Whitehammer03 Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 Hallo Leute, Folgende Aufgabe aus GA1 Sommer 2021 verwirrt mich: Die Musterlösung: Meine Antwort wäre die hybride Verschlüsselung gewesen. Man verschlüsselt den PSK mit dem öffentlichen Schlüssel des Empfängers, dann ist auch nur ER in der Lage, mit seinem privaten Schlüssel die Nachricht zu entschlüsseln. Hashing schützt doch nur vor Datenmanipulation, aber nicht vor unbefugtem Lesen der Nachricht. Kann mir das einer hier erklären? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Asura Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 (bearbeitet) Wenn etwas als "Klartext" oder "plain text" gespeichert wird, liegt das Passwort als einfacher Text vor. Wenn ein Passwort, in diesem Fall der PSK, "gehasht" wird, handelt es ich um eine verschlüsselte Darstellung seiner selbst. Um zu überprüfen, ob der PSK korrekt ist, wird der gehashte Wert bei der Anmeldung mit dem gespeicherten Wert verglichen. Irgendein hinterliegender Algorithmus ist dafür zuständig. Du kannst einen gehashten Wert nicht direkt in ein Kennwort umwandeln. Bearbeitet 22. November 2021 von Asura Umformulierungen Whitehammer03 reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Rienne Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 (bearbeitet) vor 18 Minuten schrieb Whitehammer03: Meine Antwort wäre die hybride Verschlüsselung gewesen. PSK ist aber keine hybride Verschlüsselung, sondern eine symmetrische. Die Frage ist ja eher: Wie läuft die Ver-/Entschlüsselung bei PSK ab? Bzw. hier ist nur nach der Authentifizierung gefragt - also wie die eine Seite überprüft, ob dein Key korrekt ist. Bearbeitet 22. November 2021 von Rienne Whitehammer03 reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Whitehammer03 Geschrieben 22. November 2021 Autor Teilen Geschrieben 22. November 2021 Gerade eben schrieb Rienne: PSK ist aber keine hybride Verschlüsselung, sondern eine symmetrische. Genau, aber genau das macht doch die hybride Verschlüsselung aus - die asymmetrische Verschlüsselung eines symmetrischen Schlüssels, um dem Problem des unsicheren Schlüsselaustauschs bei symetrischer Verschlüsselung entgegenzuwirken. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Whitehammer03 Geschrieben 22. November 2021 Autor Teilen Geschrieben 22. November 2021 Gerade eben schrieb Asura: Wenn etwas als "Klartext" oder "plain text" gespeichert wird, liegt das Passwort als einfacher Text vor. Wenn ein Passwort, in diesem Fall der PSK, "gehasht" wird, handelt es ich um eine verschlüsselte Darstellung seiner selbst. Das Passwort wird genommen und - unter Verwendung eines der Website bekannten Schlüssels - überprüft. Um zu überprüfen, ob der PSK korrekt ist, wird der gehashte Wert bei der Anmeldung mit dem gespeicherten Wert verglichen. Irgendein hinterliegender Algorythmus ist dafür zuständig. Sollte der Hash-Wert "abgegriffen" werden, kann dieser nicht zu einem plain text umgewandelt werden. Bei meiner Lösung der hybriden Verschlüsselung wäre ja auch kein Klartext mehr vorhanden sondern ein verschlüsselter Inhalt, der nur mit dem privaten Schlüssel des Empfängers entschlüsselt werden kann Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Rienne Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 (bearbeitet) vor 2 Minuten schrieb Whitehammer03: Genau, aber genau das macht doch die hybride Verschlüsselung aus Das schon, aber es wird ja nicht nach eine hybriden Verschlüsselung gefragt. Sondern nach dem Ablauf beim Pre-Shared Key. Und die ist eben nicht hybrid sondern symmetrisch. Bearbeitet 22. November 2021 von Rienne Whitehammer03 reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Bitschnipser Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 Bei symmetrischer Verschlüsselung GIBT es keinen "öffentlichen" Schlüssel. Es gibt nur den PSK (Pre-Shared Key). Wenn der nicht mehr private ist, ist das Wifi unsicher Aber keine Sorge, ich hab mir in der Prüfung auch was aus den Fingern gesogen und warvoll auf private und public Key unterwegs. Whitehammer03 reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Whitehammer03 Geschrieben 22. November 2021 Autor Teilen Geschrieben 22. November 2021 Ah okey, jetzt leuchtet es mir langsam ein. Die Frage ist für mich irgendwie irreführend, ich habe den Fokus eher auf die Übertragung gelegt, aber man muss auch die Prüfung des PSK berücksichtigen. Nochmal um sicher zu gehen: Alice erzeugt Hashwert des PSK und übermittelt NUR den Hashwert an Bob. Bob erhält Hashwert, bildet selber einen Hashwert des PSK( der im aufjedenfall vorher schon bekannt sein muss)und überprüft beide Prüfsummen dann. Sind beide Prüfsummen identisch, hat Alice einen korrekten PSK und sich somit erfolgreich authentifiziert. So richtig? Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Asura Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 (bearbeitet) vor 8 Minuten schrieb Whitehammer03: Bei meiner Lösung der hybriden Verschlüsselung wäre ja auch kein Klartext mehr vorhanden Die Aufgabenstellung bezieht sich aber lediglich auf den PSK und den Ablauf der Übertragung sowie der Kontrolle, leider ist das nunmal so, wie oben beschrieben. In diesem Fall würde ich sagen, dass du ein wenig zu weit denkst. Leider fallen manche Aufgaben in den Prüfungen unter die Kategorie "muss man halt wissen". Im Übrigen handelt es sich bei vielen Antworten in den "Lösungen" tatsächlich um eine mögliche Lösung und nicht DIE Lösung. vor 4 Minuten schrieb Whitehammer03: Sind beide Prüfsummen identisch, hat Alice einen korrekten PSK und sich somit erfolgreich authentifiziert. Ja, is richtig. Über einen bekannten Algorithmus wird der Wert von beiden Systemen gebildet, sind diese identisch, ist alles gut und der Zugang wird genehmigt. Bearbeitet 22. November 2021 von Asura Fehler über Fehler. Whitehammer03 reagierte darauf 1 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
_n4p_ Geschrieben 22. November 2021 Teilen Geschrieben 22. November 2021 vor 30 Minuten schrieb Whitehammer03: Kann mir das einer hier erklären? Du beschreibst ein Verfahren wie man den PSK sicher übermitteln kann, also allen beteiligten bekannt gibt. Die Aufgabe fragt aber nach dem Ablauf der Authentifizierung bei einem PSK, was man hier sehr leicht überlesen kann. Whitehammer03, orangesEinhorn und Bitschnipser reagierten darauf 3 Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ClaudiusHandcus Geschrieben 24. November 2021 Teilen Geschrieben 24. November 2021 Trotzdem ist das doch auch nur die halbe Wahrheit, oder? Fängt Eve jetzt den Hashwert ab, kann auch sie sich damit authentifizieren, wenn keine weiteren Parameter hinzugezogen werden. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Rienne Geschrieben 25. November 2021 Teilen Geschrieben 25. November 2021 @ClaudiusHandcus die halbe Wahrheit wovon? Es geht hier bei der kleine Teilaufgabe nur um die Arbeitsweise von PSK. Ob PSK jetzt die beste Möglichkeit der Verschlüsselung ist und welche Schwachstellen das Ganze hat, ist nicht Teil der Fragestellung. (Kann jedoch gut sein, dass das in einer Folgefrage noch gefragt wird.) Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
ClaudiusHandcus Geschrieben 25. November 2021 Teilen Geschrieben 25. November 2021 Na ja, da steht " ... wie ein PSK für die Authentifizierung sicher übertragen werden werden kann ...". Und da der Hash eben abgefangen und von jemand anderem genauso verwendet werden kann, ist das reine Bilden einer Prüfsumme eigentlich noch keine sichere Übertragung. Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Rienne Geschrieben 25. November 2021 Teilen Geschrieben 25. November 2021 (bearbeitet) Natürlich läuft das Ganze in Realität etwas komplexer ab. Da wird dann noch die IP-Adresse oder andere Werte hinzugezogen, die dann aus dem PSK einen Hashwert erzeugen. Aber simpel heruntergebrochen wird halt ein Hashwert erzeugt, der vom Empfänger gegengeprüft wird. Der Lösungsvorschlag von der IHK ist ja auch nicht in Stein gemeißelt und du würdest sehr wahrscheinlich keinerlei Punkte Abzug bekommen, wenn du es detaillierter beschreibst. Aber er zeigt, worauf die Fragestellung hinaus möchte und was zumindest als Minimalantwort ausreicht. Letzten Endes geht es darum, dass der Prüfling weiß, dass Daten (in diesem Fall der PSK) nicht im Klartext übermittelt werden, sondern dass ein Verfahren genutzt wird, das daraus einen Hashwert erzeugt, der widerum vom Empfänger mittels desselben Verfahrens und den bekannten Informationen gegengeprüft wird. Bearbeitet 25. November 2021 von Rienne Zitieren Link zu diesem Kommentar Auf anderen Seiten teilen Mehr Optionen zum Teilen...
Empfohlene Beiträge
Dein Kommentar
Du kannst jetzt schreiben und Dich später registrieren. Wenn Du ein Konto hast, melde Dich jetzt an, um unter Deinem Benutzernamen zu schreiben.