[1866] Einsendearbeit 3

[1866] Einsendearbeit 3 /

Hi,

hier meine Überlegungen zur EA 3.

Aufgabe 1)

1.

Leider ist mir nicht bekannt ob alle Betriebssysteme über einen Zufallsgenerator verfügen aber falls es einige gäbe würde PGP keine „session keys“ berechnen können. PGP wäre somit nicht auf allen Betriebssystemen lauffähig.

2.

Viele Zufallsgeneratoren sind nur sogenannte „Pseudo-Zufallsgeneratoren“. D.h. es wird z.B. eine solche Zahl mittels deterministischer Algorithmen ausgehend von einem echt zufällig gewählten Startwert berechnet. Diese Art von „Zufallszahl“ wäre nicht sehr sicher und kann daher auch keine Grundlage für eine Verschlüsselung sein.



Aufgabe 2)


Laut dem Skript Seite 114 fasst die Codierung jeweils drei Bytes zusammen. Die so entstandenen 24 Bit werden nun in vier Sechsergruppen geteilt. Jede mögliche Sechsergruppe wird fest auf ein be-stimmtes ASCII Zeichen abgebildet. Aus drei uncodierten Bytes werden so vier codierten Bytes, die garantiert korrekt übertragen werden.


Die Menge der zu übertragenden Daten ist um 1/3 (33 %) erhöht worden durch die base64 Codierung.

Aufgabe 3)


PGP-Schlüssel:

Ein PGG-Schlüssel ist ein asymmetrischer Schlüssel bestehend aus einem privaten und einem öffentlichen Schlüssel. Beide wurden vom Schlüsselinhaber selber generiert. Der öffentliche Schlüssel muss nun potentiellen Kommunikationspartnern zur Verfügung gestellt werden. Dies kann über einen speziellen Schlüsselserver, eine Homepage oder per E-Mail passieren.


Falls nun jemand mit dieser Person die den Schlüssel erstellt hat kommunizieren will muss vorher geprüft werden ob der öffentliche Server auf z.B. dem Schlüsselserver auch tatsächlich von der entsprechenden Person kommt. Hierzu kann man die Person anrufen oder aber auch, falls vorhanden, die Signaturen dieses Schlüssels anschauen. Der Schlüssel ist i.d.R. von Personen signiert die die Identität des Schlüsseleigentümers geprüft haben. Falls bei den Signaturen hinreichend vertrauenswürdige Personen dabei sind kann darauf vertraut werden, dass der öffentliche Schlüssel der richtigen Person zuzuordnen ist.

X.509 Zertifikat:

Diese Zertifikate von einer Zertifizierungsstelle ausgegeben. Diese Zertifizierungsstelle hat einen öffentlichen Schlüssel und kann so vom evtl. Kommunikationspartner identifiziert werden. Nun kann der Kommunikationspartner mittels des digitalen Fingerabdrucks die Echtheit des Zertifikats prüfen.

Gemeinsamkeiten:

Sowohl Schlüssel wie auch Zertifikat werden von einer vertrauenswürdigen Institution oder Person signiert und damit als Vertrauenswürdig gekennzeichnet

Der öffentliche Schlüssel muss den Kommunikationspartner bekannt sein


Wesentlicher Unterschied:

PGP-Schlüssel:

Ein PGG-Schlüssel ist ein asymmetrischer Schlüssel bestehend aus einem privaten und einem öffentlichen Schlüssel. Beide wurden vom Schlüsselinhaber selber generiert. Der öffentliche Schlüssel muss nun potentiellen Kommunikationspartnern zur Verfügung gestellt werden. Dies kann über einen speziellen Schlüsselserver, eine Homepage oder per E-Mail passieren.

Falls nun jemand mit dieser Person die den Schlüssel erstellt hat kommunizieren will muss vorher geprüft werden ob der öffentliche Server auf z.B. dem Schlüsselserver auch tatsächlich von der entsprechenden Person kommt. Hierzu kann man die Person anrufen oder aber auch, falls vorhanden, die Signaturen dieses Schlüssels anschauen. Der Schlüssel ist i.d.R. von Personen signiert die die Identität des Schlüsseleigentümers geprüft haben. Falls bei den Signaturen hinreichend vertrauenswürdige Personen dabei sind kann darauf vertraut werden, dass der öffentliche Schlüssel der richtigen Person zuzuordnen ist.

X.509 Zertifikat:

Diese Zertifikate von einer Zertifizierungsstelle ausgegeben. Diese Zertifizierungsstelle hat einen öffentlichen Schlüssel und kann so vom evtl. Kommunikationspartner identifiziert werden. Nun kann der Kommunikationspartner mittels des digitalen Fingerabdrucks die Echtheit des Zertifikats prüfen.

Gemeinsamkeiten:

Sowohl Schlüssel wie auch Zertifikat werden von einer vertrauenswürdigen Institution oder Person signiert und damit als Vertrauenswürdig gekennzeichnet.

Der öffentliche Schlüssel muss den Kommunikationspartner bekannt sein.

Wesentlicher Unterschied:

Ein Zertifikat wird von einer Institution generiert und der PGP-Schlüssel vom Benutzer selber.

Rest folgt....

Mfg Frank
 
Aufgabe 4)

Man kann sich das Zertifikat der Bank anschauen und dieses müsste die gefälschte Homepage nicht aufweisen können. (bin mir da nicht so sicher...)


Aufgabe 5)


a) Set-Cookie: studenta; path=/news; domain=xyz.com
b) Set-Cookie: studentb; path=/www; domain=www.xyz.com
c) Set-Cookie: studentb; path=/www; domain=www.xyz.com
d) Set-Cookie: studenta; path=/news; domain=xyz.com




Mfg Frank
 
Aufgabe 5)

a) Set-Cookie: studenta; path=/news; domain=xyz.com
b) Set-Cookie: studentb; path=/www; domain=www.xyz.com
c) Set-Cookie: studentb; path=/www; domain=www.xyz.com
d) Set-Cookie: studenta; path=/news; domain=xyz.com

Mfg Frank

also 1) 2) 3) und 4) entsprechen auch meiner Lösung.

bei 5b) bin ich anderer Meinung.. Aus meiner Sicht überträgt der Browser hier keinen der beiden Cookies.
da, Cookie 1 falschen "path" und Cookies 2 die falsche "domain" enthält.

Grüße.
Uli
 
A) xyz.com
Cookie: usera=studenta; path=/news.xyz.com/news; domain=xyz.com;
b) xyz.com
Cookie: usera=studenta; path=/news.xyz.com/www; domain=xyz.com;
c) xyz.com
Cookie: userb=studentb; path=/www.xyz.com/www; domain=www.xyz.com;
d) xyz.com
Cookie: userb=studentb; path=/www.xyz.com/news; domain=www.xyz.com;
Cookie: usera=studenta; path=/news; domain=www.xyz.com;


mit freundlichen Grüssen...
 

Danke für den Link.


Aufgabe 5)

zu a)

unstrittig

zu b)

Da muss ich mich wohl korrigieren. Wegen der falschen Path Variablen (/www) kann "studentb" nicht kommen. "studenta" kann wegen der falschen Domain nicht kommen (xyz.com statt news.xyz.com). Diese Meinung entspricht der Lösung von TheULi.

zu c)

unstrittig

zu d)

Da bin ich mir unsicher. Muss bei path=/www im Cookie der HTTP Request diese Form ..../www oder diese Form ..../www haben?

Mfg Frank
 
Hallo,

ich habe ähnliche Antworten.
Allerdings würde ich bei den Antworten lediglich folgendes Angeben:
a) usera=studenta
b) -
c) userb=studentb
d) usera=studenta

Die Cookies wurden ja bereits gesetzt und werden lediglich abgerufen.
Daher ist das "Set-Cookie" aus meiner Sicht falsch.
 
Top