Preguntas Altklausuren Flashcards
Welche kryptographischen Primitive werden in der von TLS 1.3 verwendeten Ciphersuite spezifiziert und wofür werden sie verwendet?
- Verschlüsselungsverfahren für die Verschlüsselung der Nutzdaten.
- Pseudorandomfunktion zur Schlüsselableitung
Zentraler Vorteil von AEAD Chiffren
Geringere Fehleranfälligkeit für inkorrekte Anwendung.
Wozu werden Betriebsmodi bei Blockchiffren benötigt?
Blockchiffren arbeiten immer auf Blöcken fixer Größe.
Um Nachrichten der Länge mehrerer Blöcke zu verschlüsseln werden Betriebsmodi benötigt.
Was wird mit assymetrischer Verschlüsselung/symmetrischer Verschlüsselung übertragen?
Asymmetrischer:
Schlüsselmaterial
Symmetrischer:
Übertragung der eigentliche Nachricht.
Warum werden mehrere Diffie Hellman Parameter an den Server übertragen?
-Client überträgt jeweils einen Parameter pro unterstütztem DH-Verfahren.
-Der Server kann dann direkt das präferierte auswählen.
(Spart einen Round Trip)
Maßnahmen, um unautorisierte Datenmanipulation zu verhindern
Klartext-Speicherung der Daten mit dazugehörigem MAC
Replay Angriff bei CR
Ist möglich, weil Server nur authentifiziert wird und der Angreifer kann sich zum Server verbinden und ohne k zu kennen die vorherigen Nutzdaten wiedereinspielen.
Wozu dient Sigks
(H(∇)) der Nachricht (2)?
Welche Aktion muss der Client damit durchführen?
Damit weist der Server nach, dass dieser im Besitz des privaten Schlüssels des gesendeten Zertifikats ist.
Der Client muss den Hash des Handshakes bis zu diesem Punkt berechnen und die
Signatur mit Hilfe des öffentlichen Schlüssels des Zertifikats überprüfen.
Angenommen TLS 1.3 würde das unsichere Verschlüsselungsverfahren RC4 als Cipher Suite S
rc4
zulassen.
Nein, dies ist nicht möglich. In der Finished Nachricht wird geprüft, dass beide Parteien die selben Nachrichten abgearbeitet haben. Dies wird durch die Bildung
eines HMACs über alle Nachrichten des bisherigen Handshakes sichergestellt.
Informationsvertraulichkeit Schutzziel
todo lo que tiene que ver con Verschlüsselung, todos los Betriebsmodi
-Verwendung einer AEAD Chiffre
-Blockweise Verschlüsselung der Daten mit AES-CTR
Schutzziele
Confidentiality / Informationsvertraulichkeit
Schutz vor unautorisierter Informationsgewinnung
- Integrity / Integrität
Schutz vor unautorisierter und unbemerkter Modifikation
- Verfügbarkeit / Availability
Schutz vor unbefugter Beeinträchtigung der Nutzbarkeit und Funktionalität.
- Authenticity / Authentizität
Nachweis der Echtheit und Glaubwürdigkeit der Identität
- Accountability / Verbindlichkeit
Schutz vor unzulässigem Abstreiten durchgeführter Handlungen
*Privatheit
Schutz der Privatsphäre
Security
Schutz vor Angriffe von “Außen” mit dem Ziel der Datenmanipulation und Informationsmissbrauchs.
(Phishing, Brute Force)
Safety
Schutz vor Störungen von Innen verursacht durch das technische System.
SSO
IdP es el que guarda las claves, no el Dients
SIGNATURRRRRRRRRRR
OJOOOOOOO
SE ENCRIPTA con D y se entschlussea con EEEEEE
Nachteile de ECB
Muster im Klartext bleiben erhalten
Blöcke von bekannten Klartext / Chiffretext Paare können zusammengefügt werden, um
eine neue Nachricht zu erzeugen
Bell Lapadula
No Read Up: pero si puede leer abajo
No Write Down: si puede escribir arriba
- ver los archivos que ellos crearon
- ver los grupos y ver cuales se puede segun read up y write down
- ver los rwx del grupo
En Zugriffsrechte, siempre se necesita x para leer y tambien para escribir (En Verzeichnis)
Zusammenhang de Blockchiffre y Stromchiffre
AES im CTR Modus
(Blockchiffre wird in Stromchiffre verwandelt)
Diffie Hellmann
Dezentrale Vereinbarung eines gemeinsamen, geheimen Schlüssels
Verhindern OTPS Phishing Angriffe?
Erschweren Phishing Angriffe, da sich das Zeitfenster indem die gestohlenen Daten genutzt werden können verkleinert.
Allerdings kann eine Phising Webseite das OTP eines Nutzers abfangen und sofort nutzen während das OTP noch gültig ist.
(porque webseite no se autentifica con el usuario)
Backward Secrecy: “Selbstheilung”
bedeutet, dass nach einem kompromittierten Schlüssel die zukünftige Kommunikation durch Schlüsselaktualisierung wieder sicher wird.
2 Prinzipien Rechtevergabe
1) Minimalen Rechte (need to know, least privilege)
nur die Rechte, die zur Aufgabenerfüllung erforderlich sind.
2) Prinzip der Complete Mediation:
Jeder Zugriff auf eine geschützte Ressource ist zu kontrollieren.
CSPRNG
keinen Hinweis auf vorhergehenden ni zukünftige Zufallszahlen.
