Theorie

Question 1

Ressource

Answer 1

Ein Objekt oder ein Dienst, der vor unbefugtem Zugriff geschützt werden soll

Question 2

Entität

Answer 2

Eine Person oder ein Objekt, das Zugang zu einer Ressource erhalten möchte

Question 3

Identität

Answer 3

Der Name und die Eigenschaften, die wir mit einer Entität verbinden

Question 4

Domäne

Answer 4

Eine Sammlung von Ressourcen, der gegenüber die Entität mit der gleichen Identität auftritt.

Question 5

Zugriffskontrolle

Answer 5

regelt, welche Entität welchen Zugriff auf welche Ressourcen der Domäne erhält

Question 6

Identifikation

Answer 6

• Subjekt stellt Informationen bereit, die seine Identität gegenüber dem Authentisierungsdienst angeben
• Vergleich one-to-many

Question 7

Authentisierung

Answer 7

• Überprüfung der Identitätsangaben des Subjekts: Ist er, wer er zu sein vorgibt?
• Vergleich one-to-one

Question 8

Credentials

Answer 8

wissen
haben (Besitz)
sein (Körperliches Merkmal)

Question 9

Fehler Biometrie

Answer 9

Type I Error: falsche Zurückweisung (False Rejection), FRR

Type II Error: falsche Akzeptanz (False Acceptance), FAR

Crossover Error Rate (CER)

Question 10

Autorisierung

Answer 10

Prozess der Zuweisung exakt definierter Rechte an identifizierte und authentisierte Subjekte entsprechend vorbestimmter Regeln und Grundsätze

benutzerbasiert, rollenbasiert, regelbasiert
nach Rolle, Gruppe, Ort, Zeit, Transaktion

Question 11

Autorisierung

Prinzipien

Answer 11

default to no access, implicit deny
Alles was nicht ausdrücklich erlaubt wird, ist verboten!

least privilege principle
nur das absolut Notwendigste erlauben

need to know principle
nur in den strengen Grenzen der zu bewältigenden Aufgabe

Question 12

Multi-Level-Sicherheitssysteme

Answer 12

Schutzstufen für Nutzer und Ressourcen

zB Bell-LaPadula

Question 13

Multilaterale Sicherheitsmodelle

Answer 13

Schutzstufen und Gruppen für Nutzer und Ressourcen

Compartmented: Bessere Umsetzung des Need-to-Know-Prinzips

Question 14

Passwörter

Answer 14

statische PW

OTP

Question 15

OTP

Answer 15

verhindert Replay-Angriffe

• Liste
• Generator
  
  • zeitgesteuert
  • ereignisgesteuert
  • challenge-gesteuert

Question 16

TANs

Answer 16

• statische TAN
• indizierte TAN (challenge-basiert)
• TAN-Generator

Question 17

Biometrie

Answer 17

Einmaligkeit
Konstanz
Messbarkeit
Universalität
Akzeptanz

Identifikation (1:n)
Verifikation (1:1)

Probleme: Failure to Enroll, Lebenderkennung

Question 18

Fingerabdrücke

Answer 18

Bildvergleich: Bildkorrelation. Sind Bilder hinreichend ähnlich?

Minutienvergleich: Merkmalsextraktor identifiziert markante Punkte und übersetzt sie in eine mathematische Beschreibung

Question 19

Biometrie

Vor-/Nachteile

Answer 19

• biometrischen Merkmalsdaten gibt Zugang zu allen Rechten des Betreffenden
• Schaden ist irreversibel: es können nicht einfach neue Credentials vergeben werden
• False Acceptance / False Rejection Rate
• False Enrollment Rate
• Fälschung oft möglich
• biometrische Daten sind öffentlich erkennbar

+ Hohe Sicherheit (umstritten!)
+ Biometrische Daten werden ständig mitgeführt
+ Eingabe für den Nutzer einfach
+ Eindeutige Identifikation möglich

Question 20

DAC

Answer 20

Benutzerbasierte Autorisierung

• Besitzer von Ressourcen entscheiden selbst, ob sie den Zugriff beschränken wollen
• Berechtigungen werden pro Nutzer vergeben
• Eigene Rechte können weitergegeben werden

ACM, ACL, Capability List

Question 21

ACL

Answer 21

• Objektsicht auf Berechtigungen
• Spaltenweise Realisierung der Zugriffskontrollmatrix

ACL(Datei1) = ((Ernie, {r, w, x}), (Bert, {owner, r})

Question 22

Capability-List

Answer 22

• Subjektsicht auf Berechtigungen
• Zeilenweise Realisierung der Zugriffskontrollmatrix

CList(Ernie) = ((Datei1, {r, w, x}), (Datei2, {owner, x})

Question 23

MAC

Answer 23

Regelbasierte Autorisierung
Implementierung mittels Regeln und Eigenschaften (Labels)

Multi-Level, Multilaterale Systeme
- Bell-LaPadula, Biba, Chinese Wall, Compartmented

Question 24

Bell-LaPadula-Modell

Answer 24

• Ziel: Vertraulichkeit

Sicherheitsklasse (Clearance) für Nutzer
Sicherheitsklassifikation (Classification) für Objekte
Sicherheitskategorien (Compartments)

no read up, no write down

Question 25

Biba-Modell

Answer 25

Ziel: Integrität no read down, no write up

Question 26

Chinese-Wall-Modell

Answer 26

Einteilung nach Klassen von Interessenkonflikten nur Zugriff, wenn ein Objekt sich in einer ganz anderen Conflict of Interest-Klasse befindet oder in einer Klasse, in der man schon Zugriff hat

Question 27

RBAC

Answer 27

Hierarchical RBAC: Erweiterung des Core RBAC um Rollenhierarchien Constrained RBAC: Erweiterung des Hierarchical RBAC um Funktionstrennung

Question 28

Hash-Chains

Answer 28

- Wie kann man Einmalpasswörter per Generator berechnen? • Client (z.B. Generator) erhält ein zufälliges Seed-Passwort • Client erzeugt den Wert durch n-maliges Hashen von w - Server erhält Paar (wn ,n) Client berechnet bei der i-ten Authentisierung den Wert und schickt ihn an den Server • Nach i Authentisierungen kennt der Server die hintersten i + 1 Werte der Chain • Der User authentisiert sich mit dem nächsten Wert der Hash Chain.

Question 29

Zero-Knowledge

Answer 29

- Nutzer (Prover) beweist dem Server (Verifier), dass er ein bestimmtes Geheimnis kennt - Server selbst kennt das Geheimnis nicht, kann aber die Korrektheit des Beweises überprüfen. - Angreifer kann aus der Beobachtung der Kommunikation beweisbar nichts lernen - Beispiel für das Konzept: Lösen nichtlinearer Gleichungen

Question 30

Salt

Answer 30

zufällig gewählte Zeichenfolge, die an einen gegebenen Klartext vor der Verwendung als Eingabe einer Hashfunktion angehängt wird, um die Entropie der Eingabe zu erhöhen. Bei der Generierung eines Passworts wird der dort verwendete Salt zusammen mit dem entstandenen Hashwert in einer Datenbank gespeichert.