Cryptography Reference
In-Depth Information
Eine eigenständige DTLS-Replay-Detection soll das Wiedereinspielen von einzelnen Pake-
ten erkennen, da die fortlaufende Absicherung über einen Hashwert, wie erwähnt, nicht
möglich ist.
Pakete können im SSL-Handshake wiederholt werden, da alle Pakete im Handshake not-
wendig sind, um eine erfolgreiche Authentisierung und einen Schlüsselaustausch zu ge-
währleisten.
6.6 Sicherheit in Funknetzen
Sicherheit spielt bei Funknetzen mindestens eine genauso große Rolle wie bei der drahtgebun-
denen Übertragung. Besonders Funknetze sind anfällig für Angriffe, da Angreifer ohne physi-
kalischen Kontakt versuchen können, sich in das Netzwerk einzuklinken. Gerade in der letzten
Zeit wird in der Presse häufig von so genannten „wardriving“-Angriffen berichtet, bei denen
ein Angreifer aus dem fahrenden Auto heraus versucht, ungeschützte WLAN-Zugriffspunkte
(Wireless Local Area Network) zu finden, um sich darüber unberechtigt Zugriff auf Compu-
ternetze zu verschaffen oder ungesicherte Daten mitzulesen. Eine Gegenmaßnahme gegen
„wardriving“ ist das im Folgenden vorgestellte EAP-Verfahren, das nur authentisierten Benut-
zern Zugriff auf den WLAN-Zugriffspunkt erlaubt. WEP (Wired Equivalent Privacy),
WPA/WPA-2 (Wireless fidelity Protected Access) sind Verschlüsselungsverfahren für die
Luftschnittstelle, die das unberechtigte Mitlesen von Daten verhindern.
6.6.1 EAP
EAP ( Extensible Authentication Protocol ) ist ein Authentisierungsprotokoll, das hauptsächlich
auf der Übertragungsschicht eingesetzt wird. EAP bietet verschiedene Mechanismen an, um
ein Gerät oder einen Benutzer, den sog. „Supplicant“, bei einer Gegenstelle, dem sog. „Au-
thenticator“, anzumelden. Der Supplicant bewirbt sich darum, vom Authenticator authentifi-
ziert zu werden, d.h. seine Identität gegenüber dem Authenticator zu beweisen. Die Aushand-
lung des konkret eingesetzten Mechanismus erfolgt dabei erst während der Authentisierungs-
phase. Dabei kann optional ein Authentisierungs-Server eingesetzt werden, der vom Authenti-
cator die Authentisierungs-Nachricht weitergereicht bekommt.
Die Funktionsweise von EAP ist in RFC3748 [RFC3748] definiert. Die Authentisierung be-
ginnt, wie in Abb. 6-20 dargestellt, mit einem Identity-Request-Paket vom Authenticator an
den Supplicant. Daraufhin teilt der Supplicant dem Authenticator in der Antwort seine Identi-
tät, noch ohne Beweis, mit. Mit dieser Identität kann der Authenticator oder das Hintergrund-
system das für den Supplicanten bestimmte Authentisierungsverfahren und die Authentisie-
rungsparameter selektieren. Jetzt kann der Authenticator den Supplicanten mit einem Authen-
tication-Request auffordern sich zu authentisieren. Diese Anfrage wird mit einem Authentica-
tion-Response-Paket, das im Datenfeld die jeweilige Authentifizierung (Identität, Passwort,
Search WWH ::




Custom Search