05-06-2025

Cue Column

Important

Secure CryptoGraphic Keys

Zwei Methoden : Mit und ohne Menschlichen Eingriff

1 : Mit menschlichen Eingriff

Siche Passwort aus

Hashe dieses Passwort mit SHA-256 / SHA-512

Benutze dieses Passwort

2 : Ohne menschlichen Eingriff

Wähle Passwort aus /dev/random oder /dev/urandom aus.

Benutze Dieses Passwort

Important

Die 2 Methode ist sicherer, da somit das PW auch wirklioch random ist

Alternative PAsswort Methoden

Challenge/Response

server sends x

client sends MD5(x + pass) to server

used in POP3

drawback : clear text passwords on the server

One-Time Passwords

a random password list

used in PIN / TAN

HMAC or Time Based Passwords

Lamport One-Time Password

Important

Man kann sich das Verfahren wie eine Einbahnstraße.

Verfahren :

INIT : System stores $x_{4}$

user enters $x_{3}$

System compares $h (x_{3}) == x_{4}$

If Unequal : Permission denied

System stores $x_{3}$

user enters $x_{2}$

system

HOTP - HMAC based - mit Counter

Important

Hier wird der Key auf zwei Weisen in die Hashfunktion gebracht - i==nner und outer Key==.

$h (k_{1}, h (k_{2}, m))$

Was ist MAC ?

message authentication code → digitale Signatur

HMAC → Hash Based

counter c, key K synchronized between client and server

Bei Jedem Schritt ein neues Password

TOTP - Time Based One Time Password

Benutzt ==05-06-2025==

Hiebei wird der Counter durch die jeweilige Zeit ersetzt.

$t = (A k t u e ll e U ni x - Z e i t - t 0) /30$

Two Factor Authorization

Used widely in Applications

Example : Google Authenticate

IDEA : share secret key between server and mobile phone

Authentication without passwords

Public Key Crypto

used in ssh

Secure Remote Password Protocol

Network Wide User management - LDAP

OpenLDAP for managing users on Linux/MacOS

ActiveDirectory (AD) for managing users on Windows

Lightweight Direct Access Protocol

Important

Grundsätzlich ein Protokoll um User Daten zentral in einem Verzeichnis system zu speichern, und abfragen zu können.

LDAP optimiert für schnelles Lesen : Benutzer Abfragen, Prüfen der ErlaubnisRechte.

LDAP speichert Objekte mit Attributen → „Gib mir alle Nutzer mit Attribut **department=IT**“.

Hierarchical Concept : Users in Groups, groups in departments, departments in Organizations

Data Types : attributes may be mandatory or optional

Architektur von LDAP

Server-Seite: slapd (der LDAP-Daemon, also der eigentliche Verzeichnisdienst).

Client-Seite:

PAM (Pluggable Authentication Modules → Integration ins Login-System)

nss_ldap (damit getent passwd etc. User aus LDAP sieht)

ldap.conf (Konfiguration, welcher Server benutzt wird)

PAM - Pluggable Authentication Modules

different auth for different users, for different services

mechanisms for new auth methods

PAM Authentication Methods

OPIE

smartcards

Kerberos

Integration von LDAP ins Betriebssystem

login fragt → getpwnam() → nsswitch.conf entscheidet Quelle → entweder /etc/passwd, NIS oder LDAP

→ falls LDAP, dann über nss_ldap und pam_ldap → LDAP-Server slapd.

Important

nss_ldap = „finde den User im LDAP“ (Identität).

pam_ldap = „prüfe das Passwort im LDAP“ (Authentifizierung).

Action Items for Self

[ ]

[ ]

[ ]

Action Items for Others

[ ]

[ ]

[ ]

Questions

Summaries

Important

Quartz 4

Explorer

05-06-2025

Zwei Methoden : Mit und ohne Menschlichen Eingriff

1 : Mit menschlichen Eingriff

2 : Ohne menschlichen Eingriff

Alternative PAsswort Methoden

Challenge/Response

One-Time Passwords

Lamport One-Time Password

Verfahren :

HOTP - HMAC based - mit Counter

Was ist MAC ?

TOTP - Time Based One Time Password

Two Factor Authorization

Authentication without passwords

Public Key Crypto

Network Wide User management - LDAP

Lightweight Direct Access Protocol

Architektur von LDAP

PAM - Pluggable Authentication Modules

PAM Authentication Methods

Integration von LDAP ins Betriebssystem

Graph View

Table of Contents

Backlinks