17 Sicherheit im Internet (II) Christoph Meinel. Yovisto Academic Video Search. SSL Verschlüsselung Header Verfahren IPsec Authentifikation Verbindung Internet asymmetrischer symmetrischen PGP TCP Key Firewalls z.B. Universität Potsdam ssl tls beispiel verbind zwischensystem endsystem beteiligt sicherheitsmechanism verbind anpassungsaufwand ausgestalt ursprung anwend eigent transportschicht absicher sicherheitsarchitektur s-http pgp beispiel muss sicherheitsmechanism gewunscht neu implementier anwend nutz einzeln bedurfniss speziell sicherheitsmassnahm anwendungsschicht absicher sicherheitsarchitektur netzwerkschicht transportschicht anwendungsschicht schicht unterschied protokoll absicher sogenannt ergebnis funktion bestimmt internetprotokoll einzeln internet sicherheitsziel bestimmt sicherheitsarchitektur grundprobl key public notwend verschlussel sitzungsschlussel geheim gemeinsam kommunikation vertraulich notwend fehlend verfahr asymmetr vorteil wiederhol nutz bindung falschungssich uberprufbar zertifizierungsstell asymmetr dritt vertrauenswurd verfug kommunikationspartn probl trust asymmetr grundprobl beispiel uberein entschlusseln verschlusseln schlussel kryptographi symmetr verschlusselungsverfahr kryptograph grundeinteil wiederhol verfahr werkzeug kryptographi autorisation authentifikation vertraulich datenintegritat verfugbar sicherheitsziel erreich schutzmassnahm notwend vertrauenswurd vorkehr sorg teilnehm schutz privatsphar internetnutz kommunikation einblick unbefugt kontroll zentral off preis netz off internet global wiederhol anwend dien tcp mobil ipv internetworking wan-technologi lan-technologi rechnervernetz grundkonzept internet sich internet-technologi basics vorles einordn deutschland potsdam universitat hasso-plattner-institut meinel christoph internet sich www grundlag technisch verbind sich bereitgestellt anpass telnet imap ftp dien protokollschicht neu tcp transportschicht anwendungsschicht http transportinfrastruktur sich eig netscap datentransport vertraulich lay socket secur ssl www nachricht nutzerrechn passwort privat serv websit key public nutz schlusselpaar benutz installation zeit bit schlussellang rsa unterstutzt privacy good pretty pgp serv kooperier speziell parti signing sogenannt zughor nutzernam bindung bestat nutz trust web zertifizier verfug key public richtig bob alic email-kommunikation sich bit dig messag rsa signatur digital datenintegritat kommunikationspartn authentizitat sicherstell privacy good pretty pgp key public sitzungsschlussel verschlusselt s-encrypt alic bob nachricht email vertraulich verschlussel asymmetr symmetr kombination privacy good pretty pgp asymmetr nachrichteninhalt verschlussel nachteil schlusselaustausch vorteil jeweil verschlusselungsverfahr asymmetr symmetr kombination grundide privacy good pretty pgp nachrichteninhalt symmetr schlussel idea bit sitzungsschlussel rsa verfahr zip daten-komprimier rsa asymmetr idea tripled cst verschlussel symmetr sha dig messag berechn einsatz verfahr folgend version softwar kryptograph stark us-exportbestimm verstoss us-bundesregier rechtsstreit popular email-client plugin plattform open-source-projekt privacy good pretty pgp security beispiel anwend anforder spezif schutzmechanism aktiv zwischensystem schicht hoh anwend protokoll netzwerkschicht absicher sicherheitsarchitektur datenintegritat dig md-messag schwach authentifikation bestimmt export ehemal sah--authentifikation md-authentifikation ssl-verfahr schnell stark sha--authentifikation schlusselzahl verschlussel bit tripled chiffrensatz stark suit ciph ssl nachrichteninhalt symmetr schlussel idea bit sitzungsschlussel rsa verfahr asymmetr nachrichteninhalt verschlussel nachteil schlusselaustausch vorteil jeweil verschlusselungsverfahr asymmetr symmetr kombination grundide privacy good pretty pgp uri-adressierungsschema neu transport verschlusselt unverschlusselt http-protokoll dekodierungsrechenaufwand sich kompromiss einsatz symmetr aufwend datenverschlussel eigent verfahr asymmetr stark sitzungsschlussel symmetr austausch lay socket secur ssl stark ausgewahlt kryptographieverfahr anzuwend authentifikation gegebenenfall uberpruft kommunikationspartn beteiligt fahig kryptograf ssl-verbindungsaufbau serv client ssl-fahig handshak protocol record subprotokoll ssl-protokoll lay socket secur ssl zertifikat identitat client zertifikat identitatsnachweis serv client verbind anonym kommunikationsverbind typ verschied authentifikation grad lay socket secur ssl cod authentication messag transportiert unversehrt zuverlass authentifikation verschlusselt dat schlusselaustausch sich verbind privat kommunikationspartn protokoll sich programmierschnittstell lay socket secur ssl mac authentifikation verschlussel paramet verfugbar spd ip-datagramm verfahr regelwerk esp netzwerksoftwar sad ike paramet mechanism aushandeln architektur ipsec vpns einsatz head neu tunnel verschlusselt modus transport nachricht ipsec-verschlusselt versand sicherheitsarchitektur ipsec dat transportiert authentifikation dig messag esp next length blocklang angewandt vielfach wortgrenz bit esp-authentifikationsdat nachfolg padding fullbit nutzlast authentifikationsverfahr feld entsprech sequenznumm spi aufbau ip-datagramm verschlusselt head payload security encapsulation ipsec sha- authentifikation dig messag authentifikationsdat replay-attack empfang send datagramm sequenznummernfeld sa-databas extern eintrag verweis association sicherheitsverfahr angewandt spi index paramet security lang nutzlastlang nutzlast transportiert typ byt next aufbau head authentication ipsec wert protokoll-feld ipsec-datagramm kennzeichn ipv-head esp dat verschlussel payload-head secur encapsulation send authentication beigefuhrt head zusatz ip-datagramm-head vertraulich authentifikation sicherheitsziel erreich ipsec nachfolgerversion einsatz ipv verbind ip-datenpaket authentifikation verschlussel verfahr verschied datenformat rfc netzwerkschicht kommunikation absicher standard famili group ip-security ipsec sich kryptograph ziel rfc ietf standardisierungprozess ssl security lay transport tls www mobilfunkbereich zugang sich einricht schicht wtls wireless wap-protokollstapel data application specification ciph chang alert handshak protokoll-client contain ausgangspunkt protocol record definiert effizienz erweiterbar interoperabilitat deutschland potsdam universitat hasso-plattner-institut meinel christoph internet sich end hardwar softwar angreifbar schleusenmechanismus firewall mitteln offline-attack online-attack schutz biet verbind direkt zeitpunkt netz datenpaket prinzips implementation internet lan verbindungsschleus patentiert lock-keep beispiel erlaubt typ verbind einzeln zweier endpunkt ende-zu-ende-verbind transporteb circuit-level-gateway anwendungseb application-level-gateways schicht hoh zugriffskontrollsystem gateways kriteri verschied transportschicht datenverkehr filt paketfilt interpretation ansatz verschied filter-regeln einfach datenbank konfiguration datenpaket blockad weiterleit application-level-gateways firewall-system komplex paketfilt einfach ermog zugriffskontroll gestaffelt risikozon system oft firewall muss internet zugriff firewall information geschutzt zugriff datenintegritat eingriff attack denial-of-servic verhinder sicherheitsziel verfolg lan filtermassnahm schutz zugriff unberechtigt schutzmassnahm internet lan anschluss firewall