Mehrfaktorauthentifizierung Flashcards
Was ist das AAA System
Das AAA-System bildet den Grundpfeiler der IT-Sicherheit. Will das
Schutzziel Confidentiality gew¨ahrleisten. Die drei A’s stehen fur: ¨
• Authentication
• Authorisation
• Accounting
Die drei A’s werden durch eines oder mehrere Systeme koordiniert →
Identity Management Systeme.
Was ist Authentification?
Ziel: Benutzer/System/Prozess zweifelsfrei identifizieren. Benutzername = Identifikation, Ich kann mich als alles m¨ogliche authentifizieren.
Authentifizierung erfolgt uber das Passwort. ¨ → Identifikation ist Teil
eines Authentifizierungsprozesses.
Was ist mehrfaktor Authentification?
Die Identit¨at wird mehrfach gepruft. Wir vertrauen nicht der ID, son- ¨
dern der Beh¨orde die dahinter steckt. Bei E-banking TAN-code wird
der Faktor, dass ich im Besitz des angegebenen Smartphones bin und
darauf Mitteilungen empfangen kann.
Eine Sicherheitsfrage kann sicherer sein als ein Passwort, weil die
Beh¨orde/Anbieter die Sicherheitsfrage w¨ahlen kann. Darauf kann man
sich im Unterschied zum Passwort nicht vorbereiten.
Zweiter Faktor bei SmartCard (UBS): Karte und der PIN. PIN und
Karte geht nie ubers Internet.
Was ist Authorisation?
Entweder darf ich es oder nicht. Geht nicht nur um welche Rechte ich
kriege, sondern auch welche ich verliere. Es gibt mehrere Arten:
• MAC (Mandatory Access Control, Rechte aufgrund von Regeln
(Regeln wurde aufgrund von Entscheidungen erstellt), Rechte
werden Individuen gegeben und Funktionsgruppen gegeben.
• DAC (Discretionary Access Control, Rechte werden vom Eigentumer eines Zielobjektes gegeben, Beispiel linux (chmod) ¨
• RBAC (Role-Based Access Control) Immer einer Funktion zugeordnet und die Funktion hat Rechte, e.g. Ich arbeite mit einem
Programm (Funktion) und deshalb habe ich die Rechte.)
Was ist Accounting?
Informationen uber die Ressourcenbenutzung sammeln. Nicht notwen- ¨
digerweise ein Echtzeitprozess, kann auch periodisch erfolgen.
• Kapazit¨atsplanung: Zus¨atzlicher Mitarbeiter braucht 4GB shared Speicherplaz also kann ich soviele Mitarbeiter anstellen. Betrifft Schutzziel Verfugbarkeit.
• Trendanalysen: Gehen uber 6 Monate und weiter. Ziemlich ¨
schwierig, Kaffeesatzlesen. E.g. brauchen mehr virtuelle Maschinen.
• Revisionsf¨ahigkeit: nachvollziehbar, beweisbar. Verschiedene
Stufen: Log: Am Tag x hat Mitarbeiter y es bearbeitet. Problem: Beim Umbenennen kann Nachvollziehbarkeit verloren gehen. Logs k¨onnen gef¨alscht werden. Logs k¨onnen ebenfalls geloggt werden.
Was ist Verschlüsselung?
Wann komprimieren? Bevor der Verschlusselung, weil nach der Ver- ¨
schlusselung ist fast nichts mehr ¨ ubrig um zu komprimieren. Chif- ¨
frat = Produkt nach Verschlusslung (Alle Zeichenl ¨ ¨angen kommen
gleichm¨assig vor, hat eine gewisse Blocksize und ist deshalb einfach
zu erkennen).
Wie funktioniert symetrische Verschlüsselung?
Zum Ver- und Entschlusseln wird der der selbe Schl ¨ ussel ben ¨ ¨otigt.
XOR ist die naivste und lausigste Verschlusselung solange der ¨
Schlussel k ¨ urzer als das Dokument ist, die es gibt. Ist der Schl ¨ ussel ¨
gleichlang oder l¨anger als das Dokument ist es sicher. Wichtige Frage:
Wie kommt der Schlussel sicher vom Sender zum Empf ¨ ¨anger? Quantencomputer gef¨ahrden die sicheren symmetrischen Verfahren wie Camelia und AES.
Was ist asymetrische Verschlüsselung?
Es gibt nicht ein Schlussel, sondern ein Schl ¨ usselpaar. Zum Ver- ¨
schlusseln wird ein Schl ¨ ussel ben ¨ ¨otigt. Zum Entschlusseln wird der ¨
andere Schlussel ben ¨ ¨otigt. RSA als Beispiel.
Jeder kann verschlusseln aber nur ich kann entschl ¨ usseln. Nachteil, ¨
wir brauchen l¨angere Schlussel im Vergleich zum symmetrischen Ver- ¨
fahren. Fur 128+ symmetrisch braucht es 1024 asymmetrisch. Zweite ¨
Methode: Jeder kann entschlusseln aber nur ich kann verschl ¨ usseln. ¨
Klingt doof aber ist sinnvoll fur eine Signatur, denn dadurch kann ge- ¨
zeigt werden, dass ich das Produkt erstellt habe. Somit kann Identit¨at
gezeigt werden. Nachteil: Sehr aufw¨andig zu implementieren. Keiner
will mehrere Sekunden warten, um das Geb¨aude zu betreten. HTTPS,
TLS schicken Schlussel asymmetrisch und verschlßseln dann symme- ¨
trisch.
