winfo (Fach) / Winfo (Lektion)

winfo

Diese Lektion wurde von afrolatino erstellt.

Lektion lernen

zurück  |  weiter 3 / 3

• Ziele: Schutz vor unbefugtem Informationsgewinn (Verlust der Vertraulichkeit)unbefugter Modifikation von Information (Verlust der Integrität)unbefugter Beeinträchtigung der Funktionalität (Verlust der Verfügbarkeit)
• 
  Phishing Webseiten fälschen, um damit Daten auszuspionierenmeist durch E%Mails mit Links zur gefälschten WebseiteBrowser%Hijacking: Manipulation des Browsers, damit Anfragautomatisch auf gefälschte Webseiten umgeleitet werden Angriff auf Vertraulichkeit
• IP%Spoofing: Fälschen der IP%Adresse des Absenders Umgehen der Identifizierung / Authentifizierung
• 
  (ARP)%Spoofing : Man%in%the%middle%Angriff  Mitlesen und Verändern von Nachrichten möglich Angriff auf Vertraulichkeit und Integritä
• Viren: % infizieren Programme/Dateien, die i.d.R. funktionsfähig bleiben% Verbreitung durch Weitergabe der infizierten Wirtsdatei„Hacker“ 10.0.0.3 DatenSchad%software9%6% Verbreitung durch Weitergabe der infizierten WirtsdateiViren sind passiv (verbreiten sich nicht selbstständig
• Würmer:  Schadprogramme, die sich aktiv selbst verbreiten
• Trojaner: als Nutzprogramm getarnte Schadsoftware (oft kombiniert mit Viren, Würmern oder anderer Schadsoftware)
• Keylogger Ausspionieren der Tastatureingaben
• Spyware Ausspionieren von persönlichen Dateien
• Bedrohungen durch das Netzwerk
  Spam (Junk%Mail):  unverlangter, massenhafter Versand von Nachrich z.B. Werben um Geld (Nigeria%Connection), Maske HOAX: Sensationsnachrichten, die falsch sind
• Denial of Service  Host mit Datenpaketen fluten
• Schutz im Netz Vollständiger Schutz im Netzwerk i.d.R. nicht möglichZiel: Gefahr durch Erschwerung reduzieren (d.h. Wirtschaftlichkeit für den Angreifer verringern)oft wichtig: Identifizierung von Kommunikationspartnern:Authentifizierung: Überprüfung der Identität des Gegenübers  Authentifizierung: Überprüfung der Identität des Gegenübers Authentisierung: Nachweis der eigenen Identität Überprüfung durch % Wissen (z.B. Passwort, Kennwort), % Besitz (z.B. Chipkarte, Ausweis, Schlüssel, Zertifikat)% Sein (z.B. biometrische Daten, wie Fingerabdruck, DNA, Stimmen%erkennung) oft Mehr%Faktoren%Authentifizierung
• Sicherheitsmechanismen
  Nutzung spezieller Software, z.B. Spam%Filter, Firewall, Virenschutz (Antiviren%Software), Spyware%Scanner
  sinnvolle Sicherheitseinstellungen bei Software (z.B. im Web%Browser)
  regelmäßige Softwareaktualisierungen (Sicherheits%Updates)9%9
  regelmäßige Softwareaktualisierungen (Sicherheits%Updates)
  vernünftiger Umgang im Netz (z.B. nicht alle Dateien öffnen, die man erhält)
  Nutzung (bzw. Erzwingung) von sicheren Passwörtern
  regelmäßige Änderung von Passwörtern
  sichere Speicherung der Zugangsdaten (Passwörter, aber auch biometrische Daten)
  Verschlüsselung (Kryptographie)
• Kryptographie Wissenschaft der Verschlüsselung (Teilgebiet der Kryptologie)
• Kryptographie
  Wissenschaft der Verschlüsselung (Teilgebiet der Kryptolog
  Hauptziele: Geheimhaltung von DatenDatenintegritätIdentifizierung vom Kommunikationspartnern Identifizierung vom Kommunikationspartnern
• Kryptographie
  Wissenschaft der Verschlüsselung (Teilgebiet der Kryptologie) Anforderungen an Kryptosysteme und %verfahren
  Anforderungen an Kryptosysteme und %verfahren: sicher, d.h. von einem Gegner nicht zu brechen schnell und einfach anwendbar (Ziel: transparent für den Nutzer)
  Aber: 100%%ige Sicherheit kaum möglich Verfahren wird sicher genannt, wenn der Aufwand zum Entschlüsseln der codierten Nachricht voraussichtlich zu groß ist.
• Komponenten bei der Kryptographie:  Nachricht oder Datei M Verschlüsselungs% und Entschlüsselungsalgorithmus (Funktion):% verschlüsseln / chiffrieren (encode): E(M)   % entschlüsseln / dechiffrieren (decode):  D(E(M)) = M9%11% entschlüsseln / dechiffrieren (decode):  D(E(M)) = MVerschlüsselungsalgorithmus verändert die Datei M so, dass sie ohne Entschlüsselung unlesbar ist. (geheime) Schlüssel, die im Algorithmus verwendet werden
  geheime Schlüssel dürfen nicht „erraten“ werden können lange Schlüssel, z.B. 128 Bit  3,4 · 1038 mögliche Schlüssel Ausprobieren aller Schlüssel ist „unmöglich“
• Asymmetrische Verfahren Teilnehmer besitzen jeweils ein selbst erstelltes Schlüsselpaar: öffentlicher Schlüssel (PK): ist allgemein bekannt geheimer Schlüssel (SK): darf niemandem sonst bekannt sein
• Asymmetrische Verfahren Einsatz der Schlüssel paarweise: Absender nutzt einen Schlüssel  Empfänger nutzt den an Absender nutzt einen Schlüssel  Empfänger nutzt den anSchlüssel des Paares (d.h. derselben Person)
• Asymmetrische Verfahren
  Wichtig: Aus dem öffentlichen Schlüssel darf der geheime Schlüssel nicht abgeleitet (berechnet) werden können
• 
  Asymmetrische VerfahrenWichtig: Aus dem öffentlichen Schlüssel darf der geheime Schlüssel nicht abgeleitet (berechnet) werden können  z.B. Nutzung einer Einwegfunktion, von der die inverse Funktion (um die Verschlüsselung rückgängig zu machen) schweoder gar nicht berechenbar ist.
  Beispiel: RSA%Verfahren (bei PGP genutzt)
• Asymmetrische Verfahren: Signatur
  Äquivalent zur Unterschrift (für elektronische Dokumente)
  Vorgehen: Absender „verschlüsselt“ mit seinem eigenen SK, Empfänger „entschlüsselt“ mit passendem PK (des Absenders)  Nur Absender kennt seinen SK und kann damit signieren.
• Asymmetrische Verfahren: Signatur Durch Signatur ist auch die Integrität der Nachricht gesichert.Problem: Abhören der Nachricht ist möglich (da PK öffentlich). Für Geheimhaltung muss M zusätzlich verschlüsselt werden.
• Kombination: Hybrid-Verfahren Kombination von symmetrischer und asymmetrischer VerschlüsselungZiel: schnelle Verschlüsselung ohne sicheren KanalVorgehen: symmetrische Verschlüsselung der Nachricht mit Ksymmund asymmetrische Verschlüsselung von K und asymmetrische Verschlüsselung von Ksymm
• Schlüsselverwaltung Problem sichere Aufbewahrung von Schlüsseln Passwortschutz (wichtig: „sicheres“ Passwort)
• Schlüsselverwaltung 1. Problem: sichere Aufbewahrung von Schlüsseln Passwortschutz (wichtig: „sicheres“ Passwort)Krypto%Smartcards: Schlüssel nur auf Smartcard Ver% und Entschlüsselung auf der Smartcard   Ver% und Entschlüsselung auf der Smartcard (nicht auf dem Computer)
• Schlüsselverwaltung 2. Problem: Echtheit von öffentlichen Schlüsseln(Gehört der öffentliche Schlüssel zur angegebenen Person?) Übergabe des öffentlichen Schlüssel auf sicherem Kanal (z.B. persönliches Treffen)     sehr sicher, aber unpraktisch Nutzung von vertrauenswürdigen Stellen bzw. Zertifikaten
• Public-Key-Infrastruktur / Zertifikate Public%Key%Infrastruktur (z.B. Public Key Server): Authentifizierung des Eigentümers eines öffentlichen Schlüssels durch eine vertrauenswürdige Instanz (Zertifizierungsinstanz) Ausgabe eines digitalen Zertifikats durch diese Instanz (enthält u.a. den öffentlichen Schlüssel, den Namen des Schlüsseleigentümers und die Kryptographie: SchlüsselverwaltungPublic-Key-Infrastruktur / Zertifikateden öffentlichen Schlüssel, den Namen des Schlüsseleigentümers und die Zertifizierungsinstanz) Echtheit der öffentlichen Schlüssel wird garantier
• Beispiele für Verschlüsselung
  Verschlüsselte Datenübertragung bei Web%Seiten: Protokoll https statt http mit Verschlüsselungsprotokoll SSLi.d.R. Authentisierung des Web%Servers beim Client (mit Zertifikat)Hybrid%Verfahren:% Erstellung eines symmetrischen Session Keys (beim Client)  % Erstellung eines symmetrischen Session Keys (beim Client) % asymmetrisch verschlüsselte Übertragung des Session Keys% Web%Daten werden mit Session Key verschlüsselt übertragen
• 
  Mobilfunk: Identifizierungs%Anfrage des Netzbetreibers an Mobiltelefon, Mobiltelefon authentisiert sich mit geheimem Schlüssel (auf SIM)symmetrische Verschlüsselung der Verbindung mit Session Key, der von SIM%Karte mit geheimem Schlüssel selbst berechnet wird

zurück  |  weiter 3 / 3