Wodurch unterscheiden sich Schlüssel (Keys) von Passwörtern?
Schlüssel = Bitkette, deren Werte statistisch gleich verteilt und lang genug ist, um nicht unter definierten Bedingungen durch systematisches Durchprobieren bestimmt werden zu können
Passwörter = Zeichenfolge
Schlüssel in der Regel länger als Passwörter
Was sind die beiden wichtigsten Eigenschaften eines guten geheimen Schlüssels?
Länge
zufällig gewählt / statistisch gleich verteilt
Was ist eine Chiffre und was ein Chiffretext?
Chiffre = Verfahren zu Ver- und Entschlüsselung
Chiffretext = Verschlüsselter Text
Was ist das Charakteristische für eine Einweg-Funktion?
Funktion, die aus einem Klartext leicht einen Chiffretext erzeugt, wobei deren inverse Funktion nur mit hohem Aufwand möglich ist
Skizzieren Sie die beiden Angriffsarten auf Chiffren, wenn der Angreifer keine Bitketten bestimmen kann. Welche der beiden ist für den Angreifer besser?
1. Ciphertext-Only-Attack (nutzt aus, dass bestimmte Eigenschaften des Klartextes bei Verschlüsselung erhalten bleiben). Der Angreifer kennt einen oder mehrere Geheimtexte und versucht mit deren Hilfe, auf den Klartext beziehungsweise den Schlüssel zu schließen.
2. Known-Plaintext-Attack: Der Angreifer besitzt Geheimtext(e) und die/den zugehörigen Klartext(e). Beide werden benutzt, um den Schlüssel zu ermitteln.
(Angreifer besser wenn schon Infos hat ⇨ weiß eher was für ein Schlüssel brauch (z. B. Brief hat immer Anrede)
Was ist das Charakteristische den symmetrischen Verfahren? Wie laufen diese Verfahren ab?
Verschlüsslung mit einem Schlüssel zum Ver- und Entschlüsseln
Schlüssel müssen beide Person können (aber nicht der Abhörer)
Lassen sich allein mit symmetrischen Verschlüsselungsverfahren Dokumente signieren?
Nein.
Wie arbeiten asymmetrische Verschlüsselungsverfahren?
● Asymmetrische Verschlüsselung = Verwendung von Schlüsselpaar:
- Zufällig gewählt.
- Aus dem einen Schlüssel kann nicht der andere konstruiert werden.
- Wenn der Text mit einem Schlüssel verschlüsselt wird, kann dieser nur mit
dem anderen Schlüssel entschlüsselt werden.
● Einer der Schlüssel wird öffentlich gemacht, der andere bleibt geheim:
- Public Key und Secret Key.
Wie läuft das elektronische Unterschreiben eines Dokuments ab?
Beschreiben Sie die einzelnen Schritte.
1. Bilden eines Hash-Werts der zu verschickenden Nachricht
2. Verschlüsselung mit Private-Key
3. Versand der Signatur und der verschlüsselten Nachricht
Wie läuft die Prüfung einer elektronischen Unterschrift eines Dokuments ab? Beschreiben Sie die einzelnen Schritte.
1. Empfangende Signatur des Hash-Wertes wird mit dem öffentlichen Schlüssel des Absenders entschlüsselt
2. Ist Verifizierung erfolgreich, dann ist die Nachricht vom Absender
Was ist ein Schlüssel, was eine Signatur und was ein Zertifikat?
Schlüssel - Bitkette, deren Werte statistisch gleich verteilt und lang genug ist, um nicht unter definierten Bedingungen durch Ausprobieren bestimmt werden zu können
Signatur - Wird nun ein Fingerabdruck mit dem geheimen Schlüssel verschlüsselt, so wird das Resultat digitale Unterschrift oder Signatur genannt
Zertifikat - besteht aus Identität, öffentlichem Schlüssel der Identität und Signatur der CA
Welche Aufgaben hat eine CA? Wofür steht das Kürzel CA? Und was
ist ein Trustcenter?
Eine Certification Authority (CA) - oder Trustcenter genannt - hat ein Verzeichnis von öffentlichen Schlüsseln samt Identitätsbeschreibungen und beglaubigt die Verbindung zwischen Identität und öffentlichen Schlüssel durch ein Zertifikat.
Werden beim Erstellen einer Signatur auch die Nutzdaten mitverschlüsselt?
Lassen sich Zertifikate fälschen? Skizzieren Sie dazu ein Verfahren.
Variante 1: in eine CA einbrechen und sich selbst eins ausstellen
Variante 2: geheimen Schlüssel zum öffentlichen finden
Wie erhält eine Person das Zertifikat eines Schlüssels einer fremden
Person? Nennen Sie mindestens zwei Möglichkeiten, die möglichst
legal sind.
1. Server, der Cert hat übergibt es beim Handshake an den Client (falls Client ein Cert hat, kann er es auch gleich übergeben)
2. Zertifikats- und FTP-Server, wo Zertifikate runtergeladen werden können (da öffentliche Dokumente)
Unter welchen Umständen müssen Zertifikate noch innerhalb ihres
Gültigkeitszeitraums zurückgenommen werden? Nennen Sie zwei.
1. Geheimer Schlüssel der Identität ist aufgedeckt
2. Identität wird von CA nicht länger akzeptiert
3. Geheimer Schlüssel der CA ist aufgedeckt
Wie wird das Zurücknehmen ausgegebener Zertifikate realisiert?
Welche Konsequenzen hat das für den Prozess des Prüfens eines
Zertifikats?
1. Ein Rückruf muss bei der CA vorgenommen werden und wird in eine entsprechende Liste eingetragen
2. Bei der Überprüfung des Zertifikats wird geprüft, ob es einen Rückruf zum Zertifikat gab
Was muss alles getan werden, um die Korrektheit eines Zertifikats zu prüfen?
● Gültigkeit prüfen, Ist es unter Sperrliste? danach prüft man mit dem öffentlichen Schlüssel vom Trustcenter(CA) dessen Unterschrift.
Warum sind im X.509-Zertifikat explizit Angaben zu den verwendeten kryptographischen Verfahren enthalten?
● Das Verfahren soll austauschbar bleiben, falls ein Verfahren sich als angreifbar herausstellt, soll einfach ein anderes benutzt werden können.
● Um flexibler zu sein.
In einem X.509-Zertifikat sind u.a. persönliche Daten, wie z.B. die
EMail-Adresse enthalten. Ist das nicht Futter für die Spammer, die
nun geprüfte Mailadressen erhalten?
Ja
Nennen Sie zwei symmetrische Verschlüsselungsverfahren, die weite Verbreitung gefunden haben.
DES = Data Encryption Standard
AES = Advanced Encyrtion Standard
Wenn zwei Personen über weite Entfernungen ihre Kommunikation
mit einem symmetrischen Verfahren verschlüsseln wollen: welches
schwerwiegende Problem muss dazu gelöst werden?
Sichere Übermittlung des Schlüssels.
Wie können zwei sich nicht persönlich kennende Personen ein Geheimnis, z.B. einen Schlüssel oder ein Passwort, austauschen, ohne
dass Fremde das Geheimnis erfahren?
Mit dem Diffie-Hellman Verfahren (A und B einigen sich auf einem Prim- und natürliche Zahl welche öffentlich sind)
Skizzieren Sie das Prinzip des Man-in-the-Middle-Angriffs.
Der Kommunikationskanal zweier Teilnehmer wird durch einen dritten abgehört. Hierbei können die Nachrichten durch diesen auch manipuliert werden.
Beschreiben Sie ein möglichst sicheres Verfahren, mit dem Sie feststellen können, mit wem Sie kommunizieren.
Signierung mit asynchroner Verschlüsselung (Privatkey-Signierung eines Hashes).
Wie werden die Organisationen bzw. Firmen genannt, die Zertifikate
herausgeben? Auf welche Weise prüfen diese Organisationen, ob die
im Zertifikat angegebenen Personen tatsächlich die richtigen sind?
Machen Sie dazu einen Vorschlag.
CA - Certification Authority
Persönliche Identifikation gegenüber der CA (z.B. Personaldokumente z.B. Personalausweis)
Was wird unter einem Zertifizierungspfad verstanden?
Kette von digitalen Zertifikaten, die jeweils die Authentizität des öffentlichen Schlüssels bestätigen, mit dem das vorgehende Zertifikat geprüft wurde.
Der Zertifizierungspfad ist eine lineare Kette von Beglaubigungen.
Welches Problem entsteht, wenn die einzelnen CAs (weltweit) in beliebigen Vertrauensbeziehungen stehen?
Es gibt tausende CAs , deren Identität nicht kennen. Keine Vertrauensbeziehung.
Problem = Zertifizierungspfad muss bestimmt werden und vertraue ich diesem?
Jemand möchte elektronisch sein Testament machen. Welche Probleme müssen dabei technisch überwunden werden? Machen Sie einen Vorschlag zur Lösung.
- Sichergestellt werden, dass öffentlicher Schlüssel wirklich dem Besitzer gehört
- Über den Eintrag in eine CA kann sichergestellt werden, dass die Identität der Person mit dem öffentlichen Schlüssel übereinstimmen
Last changed2 years ago