Beruflich Dokumente
Kultur Dokumente
• Verlust
• unberechtigtem Zugriff
• Zerstoerung
• Missbrauch
Schutzziele
Confidentiality - Daten sollen nur Kommunikationspartnern zugaenglich sein
Integrity - Daten sollen vor unbemerkter Veraenderung geschuetzt werden
Availability - Daten sollen verfuegbar sein, wenn gebraucht
Authenticity - Daten sollen tatsaechlich vom angegebenen Autor stammen
Kerckhoff's Prinzip: Die Sicherheit eines Verschluesselungsverfahrens beruht auf der Geheimhaltung
des Schluessels, nicht des Verschluesselungsalgorithmus.
Block-Chiffren: Nachricht wird in Bloecke aufgeteilt und die Bloecke werden nacheinander verschluesselt
Strom-Chiffren: Nachricht wird Zeichen fuer Zeichen verschluesselt
Substitutionschiffren: Jedes Zeichen wird durch ein anderes ausgetauscht, die Position bleibt dieselbe.
monoalphabetische Substitutionschiffren:Jedes Zeichen des Klartext wird auf dasselbe Geheimtextzeichen abgebildet.
polyalphabetische Substitutionschiffren:Nicht jedes Zeichen des Klartext wird auf dasselbe Geheimtextzeichen
abgebildet.
Transpositionschiffren: Der Geheimtext ist eine Permutation des Klartext.
One-Time Pad:Schluessellaenge = Klartextlaenge, Schluessel mit wahrem Zufall gebildet, wie Caesar/Vigenere Ent-
/Verschluesselung
Perfekte Sicherheit:Die Kenntnis des Geheimtext birgt keine Information ueber den Klartext.
Brute-Force Angriffe: Schluessel herausfinden durch ausprobieren
Symmetrische Verfahren
Konfusion: Zsmhang von Klartext und Geheimtext verbergen Diffusion: Die Verschluesselung eines Bits hat
Auswirkungen auf die Verschluesselung der weiteren Bits innerhalb eines Blocks
DES:
• 64-Bit Blocklaenge
• 64-Bit Schluessellaenge (56 nach Abzug von Paritaetsbits)
• abgeloest von AES und Triple-DES weil Schluesselraum zu klein
• iterativ
◦ Block wird halbiert in $L_0$ und $R_0$
◦ $L_{i+1}$ und $R_{i+1}$ durch mathematische Operation mithilfe von F-Funktion erstellt
F-Funktion nutzt S-Boxen (Mapping 6 Bit zu 4 Bit) und Teil des Schluessels zur Permutation des
Blocks
• mathematische Schwachstelle: S-Boxen
Triple-DES:
IDEA:
• 64-Bit Blocklaenge
• 128-Bit Schluessel
• iterativ (8 Runden + Finalrunde)
AES:
• 128-Bit Blocklaenge
• 128|192|256-Bit Schluessellange
• iterativ
• Schluesselexpansion
Asymmetrische Verfahren
Generelles Problem: Kann man dem public key trauen? (Deswegen immer Abfrage bei ssh) Diffie-Hellman:
• generiert Session-schluessel
• nutzt Problem des diskreten Logarithmus aus, um Sicherheit zu gewaehrleisten
// Waehle Generator g, Primzahl p und Geheimnisse a,b
A = g^a mod p
B = g^b mod p
K = B^a mod p = A^b mod p
El-Gamal:
RSA:
// Verschluesselung
C = M^e mod n
// Entschluesselung
M = C^d mod n
• Integrity,
• Authenticity,
• Non-Repudiation (Verbindlichkeit)
• Faelschungssicherheit
• nicht wiederverwendbar
• unveraenderbar
• auf Echtheit pruefbar
• Confidentiality <- benoetigt Verschluesselung von Nachricht und Signatur
Typisches Signaturenprotokoll:
Zertifikate:
Trust-Center:
Alternativen zu PKI:
Blockchain
• verteilte Datenbank in P2P-Netzwerk
• kein Middleman
• Distributed Ledger
Anwendungsgebiete:
• Kryptowaehrungen
• Smart Contracts
• Smart Grid
• Lieferketten, Logistik
• Medizindaten
Proof of work:
IT-Security
IPsec:
SSL/TLS:
• Transport Layer
• Hashing fuer Integritaet
• Verschluesselung fuer Confidentiality
• nutzt Cipher Suites, zur Einigung von Austausch-, Verschluesselungs-, Message-Authentication-, Number-
Generation-Algorithmus
Gefahren
Angreifer:
• Script-Kiddies
• Insiders
• Hacker (white hat, black hat)
• Aktivisten
• Spionage (Geheimdienste, Unternehmen)
Angriffstypen:
• Viren: Replikation und Verbreitung mit Seiteneffekt <- Anti-Virenprogramme nutzen Signaturen zur Erkennung
(Problem: Mutationen)
• Synflood: SYN an Server schicken, schickt ACK zurueck, man antwortet nicht mit ACK drauf -> Verbindung
bleibt offen
• Buffer Overflow
Infektionswege:
• Social Engineering
• Physischer Zugriff
• Unsichere Software, menschliche Fehler
Firewalls:
IDS/IPS:
DSGVO
Definitionen:
• personenbezogene Daten: alle Informationen, die sich auf einen identifizierte/identifizierbare natuerliche Person
beziehen
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (automatisiert/manuell, Erfassen,
Ordnen, etc.)
• Profiling: Jede automatisierte Verarbeitung zur Analyse, Bewertung, Vorhersage einer Person oder ihrer
Verhaltensweisen
• Pseudonymisierung: Jede Verarbeitung, bei der die personenbezogenen Daten nicht einer Person zugeordnet
werden koennen
• Verantwortlicher: Jede Person (natuerlich/juristisch), Behoerde, Einrichtung, Stelle, die ueber Zwecke/Mittel einer
Verarbeitung entscheidet.
• Auftragsverarbeiter: Jede -==-, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet
• Dritter: Jeder -==-, ausser dem Betroffenen, dem Verantwortlichen und Personenen die unter dem
Verantwortlichen Verarbeitung betreiben
• Empfaenger: Jede -==-, der personenbezogene Daten offengelegt werden
• Einwilligung: informierte, freiwillige, unmissverstaendliche Willensbekundung mit eindeutiger Bestaetigung, dass
Verarbeitung in Ordnung ist
• Aufsichtsbehoerde: von einem Mitgliedsstaat eingerichtete staatliche Stelle
• Verbot mit Erlaubnisvorbehalt: solange verboten bis es gesetzliche Regelung oder Einwilligung gibt
• Direkterhebung: nur beim Betroffenen duerfen Daten erhoben werden
• Datensparsamkeit: so kurz wie moeglich aufbewahren
• Datenvermeidbarkeit: so wenig wie moeglich erheben
• Zweckbindung: Verarbeitung muss vorher festgelegten Zweck erfuellen
• Transparenz: heimliche Datenerhebung ist verboten (mit wenigen Ausnahmen)
• Erforderlichkeit: es gibt keine andere, mildere Moeglichkeit, den Zweck zu erreichen
Grundsaetze DSGVO:
• Einwilligung
• gesetzliche Regelung
• Erfuellung eines Vertrags oder vorvertragliche Massnahmen
• lebenswichtige Interessen des Betroffenen
• Wahrnehmung von oeffentlichem Interesse oder Ausuebung oeffentlicher Gewalt
• berechtigtes Interesse des Verantwortlichen
• Privacy by Design
• Privacy by Default
• kostenfreie Auskunft und Loeschung
• Strafzahlungen bei Verstoss
• Datenschutzerklaerung
• ... (siehe Folien)