1. IT-Sicherheit
    1. Basics
    2. Crypto
      1. Kryptografisches System $(M,C,E,D,K)$
      2. Symmetrische Verfahren
      3. Asymmetrische Verfahren
      4. Elliptische-Kurven-Kryptographie (ECC)
      5. Kryptographische Hashfunktion
      6. Message-Authentication-Code (MAC)
      7. AEAD (Authenticated Encryption with Associated Data)
      8. Digitale Signatur
      9. Fortgeschrittene Kryptographie-Konzepte
    3. Key management
    4. Digitale Identität - Authentifikation
      1. Authentifikation durch Wissen
      2. Authentifikation durch Besitz
      3. Authentifikation durch Biometrie
      4. Verteile Authentisierung
    5. Netzwerksicherheit
      1. SSL/TLS
      2. IPsec
      3. VPNs
      4. Sichere Drahtloskommunikation
    6. Anwendungssicherheit
      1. Sichere Mail
      2. Messaging-Dienste
        1. Signal Protocol
        2. Telegram Messenger
    7. Systemsicherheit
      1. Modelle der Systemsicherheit
      2. Speicherschutzkonzepte
      3. Hardware-basierte Sicherheit
    8. Security Engineering
      1. Phasen-Modelle
      2. BSI Sicherheitsprozess
      3. Bewertung der IT-Sicherheit

Maximilian Stark (mail@dakror.de), WS2019

Stand: 16.02.2020

IT-Sicherheit

Basics

Risk Landscape: Symantec Internet Thread Report 2019

Safety vs. Security

Definitionen

Angriffe und deren Ziele

Schadcode

Angriffe

Crypto

Kryptologie

Kryptografisches System $(M,C,E,D,K)$

Anforderungen

Symmetrische Verfahren

Blockchiffre

AES (Advanced Encryption Standard)

Stromchiffre

ChaCha20 Stromchiffre: RFC 7539

Asymmetrische Verfahren

Anforderungen

RSA

Elliptische-Kurven-Kryptographie (ECC)

Kryptographische Hashfunktion

Klassen von Hashfunktionen

Message-Authentication-Code (MAC)

HMAC

AEAD (Authenticated Encryption with Associated Data)

Digitale Signatur

Digital Signature Algorithm (DSA)

Elliptic Curve Digital Signature Algorithm (ECDSA)

Fortgeschrittene Kryptographie-Konzepte

Homomorphe Verschlüsselung

Post-Quantum-Kryptographie (PQC)

Fazit

Key management

Aufgabenbereiche

Schlüsselerzeugung

Schlüsselhierarchie

Schlüsselerneuerung

Schlüsselvereinbarung

Schlüsselabsprache

Zertifikate

Public Key Infrastructure (PKI)

Hierarchie von CAs

Zertifikatvalidierung

Zertifikatsrückruf

CA/Browser Forum

Automatic Certificate Management Environment (ACME)

  1. Nachweis über Domainbesitz
    1. Schlüsselpaar (Authorization Key Pair) erzeugen, signierte Anfrage an CA
    2. 1 oder mehre Challenges von CA: HTTP Resource bereitstellen und Nonce signieren
  2. Zertifikatausstellung
    1. Certificate Sign Request (CSR) an CA zur Zertifizierung eines neuen Public Keys, signiert mit zugehörigem Private key
    2. CSR signiert mit Authorization Key
    3. Validierung und Zertifikatausstellung

Vertrauensdienstgesetz

Digitale Identität - Authentifikation

Authentisierungsfaktoren

Authentifikation durch Wissen

Authentifikation durch Besitz

FIDO-U2F (Fast Identity Online)

Elektronischer Personalausweis mit nPA

Password Authenticated Connection Establishment (PACE)

Authentifikation durch Biometrie

Fingerabdruck

Verteile Authentisierung

Kerberos-Protokoll

OAuth 2.0

OpenIDConnect

Netzwerksicherheit

Firewall

Protokolle

SSL/TLS

IPsec

VPNs

Sichere Drahtloskommunikation

WLAN IEEE-Standard 802.11i (WPA 2)

Mobilfunk

Anwendungssicherheit

Sichere Mail

Pretty Good Privacy (PGP)

Probleme

Messaging-Dienste

Signal Protocol

Extended Triple Diffie-Hellmann Protokoll (X3DH)

Double-Ratchet Protokoll

Telegram Messenger

Systemsicherheit

Allgemeine Design-Prinzipien

Modelle der Systemsicherheit

Speicherschutzkonzepte

Virtualisierung

Festplattenverschlüsselung

Hardware-basierte Sicherheit

Trusted platform module (TPM)

Trusted Execution Environment (TEE)

Angriffe auf aktuelle Prozessor-Architekturen

Security Engineering

Phasen-Modelle

* Generell
    1. Strukturanalyse und Pflichtenheft
    2. Ermittlung des Schutzbedarfs
    3. Bedrohungsanalyse
    4. Risikoanalyse: quantitativ oder qualitativ
    5. Sicherheitspolicy & Sicherheitskonzept
    6. Systemmodellierung
    7. Systemarchitekturentwurf
    8. Feinentwurf und Implementierung
    9. Validierung und Evaluation
    10. Wartung und Überprüfung im Betrieb
* Microsoft SDL (Security Development Lifecycle)
    0. Bewusstmachen und Schulung
    1. Projektinitialisierung und Schutzbedarfsdefinition
    2. Kosteneinschätzung für Sicherheitsmaßnahmen
    3. Entwurfsvorgaben und Best Practices
    4. Risikoanalyse für Design
    5. Dokumentation für sichere Anwendung der Software
    6. Umsetzen der Best Practices, Sichere Programmierung
    7. Überprüfung von Sicherheit und Datenschutz
    8. Security Push: Letzte intensive Suche nach Sicherheitslücken
    9. Datenschutz-Review
    10. Planung für Eintreten von Sicherheitsvorfällen
    11. Letzte Sicherheits- und Datenschutzreviews inklusive Abnahme
    12. Auslieferung der Software
    13. Reagieren auf Sicherheitsvorfälle
* BSI Sicherheitsprozess

BSI Sicherheitsprozess

  1. Strategische Ebene: Initiierung
    • Sicherheitsleitlinie
    • Sicherheitsmanagement
  2. Taktische Ebene: Sicherheitskonzept
    1. Strukturanalyse
      • Systemfunktionalität
      • Pflichtenheft
      • Netztopologieplan
    2. Schutzbedarfsfeststellung
    3. Realisierungsplanung
  3. Operative Ebene
    • Umsetzung
    • Aufrechterhaltung im Betrieb

Schutzbedarfsfeststellung

Risikoanalyse

Bewertung der IT-Sicherheit

Entwicklungsstufen der wichtigsten Kriterienkataloge

Schutzprofile (Protection Profiles)