Sicherheit im Internet Lösungsdiskussion

View all featured content
Nach Datum sortieren Nach Stimmen sortieren
SS2010

Ich stelle mal meine Lösungen ein wie ich es zum heutigen Kenntnisstand beantwortet habe. Wo Fragezeichen sind muss ich selber noch Lücken schließen. 😉. Wo kein Fragezeichen steht fühl ich mich relativ sicher, lass mich aber gerne korrigieren - Bitte darum!

Aufgabe 1
F benötigt Wirt
R
R
R
F passiv
F
R
F ?Unified Resource Locator

Aufgabe 2
R ist asymmetrisch
R
F ist symmetrisches Verfahren
F ist ein Hashfunktionsalgo
F schwach und stark
F Scherzfrage?
F mit seinem privatem
F mit Schlüssel der CA signiert

Aufgabe 3

a) Nein, weil

P 3/4 das 1 weiter Nachricht nicht gleichen h-wert hat
3/4 ^3 das 3 weiter nicht gleichen h-wert haben = 27/64
ist kleiner als 38/64 ...
Habe Nein gewählt, weil
Gegenwahrscheinlichkeit das einer gleichen h-wert hat
nur 1- (27/64) = nur 37/64 ist und Aufgabe min. 38/64 gefordert wurde...
wie seht ihr das?

b) ? Ja - Unsicher - Hashwert ist ja nur Prüfsumme und bildet beliebige Menge ab, theoretisch müsste es gehen sinn ist andere frage

Aufgabe 4
R
F? dient nur zum verkleinern
?
F das Ende org / de stimmt nicht
R ja weil path/ für alle gilt, zB index
?
?
R
R enthalten ja, werden aber nicht automatisch ausgeführt

Aufgabe 5

F
?
?
?
R
F
R
?

Aufgabe 6

R
R
F
F

Wie seht ihr das?
Sascha
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
sachkai,

private key = symmetrisch
public key = asymmetrisch
Aufgabe 1
-F benötigt Wirt
R benötigt keinen Wirt
R x^n
R
-F passiv
R kann auch passiv sein (siehe Kurstext S.13 unten)
R
-F Unified Resource Locator

Aufgabe 2
R ist symmetrisch/private key
R siehe Schaubild
R asymmetrisch, schwer zu knacken
-F ist ein Hashfunktionsalgo
-F sowohl schwach als auch stark
R siehe Aufgabe 3, das ist eine einfache Geburtstagsattacke
-F mit seinem privatem
-F mit privatem Schlüssel der CA signiert

Aufgabe 3
wie bei dir
b) es sollte egal sein, ob die Nachricht verschlüsselt ist oder nicht. Den Hashwert kann man auf beides berechnen und vergleichen.
 
Positive Stimme 0 Negative Stimme
xion

private key = symmetrisch
public key = asymmetrisch
Zum Vergrößern anklicken....

private key dient zum entschlüsseln im public-key-verfahren😉
..das symmetrische verfahren heißt doch secret-key-verfahren😛

R kann auch passiv sein (siehe Kurstext S.13 unten)
R
-F Unified Resource Locator
Zum Vergrößern anklicken....

stimmt mit dem passiv,- DANKE
.. klar das war unified😀RL .. united tz tz
Aufgabe 2
R ist symmetrisch/private key
R siehe Schaubild
R asymmetrisch, schwer zu knacken
-F ist ein Hashfunktionsalgo
-F sowohl schwach als auch stark
R siehe Aufgabe 3, das ist eine einfache Geburtstagsattacke
-F mit seinem privatem
-F mit privatem Schlüssel der CA signiert
Zum Vergrößern anklicken....

.. ja chiffre ist definitiv symmetrisch, schlumperfehler ... aber secret key
..zu 3 .. aber es gibt doch keine Geburtstagsattacke??? ... bei 3 geht es um die Wahrscheinlichkeit einer Kollission die immer mit dem Geburtstagsparadoxum verdeutlicht wird...

lg
Sascha
 
Positive Stimme 0 Negative Stimme
Aufgabe 4
R
-F dient nur zum Verkleinern
-F liegt zwischen Anwendungs- und Transportschicht
-F .org statt .de
R stimmt alles überein
? nicht mehr im Kurstext
? nicht mehr im Kurstext
R sollte man wissen
R embedded JavaScript, kann auch automatisch ausgeführt werden >>
https://wwwimages.adobe.com/www.ado...e/en/devnet/acrobat/pdfs/js_api_reference.pdf


Aufgabe 5
-F bloß nicht!
-F kann in -htaccess in JEDEM Verzeichnis separat geregelt werden
? nicht mehr im Kurstext
? nicht mehr im Kurstext
R
R im IP Paket liegen solche Informationen nicht vor
-F Eintrittswahrscheinlichkeit zu Auswirkung eines Risikos
-F erst die Sicherheitspolitik dann das Sicherheitskonzept
 
Positive Stimme 0 Negative Stimme
private key dient AUCH zum Verschlüsseln im public key Verfahren (asymmetrisch).
Die secret Key Verfahren (symmetrisch)heißen aber auch private key Verfahren (s.53 unten)
Ich meine nur, weil du es in Aufgabe 2 gleich 2x nicht korrekt benannt hast, einmal auch die Aufgabe nicht richtig(2.3)

Vergleich mal bitte die anderen auch.
Die scheinen auch was rausgenommen zu haben...
 
Positive Stimme 0 Negative Stimme
xion, ja auch 2.3 hast du recht
ich hab es mit AES verwechselt (hatte die matrix vor augen..)und da gibt es ja kein public key weil es ein symmetrisches Verfahren ist, daher ..
.. durch dein Hinweis s.53 weiss ich jetzt Bescheid,.... privat key hab ich immer mit asymmetrisch verbunden was ja auch stimmt, wusste nicht das secret-key-verfahren auch private key verfahren genannt wird...
 
Positive Stimme 0 Negative Stimme
Bin beruhigt, dass ich nicht auf dem Holzweg bin! 🙂

Aufgabe 6
R E-Port 24 ist nicht erlaubt
R E-IP 10.71.144.1 an Port 25 ist erlaubt, Regel 3
-F nur an die IPs und Ports in den 3 Regeln
-F es gäbe eine Einschränkung (nicht von Port 24) für den folgenden Filter
 
Positive Stimme 0 Negative Stimme
Edit: Bei paar Aufgaben lage ich falsch. Korrigierte Aufgaben die ich im nachhinein änderte, sind fett.

Heyho

Habe jetzt noch nicht eure Lösungen überprüft und jetzt einfach mal nach meinem Gefühl und Wikipedia/Skript-Hilfe die Fragen beantwortet. Hier meine Lösungen der Aufgaben 1-5 (A6 kommt Morgen) des Teils "Sicherheit im Internet" der Prüfung SS2010:


  1. F-R-R-R-F-R-F-F
  2. R-R-R-F-F-R(?)-F-F
  3. a) Nope b) Nope. Erklärung: "Nein, der HashWert der gecrypteten Nachricht des Senders ist nicht überprüfbar, da der Hash auf Empfängerseite nicht rekonstruiert werden kann (Er hat ja den privaten Schlüssel zum crypten/signieren der Daten nicht: Er kann den Hash zum validieren somit nicht entschlüsseln...). Somit ist die Authentizität nicht überprüfbar."
  4. R-F-F-F-R-F-R-R-F(Kommt das nicht auf das Plugin/Browser an?!)
  5. F-F-R-R(cat/cp sind genauso gut, bzw. jedes kleine Program mit den syscalls read() write() in deiner Lieblingsprogrammiersprache, insofern eine Schwachsinnige Frage...)-R-R-F-F
  6. Coming soon...
So far, hoffe ist nicht alles Falsch, ich schaue mir morgen mal eure Lösungen an und gleiche ab...
Niko


Edit:

Zu Aufgabe 1:
Warum sollte die TCP/IP Protokolle in Schichten organisiert sein?
Von mir aus kann man argumentieren, dass IP der Netzwerkschicht angehört und dass TCP der Transportschicht angehört und das insofern eine Hierarchie vorhanden ist (TCP baut auf IP auf, benutzt deren Funktion und kann somit den Transport ohne sich um die End-zu-End Verbindung zu kümmern betrachten). Aber wenn man von den Protokollen TCP/IP spricht, so meint man HTTP/DNS/SSH/TELNET/FTP/IMAP/POP3/SMTP/SOCKS/SSL und die sind (Bis auf SSL, was aber ne Ausnahme ist^^) logisch eigenständig und bauen untereinander nicht in Schichten auf. Man kann sie zusammen brauchen (HTTP ohne DNS ist äusserst unerquicklich beispielsweise) aber sie haben in der Regel keine Interdependenzen was eine Hierarchie rechtfertigen würde...
Aufgabe 3:
es sollte egal sein, ob die Nachricht verschlüsselt ist oder nicht. Den Hashwert kann man auf beides berechnen und vergleichen.
Zum Vergrößern anklicken....

Nein, es ist nicht egal. Der Empfänger kann den Hash-Wert nicht validieren, da er dafür den privaten Schlüssel des Senders bräuchte, um die Daten erst einmal zu verschlüsseln.: Hash_Sender := Hash(Encrypt_privateKey(Daten)). Der private Schlüssel ist aber gemäss Prinzip puplic Key Kryptographie nur dem Sender bekannt.
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
So, nun noch Aufgabe 6:

R-R-F-F

Aber zur letzen Kästchen-Aufgabe (das 4.te F): Praktisch gesehen kann man hier auch sagen, dass es Richtig ist, denn normalerweise binden normale Programme ihre Sockets nur an Absender-Ports >1000 (Über wireshark schön zu beobachten), also würde für praktisch alle Pakete diese Regel im Firewall das Verhalten nicht verändern...
 
Positive Stimme 0 Negative Stimme
Zu Aufgabe 7b)

Ich habe stark das Gefühl, dass der Korrigierende hier selbst nicht die Antwort auf seine eigene Frage weiss. Hier nochmals die Frage:
Weshalb benutzen moderne Betriebssysteme bei der Verschlüsselung der BenutzerPasswörter neben dem Passwort auch einen sog. Salt-Value?
Unter welchen Voraussetzungen hilft der Salt-Value auch dabei, das systematische Ausprobieren von Passwörtern durch Programme wie crack oder johnzu erschweren?
Zum Vergrößern anklicken....

Die Antwort:

Der Salt-Value verhindert, dass gleiche Passwörter verschiedener Benutzer den gleichen
verschlüsselten Wert ergeben. Richtig
Kann das Programm den Salt-Value nicht auslesen, so muss jedes Passwort mit jedem
möglichen Salt-Value verschlüsselt werden, was den Aufwand deutlich erhöht. Meiner Meinung nach Falsch.
Zum Vergrößern anklicken....
Wtf? Welches Programm ist gemeint? Hashcat, John the Ripper, Cain & Abel? Der Salt ist keine geheime Zusatzinformation und ist üblicherweise in der Datenbank and den Hash angehängt. Format: "Hash:Salt". Der Salt ist nicht dazu gedacht das Brute-Forcen oder systematische Durchgehen von Wörtbüchern zu erschweren. Zweck ist es Angriffen mit Rainbowtables entgegenzukommen (Rainbowtables sind vereinfacht gesagt riesig grosse vorberechnete Hashtabellen, z. B. des Alphabets [a-zA-Z0-9*#{}\[\]\$_], normalerweise mehrere TB gross, so dass das Bruten Forcen auf das abgleichen des zu crackenden Hashes mit den Rainbowtables reduziert wird. Hier kann man sich solche rainbowtables herunterladen: https://www.freerainbowtables.com/de/tables2/
 
Positive Stimme 0 Negative Stimme
Bei Aufgabe 2 hat sich dem Lehrstuhl allerdings ein Fehler eingeschlichen:
Stenografie vs Steganographie.
Zum Vergrößern anklicken....

steno... ha ha ha .. garnicht gelesen.. war bestimmt die autokorrektur .. ohhhh das musst ich auch mal lernen.. kann kein ding mehr, aber bei so mancher Klausur gleicht meine handschrift inzwischen Stenografie ...

..oh mann ich merk grad das das sicherheitsskript doch etlichen lernstoff hergibt.... ist zwar nur dünn .. aber ... pfffffffff ... viele details....
 
Positive Stimme 0 Negative Stimme
matraxx schrieb:
Ich bin grad etwa verwirrt über die vom Lehrstuhl bereitgestellte ML zur Klausur WS1213.
Bspw. Aufgabe 8, 9, 10, 12 und 13 kann ich die Thematiken im Kurstext gar nicht finden.
??? 😕
Zum Vergrößern anklicken....

Das muss die Klausur für die reinen Informatiker sein oder? Aufgaben 8-14 kamen mir auch völlig neu vor. Es steht auch dabei "Leistungsnachweisklausur"...

Woher genau habt ihr denn die ML zur Klausur WS1213?

Die Informatiker haben sogar noch einen eigenes "Sicherheit im Internet" Forum: https://www.studienservice.de/fernuni-hagen/forum/272/
 
Positive Stimme 0 Negative Stimme
vielleicht seid ihr so nett und verratet mir wo ihr die klausur her habt? ich habe nur die "Hauptklausur" vom 31.07.2010 inkl. Lösungen aber das scheint nichtmal ansatzweise die Klausur zu sein über die hier disskutiert wird? Danke. 🙂
Und gibts da wo die Klausur herkommt nocht mehr?
 
Positive Stimme 0 Negative Stimme
Ich hab gerade gesehen, dass bei Aufgabe 2.2 Feistel-Netzwerk nicht Feistel-Verschlüsselung steht.

Wiki hat mich aufgeklärt dass das eine alternative Bezeichnung ist. Hätte dann aber auch mal im Skript genannt werden können.

Wenn plötzlich eine anderen Terminologie in der Prüfung verwendet wird ist das schon verwirrend. Würde bei Netzwerk erstmal zögern... häää..was n für n Netzwerk??
Kann ich Wiki mit zur Prüfung nehmen?🙄 😛
 
Positive Stimme 0 Negative Stimme
@Nikolai_
Würde nochmal 3b aufgreifen...

Nein, es ist nicht egal. Der Empfänger kann den Hash-Wert nicht validieren, da er dafür den privaten Schlüssel des Senders bräuchte, um die Daten erst einmal zu verschlüsseln.: Hash_Sender := Hash(Encrypt_privateKey(Daten)). Der private Schlüssel ist aber gemäss Prinzip puplic Key Kryptographie nur dem Sender bekannt
Zum Vergrößern anklicken....

Wie sicher bist du dir dabei und woher weißt du es. Ich finde im Web und im Skript keine Antwort.
Encrypt_privateKey(Daten) ist ein Verschlüsselter Text...

Klartext: Hallo zu meinetwegen Verschlüssel: fs!0H

Warum soll Hash(fs!0H) nicht funktionieren? Der Hashwert ist ja nicht mit dem privaten Verschlüsselt, er wird nur anghängt und kann dann darauf angewendet werden...

Eine Hashfunktion verarbeitet doch einfach einen Input - egal ob arabisch griechisch oder eben irgendwas.. sind ja alles nur Zahlenwerte die Buchstaben repräsentieren.
Warum also Nein??
 
Positive Stimme 0 Negative Stimme
Bin mit Nikolai einverstanden..
Bei asymmetrischer Verschlüsselung hat der Empfänger (und nur der) bereits den zum Entschlüsseln benötigten privaten Schlüssel. Der Absender bekommt den zum Verschlüsseln benötigten öffentlichen Schlüssel.

Somit "F" bei SS2010 3B
 
Zuletzt bearbeitet:
Positive Stimme 0 Negative Stimme
Paulch7780

Bin mit Nikolai einverstanden..
Bei asymmetrischer Verschlüsselung hat der Empfänger (und nur der) bereits den zum Entschlüsseln benötigten privaten Schlüssel. Der Absender bekommt den zum Verschlüsseln benötigten öffentlichen Schlüssel.
Somit "F"
Zum Vergrößern anklicken....

..wenn du jetzt noch verraten würdest, von welcher Aufgabe du sprichst, könnte man sich mit dem Beitrag auseinander setzen
 
Positive Stimme 0 Negative Stimme
saschkai schrieb:
@Nikolai_
Würde nochmal 3b aufgreifen...
Wie sicher bist du dir dabei und woher weißt du es. Ich finde im Web und im Skript keine Antwort.
Encrypt_privateKey(Daten) ist ein Verschlüsselter Text...

Klartext: Hallo zu meinetwegen Verschlüssel: fs!0H

Warum soll Hash(fs!0H) nicht funktionieren? Der Hashwert ist ja nicht mit dem privaten Verschlüsselt, er wird nur anghängt und kann dann darauf angewendet werden...

Eine Hashfunktion verarbeitet doch einfach einen Input - egal ob arabisch griechisch oder eben irgendwas.. sind ja alles nur Zahlenwerte die Buchstaben repräsentieren.
Warum also Nein??
Zum Vergrößern anklicken....

Doch, der Hashwert wird, wie in der Aufgabe gesagt, eben genau auf die mit dem privaten Schlüssel verschlüsselten Daten angewendet. Lest doch alle mal durch, wie digitale Signatur normalerweise funktioniert: https://de.wikipedia.org/wiki/Digitale_Signatur#Das_Grundprinzip

Bei der Aufgabe erhält der Empfänger nun die Klartextdaten und den Hash. Normalerweise würde der Empfänger nun einfach den Hash mit seinem öffentlichen Schlüssel entschlüsseln [Siehe Wikipedia]. Aber genau dies macht jetzt keinen Sinn, denn es handelst sich ja um überhaupt keinen verschlüsselten Hash, sondern einfach um den Hash der verschlüsselten Daten!!! Würde er trotzdem den Hash zu entschlüsseln versuchen, würde er einfach Müll herausbekommen, und keinen Hash, der zur Verifikation benutzt werden kann... Also hat der Empfänger keine Möglichkeit zu überprüfen, dass der private Schlüssel auf die Daten angewendet wurden, da er seinen öffentlichen Schlüssel ja nirgends benutzen kann. Und die Verbindung zwischen öffentlichem Schlüssel und privaten Schlüssel determiniert ja gerade die Integrität der Nachricht...

Ich hoffe das macht irgendwie Sinn, ich bin mir auch nicht zu 100% sicher, aber ich denke das müsste so schon hinhaun...

send photo
 
Positive Stimme 0 Negative Stimme
Doch, der Hashwert wird, wie in der Aufgabe gesagt, eben genau auf die mit dem privaten Schlüssel verschlüsselten Daten angewendet. Lest doch alle mal durch, wie digitale Signatur normalerweise funktioniert: https://de.wikipedia.org/wiki/Digitale_Signatur#Das_Grundprinzip
Zum Vergrößern anklicken....

hey nikolai, will das thema nicht kleinreden, muss ja auch noch was lernen,..aber bezogen auf signaturen, bei denen der hash verschlüsselt ist, ist klar dass man den schlüssel benötigt..

aber eine hasfunktion muss nicht verschlüssel sein. ..

ich denke eine hasfunktion kann auf jeden eingabewert angewandt werden... ein verschlüsselungen machen letztlich aus einem zahlenwert ja nur einen anderen zahlenwert durch Verschiebung, tauschen oder Verknüpfung.... das ist aber der hashfunktion egal.. Beispiel :

Die einstellige Quersumme ist eine einfache Hashfunktion. Sie ordnet einer beliebigen Zahl eine einstellige Zahl zu, so wird beispielsweise
8e296a067a37563370ded05f5a3bf3ec.png
auf
7ed7875559005f3eddc364e65e2362b4.png
abgebildet. (aus 18 1+8=9... aus u.s.w)

Der Hashfunktion ist doch egal ob die 25 in Wahrheit eine 11 ist die zuvor verschlüsselt wurde. Ich muss nicht entschlüsseln wofür die 25 steht um mit der Hasfunktion zu prüfen ob die nachricht verändert wurde...

hätte denk ich 1 punkt gegeben.. deshalb fast scho egal zumindest für die Prüfung ..
nur nicht für die 1 mit *
 
Positive Stimme 0 Negative Stimme
saschkai schrieb:
hey nikolai, will das thema nicht kleinreden, muss ja auch noch was lernen,..aber bezogen auf signaturen, bei denen der hash verschlüsselt ist, ist klar dass man den schlüssel benötigt..
Zum Vergrößern anklicken....

Genau, hierbei handelt es sich um den Normalfall wie bei Wikipedia schön in dem Bild illustriert.

saschkai schrieb:
aber eine hasfunktion muss nicht verschlüsselt sein. ..

ich denke eine hasfunktion kann auf jeden eingabewert angewandt werden... ein verschlüsselungen machen letztlich aus einem zahlenwert ja nur einen anderen zahlenwert durch Verschiebung, tauschen oder Verknüpfung.... das ist aber der hashfunktion egal.. Beispiel :

Die einstellige Quersumme ist eine einfache Hashfunktion. Sie ordnet einer beliebigen Zahl eine einstellige Zahl zu, so wird beispielsweise
8e296a067a37563370ded05f5a3bf3ec.png
auf
7ed7875559005f3eddc364e65e2362b4.png
abgebildet. (aus 18 1+8=9... aus u.s.w)

Der Hashfunktion ist doch egal ob die 25 in Wahrheit eine 11 ist die zuvor verschlüsselt wurde. Ich muss nicht entschlüsseln wofür die 25 steht um mit der Hasfunktion zu prüfen ob die nachricht verändert wurde...
Zum Vergrößern anklicken....
Hash kannst du auf alle Daten, also generell auf Bitstrings, Bytes, in welcher Kodierung auch immer, anwenden. Aber in diesem Fall ist eher die Eigenschaft der Hashfunktion wichtig, nämlich dass ein gewisser Input einen mit einer grossen Wahrscheinlichkeit eindeutigen Output generiert. Umgekehrt aber man kann vom Output nicht auf den Input schliessen.

Ich denke ich weiss worauf du hinauswillst. Es spielt tatsächlich keine Rolle worauf man den Hash anwendet, solange man eben selbst den Hash auf die Daten anwenden kann um dann den vom Sender übermittelten Hash mit dem eigenen erstellten Hash zu vergleichen. Der Hash muss aber verschlüsselt sein, da sonst ein MitM-Angreifer einfach Daten&Hash ändern könnte und anstatt der Originaldaten zu schicken. Dann hätte man keinen Anhaltspunkt die Integrität/Authentizität der Daten zu überprüfen.

Also:
  • Hash ist nur ein Fingeprint, quasi eine Kurzerkennung für Daten.
  • Asymmetrisches Kryptosystem garantiert Vertraulichkeit/Integrität/Zuordbarkeit.
Eigentlich bräuchte man den Hash in dem Verfahren überhaupt nicht. Es ist halt einfacher, da man nicht die gesamten Daten verschlüsseln muss...

Habe ich deine Frage so beantwortet? Irgendwie habe ich das Gefühl, dass wir aneinander vorbei babbeln :/
 
Positive Stimme 0 Negative Stimme
Antworten

Weiter lesen

Redaktion
  • Featured
  • Frage Frage
Termine Modul 32741 Vertiefung der Wirtschaftsmathematik und Statistik
Antworten
0
Aufrufe
15
Redaktion
Redaktion
Redaktion
  • Featured
  • Frage Frage
SS 24 EA-Termine Klausur Modul 31041 Mikroökonomik
Antworten
0
Aufrufe
8
Redaktion
Redaktion
Redaktion
  • Featured
  • Frage Frage
SS 24 Termine Klausur Modul 31591 Unternehmensnachfolge
Antworten
0
Aufrufe
9
Redaktion
Redaktion
Redaktion
  • Featured
  • Frage Frage
SS 24 Termine Klausur Modul 31021 Investition und Finanzierung
Antworten
0
Aufrufe
14
Redaktion
Redaktion
Redaktion
  • Featured
  • Frage Frage
SS 24 Termine Modul 31721 Markt und Staat
Antworten
0
Aufrufe
7
Redaktion
Redaktion
Oben