Cryptography Reference
In-Depth Information
Eine Absicherung der WLAN-Funkübertragung durch WPA oder WPA-2 verschlüsselt dage-
gen die Daten bereits auf der Übertragungsschicht und somit auch die TCP und IP Header. Die
Verschlüsselung schützt nur die Luftschnittstelle des WLAN gegen unberechtigtes Mitlesen
und wird im WLAN-Router bereits wieder aufgelöst. Dem WLAN-Router stehen die Adressen
in TCP- und IP-Header wieder unverschlüsselt zur Verfügung, so dass er seine Routing-
Aufgabe erfüllen kann.
Alle in Abb. 6-5 erwähnten Protokolle beruhen auf kryptographischen Verfahren, bei denen
auch unterschiedliche Schlüssel verwaltet werden müssen. Dabei wird oft zwischen mehreren
Arten von Schlüsseln unterschieden:
Authentisierungsschlüssel für den Nachweis der Authentizität beim Kommunikationspart-
ner während des Verbindungsaufbaus,
Initialisierungsschlüssel zum Aufbau einer gesicherten Verbindung; häufig eingesetzt, um
Authentisierungsparameter und temporäre Transportschlüssel sicher zu übertragen,
Transportschlüssel zur Sicherstellung der Integrität und Vertraulichkeit der übermittelten
Daten.
Schlüssel, die bei der Authentisierung und der Initialisierung von gesicherten Verbindung
eingesetzt werden, unterliegen höheren Sicherheitsanforderungen und sind deshalb oft in
Chipkarten oder anderen Hardware-Sicherheitsmodulen abgelegt. Dagegen werden Transport-
Schlüssel meistens nur temporär für die Verschlüsselung der Nutzdaten ausgehandelt und sind
nach dem Abbau der Verbindung nicht mehr gültig.
Abb. 6-6: Verschlüsselung der Nutzdaten beim Einsatz einer Sicherungsschicht
Der in Abb. 6-6 skizzierte Aufbau macht deutlich, dass Daten, die die Nutzlast des Sicher-
heitsprotokolls darstellen, oft verschlüsselt übermittelt werden. Der Protokoll-Header der Si-
cherungsschicht selbst muss zumindest teilweise unverschlüsselt vorliegen, da hier Informatio-
nen zur Adressierung des Datenpakets und zur Entschlüsselung der Nutzlast enthalten sind.
Die Authentizität und die Integrität eines Datenpakets wird in vielen Fällen über eine digitale
Signatur oder eine kryptographische Checksumme auf Basis der bereits vorgestellten Hash-
Funktionen SHA-1 oder MD5 (siehe Kap. 3) im Protokoll-Header gewährleistet.
