geheimer Schlüssel wird ausgetauscht)

Question 27

Erkläre wie das hirarchische Modell für Zertrifikate und Vertrauensanker funktioniert.

Answer 27

Definiere eine/mehrere Zertifizierungsstellen als vertraut

Vertraue allen Zertifikaten, welche von dieser Zertifizierungsstelle unterschreiben wurden

Eventuell: vertraue allen Zertifikaten, für welche ein Pfad vom Zertifikat (evtl. über mehrere
zwischengeschaltete Zertifizierungsstellen) bis zu einer vertrauten Zertifizierungsstelle existieren