Was ist eine Identität? Was ist Identifizierung und was Authentifizierung?
Identität ist der Oberbegriff von Person, Gruppe, Organisation, Rolle und Computersystem. Eine Identität hat immer einen Namen und Attribute und ist immer einem Bereich (Domain) zugeordnet.
Identifizierung ist der Prozess der Bestimmung einer Identität.
Authentifizierung ist der Prozess der Prüfung einer Identität basierend auf vorheriger Identifizierung.
Was wird unter Autorisierung verstanden?
Zuordnung von Rechten an Subjekte in Bezug auf Objekte
Worin besteht der wichtigste Unterschied zwischen einem Passwort und einem Schlüssel?
Passwort = relativ kurze, geheime Zeichenkette, die per Tastatur eingegeben werden kann.
Schlüssel = Lange, beliebige, meist geheime Bitkette
Passwort stellt die Identität des Benutzers fest
Schlüssel beinhalten alle möglichen Bitkombinationen, während Passwörter nur eingeschränkte Bitkombinationen (Zeichensatz) verwenden
Schlüssel sind in der Regel länger als Passworte
Schlüssel kann die Integrität von Daten durch eine Signatur sicherstellen
Was sind die Kriterien eines guten Passworts? Nennen Sie drei Kriterien dafür, die auch maschinell leicht geprüft werden können.
Mindestens 8, am besten 12 Zeichen
Passwort wird innerhalb angemessener Zeiträume geändert
Verschiedene Passwörter für verschiedene Dinge
Passwort wird nur stark verschlüsselt über ein Netzwerk übertragen
Charakterisieren Sie das Verschlüsselungsverfahren DES anhand dessen Eigenschaften (Schlüssellänge etc.). Nennen Sie drei.
Blockweise symmetrische Verschlüsselung mit 56 bit effektiver Schlüssellänge.
1) Schlüssel besitzt noch weitere 8 bit als Prüfsumme
2) Es werden 8 Bytes mit effektiven 7 bit benutzt
3) Block ist 64 bit lang
Worin liegt das größte Problem beim DES?
Digital Encryption Standard
- Seit den 90er Jahren unsicher
- Schlüssellänge von 56 bit heute zu kurz
Was ist eine kryptografische Hashfunktion? Welche Eigenschaften muss diese erfüllen? Es sind drei.
Spezielle Form der Hash-Funktion, Einwegfunktion.
- Unbestimmbarkeit von Urbildern:
Nur mit erheblichen Aufwand ist das x für ein gegebenes y bei y=h(x) zu bestimmen.
- Unbestimmbarkeit eines weiteren Urbildes:
Nur mit erheblichen Aufwand ist für ein gegebenes x ein weiteres x' zu bestimmen, wobei h(x)=h(x') gilt.
- Kollisionsfreiheit:
Nur mit erheblichen Aufwand sind zwei x und x' zu bestimmen, wobei h(x)=h(x') gilt.
Was ist bei den Hashfunktionen eine Kollision? Lassen sich Kollisionen grundsätzlich vermeiden? Begründen Sie Ihre Antwort.
Eine Kollision liegt vor, wenn derselbe Hash-Wert durch unterschiedliche Urbilder erzeugt werden kann.
Nein, sie sind nie zu vermeiden, da das Urbild fast immer länger als der Hash-Wert ist.
Wenn sich Kollisionen bei kryptografischen Hashfunktionen nicht vermeiden lassen: warum werden sie trotzdem eingesetzt?
Urbild x (fast) immer länger als Hash-Wert z. B. 160 Bit = Kollisionen lassen sich nicht vermeiden
⇨ 1) in Praxis sind Elemente der Menge der kollidierenden Urbilder bis aus das eine unsinnig
⇨ 2) kollidierendes Urbild zum hacken benötigt (sollte sinnvoll und gewollt sein)
-> Weil es keine schlimmen Auswirkungen hat
Beschreiben Sie die prinzipiellen Vorgehensweisen bei der Passwortdefinition und Prüfung, wenn (a) DES oder (b) MD5 verwendet wird.
MD5:
1. PW einlesen
2. Hashcode generieren
3. Hashcode ablegen
4. PW löschen
Prüfung:
1. Passwort einlesen
2. Hashcode generieren und vergleichen
DES:
2. Verschlüsseln
3. Chiffrat ablegen
2. Verschlüsseln und mit Chiffrat vergleichen
Chiffrat = Verschlüsselter Originaltext
Wie arbeiten Pseudozufallszahlengeneratoren?
Deterministischer Algorithmus
Eingabe: zufällige Bitfolge der Länge k (Seed)
Ausgabe: Bitfolge der Länge l
==================================
Gerät oder Verfahren, das einen deterministischen Algorithmus realisiert, als Eingabe eine zufällige Bitfolge der Länge k (Seed) erhält und eine Bitfolge der Länge l produziert, die den Eindruck der Zufälligkeit erweckt.
Nennen Sie ein paar Quellen für Zufall, die auf (fast) jedem PC benutzt werden können, also ohne Spezialhardware.
- Analyse von Tastatureingaben und Mausbewegungen
- Uhrzeit auf ms genau
- Positionierungszeiten der Platte
Wie arbeitet der Wörterbuchangriff? Gehört dieser zu den Brute Force Methoden?
Kennwörter anhand von Wörterbüchern ausprobieren.
Nein, da eine übersichtliche Menge an Daten verwendet wird und diese nicht erst generiert werden muss wie bei Brute Force
Erläutern Sie ein Verfahren bei UNIX zur Abspeicherung der LoginPasswörter.
1. Ersten 8 Zeichen als 7-bit-Werte zu 56-bit Schlüssel zusammensetzen
2. zwei Zeichen zufällig auslesen als Salz
3. Verschlüsseln
4. Zurückkonvertieren
5. Ablage der 11 ASCII-Zeichen mit Salz am Anfang
Was ist in diesem Themenbereich das Salz? Wozu dient es? Muss es
geschützt werden? Wird es bei den UNIX-Passwörtern geschützt?
Ein Zusatz , PW wird verlängert. Um dem Hacker das leben schwer zu machen. Ja es muss eigentlich geschützt werden, bei unix wird es aber nicht geschützt werden.
Salz = Zufälliger, dem Angreifer unbekannter Wert, der in die Verschlüsselung eingeht.
Übermittlung und Speicherung von Passwörtern
Das Salz wird mit dem Passwort gemischt und dadurch geschützt und der Zugriff bedarf höherer Privilegien.
Welche Probleme haben biometrische Authentisierungsverfahren?
Nennen Sie zwei.
Was ist ein (Security-)Token? Wozu wird dieser gebraucht?
Wie arbeiten prinzipiell (Security-)Token?
Was ist eine Smartcard? Es gibt zwei Bauformen, beschreiben Sie
diese
Wie verläuft das Unterschreiben eines Dokuments mit einer Smartcard?
Wie arbeiten moderne Passwort-Knacker? Welche Hardware wird
häufig eingesetzt?
Sie haben ein schwaches Gedächtnis und wollen einigermaßen gute
Passwörter sich merken. Wie erreichen Sie dies?
DES ist in Hardware sehr schnell, hat aber Probleme. Wie können Sie
trotzdem einigermaßen sicher mit DES verschlüsseln?
Nennen Sie ein paar Passwort-Crackwerkzeuge aus dem Windowsund aus dem LINUX-Bereich.
John the Ripper
L0phtcrack
Cain & Abel
Welchen gravierenden Nachteil haben Key-Stores, die am Anfang einer Sitzung mit Eingabe eines Passwortes geöffnet, um dann ohne
weitere Passwort-Eingabe benutzt werden zu können?
- Verlust/ Bekanntwerden des Masterkeys erlaubt Zugriff auf alle Passwörter
- Schadsoftware auf dem System erhält Zugriff nach dem Öffnen des Key-Stores
Sie kaufen mit einem Browser bei verschiedenen eCommerce-Sites
mit jeweils unterschiedlichen Passwörtern ein. Da sie diese sich nicht
merken können, lassen Sie den Browser die Login-Formulare ausfüllen. Ist das eine gute Vorgehensweise?
Generierung:
- Generieren eines Zufallswertes (geheim!)
- davon Generieren der Hashcodes (mehrmals (50 mal !))
- Ausdrucken der Werte
- Speichern von W1 als W und löschen der restlichen Werte
Abprüfen:
- W gleich hash(PW) ?
- W durch W2 ersetzen
Das letzte Generierte PW ist das erste das benutzt wird (feste Reihenfolge).
Server kennt diesen startwert und kann immer prüfen ob Reihenfolge der Eingabe stimmt. Server erwartet immer nächsten Wert in Liste.
Passwörter abhören ist sinnlos.
Last changed5 years ago