Sicherheit im Internet – 1866

Einsendeaufgaben zur Kurseinheit 3

Lehrgebiet Parallelität & VLSI

Lösungsvorschläge

Inhaltsverzeichnis
Aufgabe 1 – Sichere E-Mail im Internet (10 Punkte) 2

Aufgabe 2 – Sicheres Surfen im Internet (10 Punkte) 4

Aufgabe 3 – Zugriff auf entfernte Rechner (10 Punkte) 6

Aufgabe 4 – Anonymität im Internet (10 Punkte) 8

1
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Aufgabe 1 – Sichere E-Mail im Internet ( / 10 Punkte)

a) Füllen Sie die Lücken in folgender Abbildung zum Ablauf beim digitalen Signieren mit
PGP:

Nachricht N

|
verschlüsseln key Absender

Nachricht versenden

Nachricht evtl.

noch verschlüsseln

b) Erklären Sie die grundsätzlichen Gemeinsamkeiten von und den wesentlichen Unterschied
zwischen PGP-Schlüsseln und X.509 Zertifikaten.

Gemeinsamkeiten: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

........................................................................................

........................................................................................

........................................................................................

Unterschiede: . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .

........................................................................................

........................................................................................

........................................................................................
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Lösungsvorschläge Aufgabe 1

a) (je korrekt gefüllter Lücke 12 P., max. 4)

Nachricht N Hash H(N)

asymmetrisch private key

Nachricht N | DS
verschlüsseln Absender

komprimieren DS

Nachricht versenden
(N|DS).zip

Nachricht evtl.

noch verschlüsseln

b) (Gemeinsamkeiten 3P., Unterschiede 3P., max 6)

Gemeinsamkeiten: PGP-Schlüssel und X.509-Zertifikate haben beide den Zweck, einen
öffentlichen Schlüssel eindeutig einem Subjekt (meistens einer Person) zuzuordnen. In ei-
nem Datensatz stehen also die Identifizierungsdaten des Subjekts, der öffentliche Schlüssel
und Verwaltungsinformationen.
Solche Datensätze kann natürlich jedermann erstellen. Damit man den Angaben in die-
sem Datensatz vertrauen kann ist der Datensatz digital signiert.
Unterschiede: Bei einem PGP-Schlüssel kann jeder PGP-Benutzer den Schlüssel unter-
schreiben und somit bestätigen, daß der Schlüssel tatsächlich zum angegebenen Subjekt
gehört. Auch kann der Schlüssel viele solcher Unterschriften tragen. Inwieweit nun je-
mand diesen Unterschriften traut, muß derjenige selbst wissen.
Bei X.509-Zertifikaten trägt der Datensatz nur eine Unterschrift, die der Zertifizierungs-
stelle. Systembedingt kann man einer Zertifizierungsstelle nun trauen, z. B. weil sie kon-
form zum Signaturgesetz arbeitet.
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Aufgabe 2 – Sicheres Surfen im Internet ( / 10 Punkte)

a) Mit Hilfe von TLS soll eine sichere Verbindung zwischen zwei Parteien (engl.peers) eta-
bliert werden. Der Initiator der Verbindung wird Client genannt, das andere Ende der
Verbindung ist dann der Server. Nennen Sie die Schutzziele, die mit TLS erreicht werden
sollen und beschreiben kurz, wie sie durch TLS erreicht werden können!

• ......................................................................................

........................................................................................

........................................................................................

........................................................................................

• ......................................................................................

........................................................................................

........................................................................................

........................................................................................

• ......................................................................................

........................................................................................

........................................................................................

........................................................................................

b) Um diese Schutzziele zu erreichen sind in TLS zwei wichtige Komponenten realisiert,

nennen und beschreiben Sie diese Komponenten kurz:

• ......................................................................................

........................................................................................

• ......................................................................................

........................................................................................
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Lösungsvorschläge Aufgabe 2

a) (je korrekt genanntem Ziel 1P., je korrekter Beschreibung 1P., max. 6)

• Authentizität: Der Server wird immer authentisiert, der Client kann authentisiert
werden. Die erlaubten Authentisierungsverfahren sind asymmetrische Verschlüsselung
(konkret werden digitale Signaturen geprüft) oder Authentisierung mit einem vorab
vereinbarten symmetrischen Schlüssel (engl. pre shared key (PSK)).
• Vertraulichkeit: Nachdem die TLS-Verbindung aufgebaut ist werden die Daten nur
noch verschlüsselt ausgetauscht. Angreifer können nur noch die Menge der ausge-
tauschten Daten beobachten, aber keine Inhalte mitlesen.
• Integrität: Falls ein Angreifer die verschlüsselten Daten manipuliert, also einzelne
Bits im Wert verändert, so bemerken Client und Server das.

b) (je korrekt genannter Komponente 1P., je korrekter Beschreibung 1?., max. 4)

• Mit dem TLS handshake protocol authentisieren sich die peers, sie handeln aus wel-
ches Verschlüsselungsverfahren sie benutzen wollen und welche Sitzungsschlüssel
eingesetzt werden.
• Das TLS record protocol beschreibt nun, wie die Anwendungsdaten in eine Folge
von records (das im RFC benutzte Wort für eine Art Block) aufgeteilt werden und
wie diese Records mit den im handshake ausgehandelten Parametern verschlüsselt
werden und wie die Integrität sichergestellt wird.
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Aufgabe 3 – Zugriff auf entfernte Rechner ( / 10 Punkte)

a) Nennen Sie die vier im Kurstext vorgestellten Komponenten, bzw. Teile des SSH-Protokolls
und beschreiben eine von ihnen kurz:

• ......................................................................................

• ......................................................................................

• ......................................................................................

• ......................................................................................

........................................................................................

........................................................................................

........................................................................................

b) SSH-Ablauf: Als erstes einigen sich Client und Server auf Verschlüsselungs-Algorithmen,
Hash-Algorithmen und passende Schlüsselaustauschverfahren. Was wird in der Regel
benutzt, um ein gemeinsames Geheimnis g auszuhandeln?

........................................................................................

c) Wie kann man bei VNC Authentisierung und die Gewährleistung von Vertraulichkeit
gewährleisten?

........................................................................................

........................................................................................

d) Wie heißt das Microsoft-eigene Protokoll für den Zugriff auf Programme, die auf einem
entfernten MS-Windows Server laufen?

........................................................................................

e) Warum sollte man für den Zugriff auf entfernte Rechner nicht telnet benutzen?

........................................................................................

........................................................................................
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Lösungsvorschläge Aufgabe 3

a) (je korrekt genannter Komponente 1P., eine korrekte Erläuterung 1P., max. 5)
1. Das SSH Transport Layer Protokoll (SSH-TRANS). Diese Komponente ist für das Aus-
handeln von Verschlüsselungs- oder Hash-Algorithmen zuständig. Weiterhin findet hier
die Authentisierung des Servers statt und für den Datentransport werden in diesem Teil
die Operationen wie Komprimierung, Verschlüsselung und Integritätssicherung durch-
geführt.
2. Das SSH Authentication Protocol (SSH-AUTH). Dieser Teil befasst sich mit der Au-
thentisierung der Clients. Hierzu bietet das Protokoll verschiedene Verfahren an, z. B.
Authentisierung mit Benutzerkennung und Passwort oder Authentisierung mit asym-
metrischen Schlüsselpaaren (RSAAuthentisierung). Außerdem ist hier auch spezifiziert,
wie man weitere Authentisierungsverfahren an SSH anbinden kann.
3. Das SSH Connection Protokoll (SSH-CONN). Mit Hilfe dieser Komponente können
neben einer sicheren Shell-Verbindung auch zusätzliche Tunnel“ realisiert werden. Ein
”
Tunnel ist wie ein virtueller Kanal (engl. channel), durch den – parallel zu den Shell-
Kommandos – auch andere Daten sicher übertragen werden können.
4. Das SSH File Transfer Protocol (SSH-SFTP). Hier sind die Mechanismen zum siche-
ren Kopieren von Dateien, bzw. für den sicheren Zugriff auf ein entferntes Dateisystem
realisiert.

b) (1P.)
Diffie-Hellmann

c) (1P.)
Weil VNC über eine Portnummer erreichbar ist, kann man es einfach mit SSH kombi-
nieren und dadurch eine sichere Authentisierung und die Gewährleistung der Vertrau-
lichkeit erreichen. Dazu muss auf dem entfernten Rechner (also dem Rechner mit dem
VNC-Server) auch ein SSH-Server laufen.

d) (1P.)
Remote Desktop Protocol (RDP)

e) (2P.)
Für den Zugriff auf entfernte Rechner sollte man niemals telnet benutzen, weil hier Be-
nutzerkennung, Passwort und alle Daten unverschlüsselt übertragen werden.
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Aufgabe 4 – Anonymität im Internet ( / 10 Punkte)

a) Nennen und beschreiben Sie die im Kurstext genannten Formen der Anonymität, die bei
der Kommunikation zwischen zwei Parteien auftreten.

• ......................................................................................

........................................................................................

........................................................................................

• ......................................................................................

........................................................................................

........................................................................................

• ......................................................................................

........................................................................................

........................................................................................

b) Erläutern Sie die Begriffe Rollenpseudonym und Beziehungspseudonym und arbeiten

Sie dabei den Unterschied zwischen beiden heraus.

• ......................................................................................

........................................................................................

........................................................................................

........................................................................................

• ......................................................................................

........................................................................................

........................................................................................

........................................................................................
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

c) Beim Surfen im Internet hinterlässt jeder Benutzer Spuren. In den Protokolldateien der
Webserver stehen Informationen über den Aufrufer der einzelnen Seiten.
In diesem Protokoll finden sich welche Informationen?

• ......................................................................................

• ......................................................................................

• ......................................................................................

• ......................................................................................

• ......................................................................................

• ......................................................................................

d) Ist es möglich, dass ein Webserver einer Firma Informationen darüber besitzt, welche
Händler ein Kunde im Internet besucht hat, ohne, dass der Kunde jemals selber diesen
Webserver besucht hat? Begründen Sie Ihre Antwort!

........................................................................................

........................................................................................

........................................................................................

........................................................................................

........................................................................................
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

Lösungsvorschläge Aufgabe 4

a) (3P.)
Senderanonymität: Hierbei tritt der Absender einer Nachricht anonym auf. Ein klassi-
sches Beispiel hierfür ist der Anruf bei einer Beratungsstelle. In der IT-Welt nennt man
diese Form auch Client-Anonymität.
Empfängeranonymität: In dieser Form bleibt der Empfänger einer Nachricht namenlos.
Chiffreanzeigen in Zeitungen sind die klassische“ Ausprägung dieser Anonymität. In
”
der IT-Welt spricht man auch von Server-Anonymität.
Komplette Anonymität: Hier bleiben Sender und Empfänger ohne Namen.

b) (2P.)
Ein Rollenpseudonym wird von einer Person immer dann benutzt, wenn sie sich in der
zugehörigen Rolle befindet. Dabei ist es egal, wer die Kommunikationspartner sind. Vie-
le Leute, die gerne an Fantasy-Rollenspielen teilnehmen, benutzen in dieser Rolle stets
dasselbe Pseudonym.
Ein Beziehungspseudonym wäre ein Name, den eine Person immer einem bestimmten
Kommunikationspartner gegenüber benutzt. In diesem Fall ist es egal, in welcher Rolle
die Person sich befindet.

c) (je korrekter Nennung 21 P., max. 3)

• IP-Adresse des aufrufenden Rechners
• Falls eine HTTP-Authentisierung stattgefunden hatte, dann auch die Benutzerkennung
des Aufrufers
• Datum und Uhrzeit des Aufrufs
• Aufgerufene Seite (URL)
• Informationen über die Seite, von der aus man auf die aktuelle Seite verwiesen wurde.
Auf Englisch heißt dieses Feld referrer.
• Informationen über den Browser des Benutzers, wie Name der Software, eingestellte
Sprache, Betriebssystem, Versionsnummer der Software usw.

d) (Ja: 1P., schlüssige Begründung 1P., max. 2)

Hat eine Firma auf den Webseiten von vielen verschiedenen Händlern einen eigenen Be-
standteil, z. B. eine kleine Werbegrafik, dann können Kunden auch händlerübergreifend
identifiziert werden. Das funktioniert dann wie folgt: 1. Der Händler platziert eine Wer-
begrafik auf seiner Seite. 2. Beim Aufruf der Seite wird die Werbegrafik nachgeladen.
Das geschieht dann vom Server der Werbefirma. 3. Der Werbeserver erkennt anhand der
Referrer-Information, von welcher Händlerseite der Aufruf stammt. 4. Der Werbeserver
setzt ein Cookie. Besucht derselbe Kunde nun einen anderen Händler, der auch eine Wer-
begrafik dieser Firma auf seiner Seite hat, dann kann der Werbeserver den Kunden wie-
dererkennen. Auf dem Werbeserver stehen dann also Informationen über die verschiede-
nen Händler bereit, die der Kunde im Internet besucht hat.
Kurs 01866 Sicherheit im Internet Einsendearbeit zu Kurseinheit 3

ENDE