Angewandte Informationssicherheit - Cheatsheet

Symmetrische und asymmetrische Verschlüsselungsalgorithmen

Definition:

Symmetrische Verschlüsselung: gleicher Schlüssel für Ver- und Entschlüsselung. Asymmetrische Verschlüsselung: Paar aus öffentlichem und privatem Schlüssel.

Details:

• Symmetrische Algorithmen: DES, AES
• Asymmetrische Algorithmen: RSA, ECC
• Symmetrisch: schneller, aber Schlüsselverteilung problematisch
• Asymmetrisch: langsamer, aber löst Problem der Schlüsselverteilung
• Symmetrische Verschlüsselung: \( c = E(k, m) \)
• Asymmetrische Verschlüsselung: \( c = E_{\text{öffentlich}}(m) \)
• Hybride Verschlüsselung oft verwendet: Kombination aus beiden Methoden

Firewall-Typen und ihr Einsatz

Definition:

Firewall-Typen und deren Nutzung zur Netzwerksicherheitsverwaltung.

Details:

• Paketfilter-Firewall: Prüft Pakete basierend auf Quell-/Ziel-IP und Ports.
• Zustandsorientierte Firewall: Erkennt und bearbeitet Zustände von Netzwerkverbindungen.
• Anwendungs-Gateway-Firewall: Setzt Sicherheitsmaßnahmen auf Anwendungsebene durch.
• Next-Generation-Firewall (NGFW): Vereint klassische Firewalls mit zusätzlichen Sicherheitsfunktionen wie DPI, IPS und IDS.
• Einsatz: Absicherung von Netzwerken, Schutz vor unerwünschten Zugriffen und Angriffen.

Sichere Protokolle wie SSL/TLS

Definition:

SSL/TLS sind kryptografische Protokolle zur sicheren Kommunikation über ein Computernetzwerk, und verhindern Abhör- und Man-in-the-Middle-Angriffe.

Details:

• SSL (Secure Sockets Layer) und TLS (Transport Layer Security) verschlüsseln Daten zwischen Client und Server.
• Verwendet Asymmetrische Verschlüsselung (\text{RSA}, \text{ECC}) für Schlüsselaustausch und Symmetrische Verschlüsselung (\text{AES}, \text{RC4}) für Daten.
• Integritätsprüfung mittels HMAC.
• Versionskompatibilität: \text{TLS 1.2}, \text{TLS 1.3}
• Erforderlich für HTTPS.
• Zertifikatsbasierte Authentifizierung: \text{X.509}-Zertifikate.
• Schutz vor MITM, Replays, und IPSec Umständen

Risikomanagement und -bewertung

Definition:

Prozess zur Identifikation, Bewertung und Kontrolle von Risiken in Informationssystemen.

Details:

• Risiko = Bedrohung x Schwachstelle x Auswirkung
• Ziele: Minimierung von Risiken, Schutz vor Bedrohungen, Sicherstellung der Verfügbarkeit
• Schritte im Risikomanagement:
• Risikoidentifikation
• Risikobewertung
• Risikoanalyse
• Risikobehandlung
• Überwachung und Überprüfung
• Methoden zur Bewertung: qualitative und quantitative Analyse
• Formel: R = T \times V \times C

Authentifizierungsprotokolle wie Kerberos

Definition:

Authentifizierungsprotokoll, das symmetrische Kryptographie verwendet, um sichere Identität zu gewährleisten.

Details:

• Verwendet Tickets, um Authentifizierungsinformationen zu speichern.
• Schritte: Anmeldung bei KDC, Erhalt eines TGT, Zugriff auf Dienstleistungen.
• TGT: Ticket-Granting Ticket
• KDC: Key Distribution Center
• Enthält Zeitstempel und ist zeitlich beschränkt.
• Stark gegen Replay-Angriffe geschützt.

EU-Datenschutz-Grundverordnung (DSGVO)

Definition:

EU-Gesetz zur Regulierung der Verarbeitung personenbezogener Daten.

Details:

• Gilt seit dem 25. Mai 2018
• Ziel: Schutz der Privatsphäre und personenbezogener Daten natürlicher Personen
• Einheitliche Regeln innerhalb der EU
• Rechte der betroffenen Personen: Auskunftsrecht, Recht auf Löschung, Recht auf Datenübertragbarkeit
• Verpflichtungen für Unternehmen: Datenschutz-Folgenabschätzung, Datenschutzbeauftragter, Meldepflicht bei Datenpannen
• Strafen: Bußgelder bis zu 20 Mio. € oder 4 % des weltweiten Jahresumsatzes

Eigenschaften sicherer Protokolle: Vertraulichkeit, Integrität und Authentizität

Definition:

Vertraulichkeit, Integrität und Authentizität sind grundlegende Sicherheitsziele in der Informationssicherheit, die sicherstellen, dass Daten geschützt, unverändert und authentifiziert sind.

Details:

• Vertraulichkeit: Nur autorisierte Personen dürfen auf die Daten zugreifen. Erreicht durch Verschlüsselung. Formel: \(C = E_K(P)\), wobei \(C\) der verschlüsselte Text, \(E\) die Verschlüsselungsfunktion, \(K\) der Schlüssel und \(P\) der Klartext ist.
• Integrität: Sicherstellung, dass Daten während der Übertragung oder Speicherung nicht unautorisiert verändert werden. Erreicht durch Hash-Funktionen (z.B. SHA-256). Formel: \(H = H(P)\), wobei \(H\) der Hashwert und \(P\) der Datenblock ist.
• Authentizität: Verifizierung der Identität der Kommunikationspartner und der Quelle der Daten. Erreicht durch digitale Signaturen. Formel: \(S = \text{Sign}_K(P)\), wobei \(S\) die Signatur, \(K\) der private Schlüssel und \(P\) der zu signierende Klartext ist.

Aktuelle Trends und Entwicklungen in der Kryptographie

Definition:

Übersicht über zeitgenössische Phänomene und Fortschritte in der Kryptographie. Fokussiert auf neueste Protokolle, Algorithmen und Sicherheitsmodelle.

Details:

• Post-Quanten-Kryptographie: Neue Algorithmen zur Sicherung gegen Quantencomputer, z. B. lattice-basierte Kryptographie.
• Homomorphe Verschlüsselung: Ermöglicht Berechnungen auf verschlüsselten Daten ohne vorherige Entschlüsselung.
• Blockchain und Kryptowährungen: Dezentralisierte Systeme und Konsensmechanismen für sichere Transaktionen.
• Zero-Knowledge-Beweise: Mechanismen zur Verifikation, ohne dem Prüfer zusätzliche Informationen zu geben.
• Verfahren zur Seiteneffekt-Sicherheit: Schutzmechanismen gegen Seitenkanalangriffe und andere nicht-triviale Angriffsszenarien.
• Algorithmische Optimierungen: Effizienzsteigerungen für klassische und moderne kryptographische Verfahren.