- StudyRush

Aufgabe 4.1: Forwarding
4.1.1
Ziel-Adressbereich
192.0.0.0/16
192.1.0.0/16
192.0.0.0/7
Alle anderen
Schnittstelle
0
1
2
3
4.1.2
Ziel-Adressbereich
11000000.00000000
11000000.00000001
1100000
Alle anderen
Schnittstelle
0
1
2
3
4.1.3
191.168.0.1 & 254.0.0.0 = 191.0.0.0 -> Schnittstelle 3
192.0.1.1 & 254.0.0.0 = 192.0.0.0 Aber: Longest-Prefix
daher 192.0.1.1 & 255.255.0.0 = 192.0.0.0 -> Schnittstelle 0
192.1.0.1 & 254.0.0.0 = 192.0.0.0 Aber: Longest-Prefix
daher 192.1.0.1 & 255.255.0.0 = 192.1.0.0 -> Schnittstelle 1
193.168.0.1 & 254.0.0.0 = 192.0.0.0 -> Durch Longest-Prefix = Schnittstelle 2
224.0.13.7 & 254.0.0.0 = 224.0.0.0 -> Schnittstelle 3
Aufgabe 4.2: Routing und NAT
1. Zwei Computer befinden sich je hinter einem eigenem NAT. Beschreiben
Sie Wege, wie diese miteinander via TCP kommunizieren können, ohne dass
das NAT dafür konfiguriert werden muss.
Network Adress Translation, kurz NAT, ist ein Verfahren, welches NetzwerkStationen erlaubt auf öffentliche Netzwerke zuzugreifen, auch wenn sie nur über eine
private IP-Adresse verfügen und somit im öffentlichen Netz keine Gültigkeit haben.
Der NAT-Router tauscht die privaten IP-Adressen und Portnummer beim Versenden
von Datenpaketen gegen öffentliche IP-Adressen und eine neue Portnummer aus und
speichert gleichzeitig in einer NAT-Tabelle welches Datenpaket zu welcher IP2
Adresse gehört. Das Datenpaket wird dann zum Empfänger weitergeleitet, welcher
seine Antwort zurück an den NAT-Router sendet.
Anhand der Port-Nummer kann der Router nun feststellen, für welche IP-Adresse das
Datenpaket im lokalen Netz gedacht ist und tauscht die öffentliche IP-Adresse wieder
gegen eine private IP-Adresse aus und leitet das Paket zum Client weiter.
[1] [2, p. 54-61]
Über ein Virtual Private Network, können zwei Computer welche sich hinter
einem NAT binden, miteinander kommunizieren.
10.0.0.0
NAT
Virtual Private Network (VPN)
10.0.0.1
NAT
INTERNET
Ein VPN ist eine Netzwerkschnittstelle, die es erlaubt eine sichere Verbindung
zwischen mehreren Computern aufzubauen, auch wenn die sich nicht im selben LAN
befinden. Das VPN simuliert also sozusagen ein LAN, welches den Datenaustausch
über einen sogenannten Tunnel ermöglicht zwischen VPN-Client, der Benutzer und
dem VPN-Server. [3, p. 718]
Schritt 1: VPN-Server liegt hinter einem NAT-Router und baut eine Verbindung zu
VPN-Relay auf, welcher nicht hinter einem NAT-Router liegt.
Schritt 2: Der VPN-Client baut eine Verbindung zum VPN-Relay auf.
Schritt 3: Relay leitet die Pakete vom Client zum Server und umgekehrt weiter.
[2, p. 61]
3
2. Beschreiben Sie die Routing-Ansätze von OLSR (RFC 3626) und vergleichen sie
das Protokoll mit aus der Vorlesung bekannten Ansätzen wie RIP oder OSPF.
Wieso verwenden Community-Netze wie funkfeuer.at und Freifunk bevorzugt
OLSR und verwandte Ansätze?
LSR steht für Link-State-Routing und ist ein Routingprotokoll. Bei dem Verfahren
wissen alle Router über die gesamte Netztopologie Bescheid, was bedeutet, dass die
Router sich immer für den schnellsten Weg entscheiden können um zum Ziel zu
gelangen.
Laut RFC 3626 tauscht jede Station Informationen mit ihrer Nachbarstation aus und
weiß somit welche Stationen sie nach 2 Hops erreichen kann. Diese Information wird
mit allen anderen Stationen geteilt und somit kann die kürzeste Route ermittelt
werden. Bei Mobilen Drahtlosnetzen ist der kürzeste Weg jedoch nicht immer
offensichtlich, da die Verfügbarkeit und Qualität von Datenvermittlungspfaden starken
Schwankungen unterliegen. Da die Verbindungsqualität eine wichtige Rolle spielt in
einem drahtlosen Netz, wird deswegen nicht unbedingte die kürzeste Route gewählt,
sondern die, welche die beste Verbindungsqualität bietet und das Paket somit auf
Anhieb fehlerfrei durchbringt. [4] [5]
Beim Routing Information Protocol kennen die Router nur die direkt angeschlossenen
Netzwerke. Der anfragende Router schickt diese Information an alle benachbarten
Router, welche diesen Vorgang wiederholen und ihre Routingtabellen an den
anfragenden Router weiterleiten. Auf Basis der Tabellen, ermitteln die Router die
kürzeste Entfernung zum Zielnetz. Die maximale Entfernung beträgt 15 Hops. 16
Hops oder mehr bezeichnet man als „infinity“ was besagt, dass das Ziel nicht
erreichbar ist. Falls nach 3 Minuten kein Advertisment empfangen wurde, gilt die
benachbarte Station als nicht vorhanden und die berechneten Routen über diese
Station werden ungültig. Anschließend werden die Distanzvektoren neu berechnet und
verschickt. [2, p. 103][6] [7]
Open Shortest Path First verwendet wie OLSR den Link-State-Routing-Algorithmus,
wobei Link-State-Pakete periodisch geflutet werden. Jeder Router kündigt Links an,
wobei diese mit LSAs geflutet werden: Der Router schickt die empfangene
Ankündigung an seine benachbarten Stationen. Informationen über jegliche
Linkausfälle können dabei mithilfe von LSAs leicht verbreitet werden. Die Routen
beim OSPF werden dabei mithilfe des Dijkasras Algorithmus berechnet. [2, p.105]
Community-Netze wie funkfeuer.at verwenden OLSR damit alle Rechner die
Verbindung zueinander haben auch miteinander kommunizieren können.
Beispiel: Station A kommuniziert mit Station B. Station B kommuniziert mit Station
C. Station A und Station C sind eigentlich zu weit voneinander entfernt um
miteinander kommunizieren zu können. Durch OLSR können jedoch alle miteinander
Daten austauschen. OLSR hat den Vorteil, dass bei einem Ausfall eines Routers, der
nächstbeste Weg eingeschlagen wird. [8]
4
3. Erstellen Sie ein Netzwerk-Topologie mit mindestens 11 Knoten, 3 Kanten und
zufällig gewählten Kantengewichten. Bestimmen Sie nun die Routing Tabellen
für zwei dieser Knoten nach dem Link-State-Verfahren. Zeigen sie den
Herleitungsweg der Tabellen auf.
K
2
1
H
5
J
1
5
1
7
F
4
G
1
2
3
D
I
5
C
E
1
B
1
A
5
Vereinfachte Routing-Tabelle für A
Knoten
B
C
Metrik
1
2
Knoten A braucht 1 Hop zu Knoten B und erfährt von Knoten B, dass C 1 Hop von B
entfernt ist, somit braucht A 2 Hops nach C.
Vereinfachte Routing-Tabelle für F
Knoten
G
J
H
C
Metrik
7
1
2
2
Die Knoten G, J, H und C liefern wiederum Informationen an F zurück, wie viele Hops
sie von ihren Nachbarstationen entfernt sind. Die Routing-Tabelle von F wird aktualisiert
und enthält danach folgende Informationen.
Knoten
G
J
H
C
GE
GI
CE
CD
CB
HK
HD
JI
JK
Metrik
7
1
5
2
8
8
7
5
3
6
9
6
3
6
Schritt
0
1
2
3
4
5
6
7
8
9
10
D(J),p(J)
1, F
N‘
F
FJ
FJK
FJKH
FJKHD
FJKHDC
FJKHDCB
DJKHDCBA
DJKHDCBAE
DJKHDCBAEG
DJKHDCBAEGI
D(I),p(I)
∞
6, J
6, J
6, J
6, J
6, J
6, J
6, J
6, J
1, G
D(K),p(K)
∞
3, J
D(C),p(C)
2, F
2, F
2, F
3, D
3, D
D(E),p(E)
∞
∞
∞
∞
∞
7, C
7, C
7, C
D(G),p(G)
7, F
7, F
7, F
7, F
7, F
7, F
7, F
7, F
1, E
D(D),p(D)
∞
∞
∞
D(H),p(H)
5, F
5, F
1, K
D(A),p(A)
∞
∞
∞
∞
∞
∞
∞
D(B),p(B)
∞
∞
∞
∞
∞
∞
3, C
[2, p. 76]
7
4. Erklären Sie anhand eines möglichst kleinen Netzwerks das count-to-infinityProblem und zwei Gegenmaßnahmen zu diesem.
192.168.6.
0
192.168.1.
0
192.168.4.
0
Station B benötigt 1 Hop nach Station A, speichert diese Information und gibt sie an C
weiter. Station C benötigt 1 Hop nach Station B und somit 2 Hops nach Station A.
Station B
Station C
192.168.6.
0
1 Hop nach A
1 Hop nach B / 2 Hops nach A
192.168.1.
0
192.168.4.
0
Verbindung von Station A zu Station B wird unterbrochen. B kann somit A nicht mehr
erreichen. Da C jedoch 2 Hops bis A braucht und C die Nachbarstation von B ist,
braucht B nun 3 Hops nach A und speichert das in der Routingtabelle und gibt diese
Information an C weiter. Station C benötigt nun 3 Hops nach A, da sich der HopCount um eins erhöht. Dieser Vorgang wiederholt sich solange, bis der Hop-Count 16
erreicht und beide Stationen somit wissen, dass A nicht mehr erreichbar ist. [9]
Station B
Station C
2 Hop nach A
1 Hop nach B / 3 Hops nach A
8
Gegenmaßnamen für das Count-to-Infinity Problem sind folgende Verfahren:
Route-Poisoning
Bei diesem Verfahren wird eine mögliche Routing-Schleife verhindert, indem Router
als nicht erreichbar markiert werden. Der Router mit der Route zu dem nicht
erreichbaren Netz ist somit für falsche Routen- Updates nicht empfänglich. Falls ein
Router ein Route-Poisoning von einem anderen Router erhählt, sendet er ein PoisonReverse Update zurück, um sicherzustellen, dass alle Router über die nicht erreichbare
Route Bescheid wissen. [10]
Triggered Update
Bei diesem Verfahren wird das Count-to-Infinity Problem zwar nicht gelöst, jedoch
beschleunigt es den Vorgang zur Erkennung einer fehlerhaften Verbindung. Dabei
werden Routing-Updates sofort geschickt, falls eine Netztopologieänderung erkannt
wird und nicht nur in periodischen Abständen (z.B. alle 30 Sekunden). [11]
Quellen für Aufgabe 4.2
[1] http://www.elektronik-kompendium.de/sites/net/0812111.htm
[2] NET Vorlesungsfolien Kapitel 4
[3] Computer Networking - A Top-Down Approach 6th
[4] http://www.ietf.org/rfc/rfc3626.txt
[5] https://wiki.opennet-initiative.de/wiki/OLSR#OLSR_im_Detail
[6] http://www.itwissen.info/definition/lexikon/routing-information-protocol-RIPRIP-Protokoll.html
[7] http://de.wikipedia.org/wiki/Routing_Information_Protocol
[8] wiki.freifunk.net:81/Freifunk_Kassel
[9] https://vsr.informatik.tu-chemnitz.de/edu/2011/rn/exercises/10/DynamischesRouting.pdf
9
[10] http://cisco.inf.fh-brs.de/course/de-knet311079041288359/ccna3theme/ccna3/CHAPID=knet-1080856164593/RLOID=knet1080856164656/RIOID=knet-1080856164812/knet/1080856164593/content.html
[11] http://de.wikipedia.org/wiki/Triggered_Updates
Aufgabe 4.3 Sicherungs- und Bitübertragungsschicht
4.3.1
Das erneute Senden nach einer Kollision hängt von einer zufälligen Größe K ab. K wird dabei
aus einer Menge bestimmt, welche sich nach der Anzahl der Kollisionen erhöht. Die zufällige
Größe K wird dann mit der Zeit multipliziert, die 512 Bit zur Übertragung benötigen. [1, pp.
457]
Wartezeit für K = 997 bei 10 MiBit/s:
1/(220 * 10) * 512 * 997 = 0,04868 s Wartezeit
4.3.2
Beacon Frames werden vom Access Point des WLAN in regelmäßigen Abständen
ausgesendet. Sie beinhalten die SSID (Service Set Identifier) und die MAC-Adresse des
Access Points. Sie nützen dem Host zur Erkennung des Access Points. [1, pp. 529]
4.3.3
Quellen für 4.3:
1. Kurose, J.F., Ross, K.W.: Computer Networking: A Top-Down Approach. Pearson,
Boston u.a. 6th ed. (2013)
Aufgabe 4.4 : Netzwerksicherheit
4.4.1. MD4-Hash
4.4.2. Side Channel Attack & Man-in-the-Middle Attack
Ein Man-in-the-middle-Angriff ist eine Angriffsform, die in Rechnernetzen ihre
Anwendung findet.
Bei dem MITM-Attack ist ein Angreifer zwischen zwei oder mehreren
Kommunikationspartnern und kann dabei mit seinem System den Datenverkehr zwischen
zwei Partnern vollständig kontrollieren und sogar manipulieren, ohne dass sie es merken.
10
Ziel des Angriffs ist es, die als icher angenommenenn öffentlichen Schlüssel der Partner
durch die Schlüssel des Angreifers zu ersetzten.
Gegenmaßnahmen Sicherung vor Mitlesen Sicherung vor Manipulation
-Sicherung von kurzen Einträgen
https://www-rnks.informatik.tu-cottbus.de/content/unrestricted/animations/Man-inthe Middle%20Attacke.swf
http://de.wikipedia.org/wiki/Man-in-the-middle-Angriff
Side Channel Attack
Ein Angriff wird definiert als ein nicht autorisierter Zugriff auf ein schutzwürdiges Objekt.
Sie werden als Attacken bezeichnet, die die Schwachstellen in der von bestimmten Methoden,
Verfahren, Protokollen, Betriebssystem, Hardware oder einem Algorithmus ausnutzen, aber
den Algorithmus selbst nicht als Angriffsziel haben. Die Attacke erfolgt in der Regel über
Systembeobachtung.
Es handelt sich dabei um einen Angriff auf ein kryptographisches System, der die Ergebnisse
von physikalischen Messungen am System (z.B.: Energieverbrauch, elektromagnetische
Abstrahlung, Zeitverbrauch einer Operation,... ) ausnutzt, um Einblick in sensible Daten zu
erhalten.
Gegenmaßnahmen wirken spezifisch gegen eine odere mehrere
Angriffsformen. Dazu zählen:
• Laufzeitglättung konstante Laufzeiten verhindern Laufzeitattacken, begünstigen aber
auch Power- oder elektromagnetischen Analysen.
Bedeutende Gegenm. Sind Basis-Blinding und Exponenten-Blinding.
• physikalisches Shielding gegen EM-Abstrahlungen,
• Einfügen von Rauschen (Code Obfuscation, Gatter Obfuscation, Signalrauschen,
etc.) verunreinigt Abstrahlung
• Einheitliche Reaktion auf ungültige Eingaben
• Vermeiden von bedingten Sprüngen
http://de.wikipedia.org/wiki/Seitenkanalattacke
Kann Man-in-the-Middle auftreten, wenn symmetrische Verschlüsselung benutzt wird?
Bei dem symmetrischen Verfahren wird der ein- und derselbe Schlüssel zur Ver- und
Entschlüsselung verwendet, somit muss der Schlüssel mit der verschlüsselten Information
übermittelt werden. Doch man muss darauf achten, dass man den Schlüssel über einen
sicheren Kanal verschicken muss, denn der Schlüssel muss geheim gehalten werden. Somit
wäre es möglich, dass ein Man-in-the-Middle auftreten könnte. Doch eine Lösung wäre, dass
man das asymmetrische Verschlüsselungsverfahren einsetzt um den symmetrischen Schlüssel
selbst zu verschlüsseln, somit könnte man den symmetrischen Schlüssel über einen
unsicheren Kanal zu übermitteln, ohne dass ein Man-in-the-Middle auftreten könnte.
http://de.wikipedia.org/wiki/Symmetrisches_Kryptosystem
11
4.4.3. Verschlüsselung mit RSA
Um einen öffentlichen und geheimen Schlüssel zu wählen, müssen folgende Schritte
durchgeführt werden.
1) Man muss zwei „große“ Primzahlen wählen, q und p
q= 33377
p=79777
2) n und z müssen berechnet werden :
n= p*q = 33377*79777= 2662716929 z=(p1)*(q-1)= 33376*79776 = 2662603776
3) Man wählt eine Zahle e, die kleiner als n sein muss und keine gemeinsamen
Primfaktoren mit z hat (außer 1) und eine Zahl d, sodass e*d-1=z ist.
d= 317
e= 8399381
*d steht für den Wert für die Entschlüsselung (decryption)
*e steht für den Wert der Verschlüsselung (encryption)
Überprüfung ob z und e gemeinsame Primfaktoren haben, außer 1:
Primafaktorenzerlegung für e: {1*8399381} Primfaktorenzerlegung
für z: { 2·2·2·2·2·2·2·2·2·2·3·3·7·149·277}
Keine gemeinsamen Primfaktoren
Überprüfen ob Bedingung e*d-1=z stimmt:
z = e*d-1= 8399381*317 -1 = 2662603776
4) Öffentlicher Schlüssel KB+ ist das Zahlenpaar (n,e) =(2662716929,8399381)
Geheimer Schlüssel KB- ist das Zahlenpaar (n,d) =(2662716929, 317)
5) Jetzt wollen wir ein Wort Verschlüsseln und dann Entschlüsseln. Das Wort was
wir ausgewählt haben ist „HALLO“
Zum Verschlüsseln verwendet man folgende Formel:
c = me mod n
12
Buchstaben
m:
im Klartext nummerische
Darstellung
H
8
A
1
L
12
L
12
O
17
Chiffretext:
c = me mod n
(8^8399381) mod 2662716929 = 206861452
(1^8399381) mod 2662716929 = 1
(12^8399381) mod 2662716929 = 1393550673
(12^8399381) mod 2662716929 = 1393550673
(17^8399381) mod 2662716929 = 2605505842
Zum Entschlüsseln verwendet man diese Formel:
m = cd mod n
Chiffretext c
m = cd mod n
206861452
1
1393550673
1393550673
2605505842
(206861452^317) mod 2662716929 = 8
(1^317) mod 2662716929 = 1
(1393550673^317) mod 2662716929 = 12
(1393550673^317) mod 2662716929 = 12
(2605505842^317) mod 2662716929 = 17
Buchstaben
im Klartext
H
A
L
L
O
4.4.4. Verbindungsaufbau von IMAP mit STARTTLS
http://tools.ietf.org/html/rfc2595
13
4.4.5. Forward Secrecy
Bei der Verschlüsselung hängt die Sicherheit davon ab, dass Angreifer nicht an den geheimen
Schlüssel gelangen und gleichzeitig dieser geheime Schlüssel auch vom System angewendet
werden muss, um die Daten zu schützen.
„Perfect Forward Secrecy“ (PFS) oder „Forward Secrecy“ sorgt dafür, dass nicht eine in der
Vergangenheit geführt wird und die bisherige Schlüssel für aufgezeichnete verschlüsselte
Kommunikation sicher bleiben. Denn sofern ein Angreifer sich in der Lage befindet den
privaten Schlüssels zu knacken, können Nachrichten entschlüsselt werden.
Das Secure Socket Layer Protocol (SSL) wurde schon früher der IETF übergeben, damit es
als Teil des Standards für Sicherheit auf Transportschichtebene (Transport Layer Security =
TLS) integriert werden kann.
Bei PFS wird mit dem SSL/TLS den geheimen Schlüssel zum Authentisieren von zwei
Kommunikationspartnern (Client und Server) und der Schlüsselaustausch-Daten verwendet.
Für
den
Austausch
des
symmetrischen
Sitzungsschlüssels
handeln
die
Kommunikationspartner jedes Mal ein neues, temporär gültiges Schlüsselpaar aus. Sobald der
Schlüsselaustausch abgeschlossen ist, muss das Schlüsselpaar gelöscht werden.
Es muss ein Verfahren verwendet werden, bei dem sich beide Kommunikationspartner auf
einen Schlüssel einigen, ohne ihn zu übertragen.
Diffie-Hellmanist ein solches Schlüsselaustauschverfahren.
Hier wird zwischen beiden Kommunikationspartnern verschiedene Nachrichten gesendet und
bekommen am Ende einen gemeinsamen Schlüssel. Bei beiden wird das Schlüsselmaterial
erzeugt und jeweils nur ein Teil davon übertragen. Dadurch kann der Angreifer nicht den
tatsächlichen Schlüssel bekommen, sofern der Schlüssel nach der Kommunikation gelöscht
wird (Session Key).
Zusätzlich:
Sollte der Angreifer dennoch den Private Key während der Kommunikation schon besitzten,
wird das Vefahren für den Angriff schwerer. Er müsste die Kommunikation manipulieren und
aktive Man-in-the-Middle-Angriffe starten, damit er sie mitlesen könnte.
Nach diesem Prinzip arbeitet Perfect Forward Secrecy.
http://www.elektronik-kompendium.de/sites/net/1809181.htm
4.4.6. Kerckhoffschen Prinzip: Instant Messaging Systeme
Kerckhoffschen Prinzip:
Man geht davon aus, dass der Angreifer, der die Nachricht abhört, genau weiß, welches
Verschlüsselungsverfahren und Entschlüsselungsverfahren genutzt wird. Die einzige
Information, die man hat und die dem Angreifer nicht vorliegt, ist der Schlüssel.
„Die Sicherheit eines Kryptoverfahrens soll nie von der Geheimhaltung des Verfahrens
abhängen, sondern allein von der Geheimhaltung des verwendeten Schlüssels.“
http://www.hochschuletrier.de/fileadmin/groups/12/Personen/Professoren/Scheerhorn/Projektarbeiten/Chiffren.pdf
http://de.wikipedia.org/wiki/Kerckhoffs%E2%80%99_Prinzip
Threema:
14
Threema nutzt die offene NaCL-Bibliothek, wo 256 bit lange asymmetrische
Schlüssel verwenden, die mittels Elliptic Curve Cryptography erzeugt werden.
Dadurch können nur der Absender und der Empfänger die Nachricht lesen, denn die
Verschlüsselung geschieht auf ihren Geräten, dadurch sollte kein Dritter die Inhalte der
Nachrichten entschlüsseln können. Sollte sich auf dem Endgerät aber ein Virus oder Trojaner
befinden, können Nachrichten durch Aufzeichnen der Tastatureingabe vor der eigentlichen
Verschlüsselung ausgelesen werden.
Die Verschlüsselung funktioniert so, dass der Anwender beim ersten Start der App ein
individuelles Schlüsselpaar erstellt, indem er ein paar Sekunden mit zufälligen Bewegungen
über ein Feld wischt. Daraus wird Schlüsselpaar errechnet, dies besteht wiederum aus einem
privaten und einem öffentlichen Schlüssel. Der private Schlüssel bleibt die ganze Zeit auf
dem Gerät, der öffentliche dagegen muss verteilt werden, damit er mit seinen Kontakten
kommunizieren kann.
Aus dem öffentlichen Schlüssel des Empfängers und dem privaten des Senders wird dann
auch ein dritter Schlüssel errechnet, der die jeweilige Nachricht für fremde Augen unlesbar
macht, dadurch wird garantiert das kein Dritter mitschauen kann. Dieser Messanger ist kein
Openressource Software.
Da in dem Fall das Verfahren bekannt ist und ein Schlüssel geheim gehalten wird, gilt
somit das Kerckhoffschen Prinzip.
http://www.xn--verschlsseln-jlb.org/whatsapp-verschluesseln/
http://www.stern.de/digital/telefon/sicherer-sms-ersatz-warum-threema-dasbessere- whatsapp-ist-2091239.html
http://de.wikipedia.org/wiki/Threema
Chatsecure
Chatsecure nutzt zur Verschlüsselung die Libgcrypt und Off-the-Record-Messaging (OTR).
Damit lassen sich Ende-zu-Ende-verschlüsselte Nachrichten austauschen, die nicht im
Nachhinein entschlüsselt werden können, da für jede Sitzung neue Schlüssel verwendet
werden (Perfect Forward Secrecy).
In dem Fall gilt wieder das Kerckhoffschen Prinzip, da das Verfahren bekannt ist und die
Schlüssel geheim gehalten werden. http://de.wikipedia.org/wiki/Liste_von_mobilen_InstantMessengern http://www.golem.de/news/ende-zu-ende-verschluesselung-alternativen-zufacebooks- whatsapp-1402-104693-2.html
Skype
Skype läuft über TCP /IP. Die Authentifizierung mit dem zentralen Server erhält der Client
einen privaten Schlüssel für RSA Verschlüsselung mit öffentlichen Schlüsseln. ControlMeldungen, wie Session Initiation ( Rufaufbau) wird mit dem RC4-Schlüssel verschlüsselt.
Voice-Pakete werden von der AES -System, das für die Advance-Encryption Standard
verschlüsselt steht. Diese verwendet öffentliche Schlüssel. Die RC4-Verschlüsselung um die
Client- Super- Knoten hat das Recht auf das Netzwerk zuzugreifen. Wenn der
Authentifizierungs-Server den RC4-Schlüssel an den Client sendet, sendet er diese an den
nächsten Super-Knoten. So weiß der Super-Knoten, dass der Kunde die Erlaubnis hat das
15
Netzwerk zu verwenden, weil eingehende Nachrichten mit dem Schlüssel für den Benutzer
registriert bzw. entschlüsselt werden können.
Das Skype-Protokoll enthält mehrere Schichten. Zuerst wird der Ton in digitale Informationen
über die iLBC und iSAC Codecs umgewandelt. Mechanismen werden durch die Verwendung
von RC4 -Verschlüsselung und eine reguläre Klang Kommunikation mit regelmäßigen TCP
/IP-Pakete mit ihren Daten durch AES -Verschlüsselung verschlüsselt. Die Mitglieder des
Netzwerks kommunizieren direkt miteinander unter dem Peer-to- Peer-Architektur und durch
Verfahren der File-Sharing- System erstellt.
http://de.wingwit.com/Software/skype/166592.html#.U52c9_mSySo
16