:quality(80)/p7i.vogel.de/wcms/9c/bb/9cbb5825efdfea727b826d3f0463dd9b/0108252158.jpeg "Mitarbeiter geraten heute schnell ins Visier von Cyberkriminellen. Nur durch Security Awareness Trainings können sie diese Tricks rechtzeitig erkennen. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/d9/01d96a53f8d2a111e5a98976be1cfff3/0108278988.jpeg "Wir kommen in Zukunft zwar vielleicht ohne Passwörter aus, aber Access-Management-Lösungen zur Authentifizierung und Autorisierung der Benutzer werden weiterhin dringend gebraucht. (Bild: adam121 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e9/34/e93444cbcc0f518c1bc0a005dc36147c/0108250229.jpeg "Enterprise Network Firewalls schützen das Unternehmensnetz vor einer Vielzahl möglicher Attacken. Von klassischen DDoS-Angriffen über Trojaner und Malware in verschlüsselten Datenübertragungen, bis hin zu Advanced Persistent Threats. (Bild: valerybrozhinsky - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3d/10/3d100caa95695d76a33a2a0b06c06a18/0111566255.jpeg "Stefan Würtemberger ist Vice President Information Technology bei der Marabu GmbH & Co. KG und Keynote-Speaker auf der ISX IT-Security Conference 2023. (Bild: Marabu)")
:quality(80)/p7i.vogel.de/wcms/38/06/3806f6802163325feccc44681e087da8/0111445854.jpeg "Die stark zunehmenden Zahlen an Phishing-Angriffen sind alarmierend. Gerne nutzen Hacker bekannte Markennamen und Alltagsvorgänge für Betrügereien. (Bild: mpix-foto - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/4a/14/4a148d5b25d0531414602748ca3b8d7f/0111445861.jpeg "Eine Palo Alto Networks/Unit 42-Analyse zeigt, dass der enorme Anstieg von Betrugsversuchen durchaus auf ChatGPT zurückzuführen ist. (Bild: Sutthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e2/d7/e2d76ee2b2cb837444082fa333c883b2/0111569267.jpeg "Die CloudGuard Network Security von Check Point bietet Unternehmen ein verbrauchsbasiertes Angebot, das nahtlos in den Azure Virtual WAN Hub integriert ist. (Bild: bluebay2014 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d1/71/d1714e2bf277fe66c02fb54dcf490967/0111445786.jpeg "Smart TVs sind ungenügend abgesichert, ergab der IoT-Security-Landscape-Report von Bitdefender und Netgear. (Bild: Bildwasser - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bc/08/bc08b024279eb8e2cc17fdc771db674a/0111557394.jpeg "Wir zeigen, was Administratoren beim Testen von Backups beachten müssen und wie sie Backup-Tests effizient durchführen und automatisieren können. (Bild: Sikov - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5e/f75e227e1311b333bc75726c68a27f93/0111555902.jpeg "Wie Unternehmen mit der Azure Firewall die Sicherheit in der Cloud und im lokalen Netzwerk maximieren, zeigen wir in diesem Video-Tipp. (Bild: kran77 - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/6d/aa/6daa5aa29b25141662484e5704d48298/0111398469.jpeg "In diesem Tool-Tipp zeigen wir, welche Möglichkeiten die Linux-Distrtibution Tails für sichere und anonyme Verbindungen zum Internet bietet. (Bild: sarayut_sy - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b4/c5/b4c5fe7bfc2459c29486330f36689d97/0111355300.jpeg "Wenn wir an beeindruckende Gebäude wie das Taj Mahal, die Oper von Sydney oder das Empire State Building denken, sehen wir große Architektur, aber denken kaum über das Fundament nach, auf dem die Bauwerke stehen und ohne das sie nicht existieren würden. (Bild: frei lizenziert)")
:quality(80)/p7i.vogel.de/wcms/9b/c9/9bc9d2450e18b1d41cd37c64d318775b/0110983920.jpeg "Ein ganzheitlicher Ansatz für Anwendungssicherheit kombiniert Automatisierung, DevSecOps sowie ein integriertes Performance- und Sicherheitsmonitoring. (Bild: <a href=https://pixabay.com/users/mmh30-18599832/>Mmh30</a>)")
:quality(80)/p7i.vogel.de/wcms/2b/15/2b15a08e13f7973b6a2ced3f57867735/0111274612.jpeg "Das Unternehmen Grammarly beschloss den Wechsel von OTP- zu FIDO2-Authentifizierung. Was waren die Gründe für die Umstellung, die technische Anforderungen und welche zentralen Key-Learnings gab es? (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/e8/f2e8387ef3cf06898b1122263188a7ba/0111212748.jpeg "Über Gruppenrichtlinien ändert die Microsoft-Lösung LAPS (Local Administrator Password Solution) lokale Kennwörter zu sicheren Zeichenfolgen ab. Der Zugriff auf diese Passwörter ist nur berechtigten Administratoren im Active Directory möglich. (Bild: Urupong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/29/7a/297afbfbd472bbd68b909504b340d8d3/0110983938.jpeg "Ein Großteil der Verbraucher bevorzugt den Fingerabdruck-Scan zur Identifizierung. (Bild: Dilok - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/93/84/9384bb94ea017e26e687483b37d810c5/0111697481.jpeg "Die ISO 27001-Norm ist ein lohnenswerter und unerlässlicher Standard, vor allem für Unternehmen im Finanzsektor. (Bild: WrightStudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f2/fc/f2fc6769dabf502d45912be2472d363e/0111572675.jpeg "In letzter Zeit rücken vermehrt öffentliche Einrichtungen und die Verwaltung ins Visier von Cyberkriminellen. (© sitthiphong - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/25/37/25379f26b78cbb4f91e3e8446f5aa637/0111189642.jpeg "(Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/6d/d7/6dd79933ebb02e829960e12ea0e7ae09/0111189555.jpeg "Bei BaaS (Backup-as-a-Service) erfolgt die Datensicherung über Netzwerkverbindungen auf einem Cloud-Storage. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/89/4489a121318d790fc55c66bd396c5650/0111189558.jpeg "CaaS (Cybercrime-as-a-Service) ist ein professionalisiertes Geschäftsmodell für Cyberkriminalität mit buchbaren Dienstleistungen. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Definition Perfect Forward Secrecy (PFS) Was ist Perfect Forward Secrecy (PFS)?
Perfect Forward Secrecy (PFS) ist eine Methode für den Schlüsselaustausch kryptografischer Verfahren, das die nachträgliche Entschlüsselung durch Bekanntwerden des Hauptschlüssels verhindert. Die Sitzungsschlüssel werden nicht ausgetauscht und sind nicht mehr rekonstruierbar.
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/60/51/6051ee3ab9254/v2-screen-m.png "V2_Screen_M.png (SEPPmail - Deutschlang GmbH)")
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Eine gängige Methode, um verschlüsselten Datenverkehr nachträglich zu entschlüsseln, ist es, zunächst sämtlichen Datenverkehr in verschlüsselter Form aufzuzeichnen. Wird ein Schlüssel zu einem späteren Zeitpunkt bekannt, der für die Verschlüsselung verwendet wurde, ist es möglich, den Datenverkehr wieder in die unverschlüsselte Form zu bringen und auf die tatsächlichen Daten zuzugreifen. Perfect Forward Secrecy, abgekürzt PFS, bedeutet so viel wie perfekte vorwärtsgerichtete Geheimhaltung und soll die nachträgliche Entschlüsselung verhindern.
Es handelt sich bei PFS um eine Eigenschaft von Schlüsselaustauschprotokollen in der Kryptographie, die es unmöglich macht, durch die Kenntnis eines geheimen Haupt- oder Langzeitschlüssels einen Sitzungsschlüssel zu rekonstruieren. Eine aufgezeichnete Sitzung ist dank PFS selbst bei der Kenntnis des Hauptschlüssels nicht mehr zu entschlüsseln. Die nachträgliche Aufdeckung des Hauptschlüssels bleibt für die bereits erfolgte Kommunikation ohne Folgen.
Austauschs von Sitzungsschlüsseln bei verschlüsselten Verbindungen
Um verschlüsselte Verbindungen wie mit SSL oder TLS aufzubauen, ist es erforderlich, dass beide Kommunikationspartner Kenntnis über den für die Sitzung verwendeten Sitzungsschlüssel haben. Hierfür wird der Sitzungsschlüssel über die Public-Key-Kryptografie zu Beginn der Kommunikation übertragen. Es werden die privaten und öffentlichen Schlüssel der Kommunikationspartner verwendet, um den Sitzungsschlüssel geheim auszutauschen.
Wird der private Schlüssel eines Kommunikationspartners nachträglich bekannt, wäre es prinzipiell möglich, den Sitzungsschlüssel zu rekonstruieren und sämtlichen in der Sitzung übertragenen Verkehr nachträglich zu entschlüsseln. Problematisch ist dies, da durch immer größere Leistung der Computer davon auszugehen ist, dass heute noch sichere private Schlüssel zukünftig eventuell errechenbar sind. Es genügt also Datenverkehr mitzuschneiden und durch die spätere Kenntnis des privaten Schlüssels alle Sitzungsschlüssel zu erhalten. Erfolgte Kommunikation könnte auf diese Weise Jahre später lesbar gemacht werden.
Da prinzipiell jeder Schlüssel durch Methoden wie aufwendige Analyseverfahren, Diebstahl, Ausspähung, Nachlässigkeit und weitere aufgedeckt werden kann, bieten Sitzungsschlüssel nur ausreichenden Schutz, wenn Sie zu Beginn einer Sitzung nicht übertragen werden und dadurch dem Angreifer prinzipiell nicht zur Verfügung stehen. Selbst wenn dem Angreifer der private Schlüssel des Kommunizierenden vorliegt, ist es ihm dann nicht möglich, den Sitzungsschlüssel und die Daten der Sitzung lesbar zu machen.
Funktionsweise von Perfect Forward Secrecy
Perfect Forward Secrecy verwendet das so genannte Diffie-Hellman-Verfahren. Dieses sorgt dafür, dass der Sitzungsschlüssel nicht übertragen werden muss. Der Angreifer kann durch Aufzeichnung des Datenverkehrs gar nicht in den Besitz des Sitzungsschlüssels gelangen. Zudem ist der geheime Sitzungsschlüssel nicht dauerhaft gespeichert und wird nach Beendigung der Sitzung umgehend gelöscht.
Die Kommunikationspartner können sich dank dem Diffie-Hellman-Verfahren auf einen Schlüssel einigen, ohne ihn zu übertragen. Es werden Teile des Schlüssels ausgetauscht, aus denen die Partner den kompletten Schlüssel mathematisch berechnen. Ein Sitzungsschlüssel ist nur für eine definierte Zeit gültig. Nach Ablauf dieser Zeit startet PFS die Aushandlung eines neuen Diffie-Hellman-Prozesses. Nachfolgende Sitzungsschlüssel haben keinen Bezug untereinander und sind nicht gegenseitig ableitbar. Durch die Kenntnis eines einzelnen Sitzungsschlüssels ist kein Folgeschlüssel zu ermitteln.
Vor- und Nachteile von PFS
PFS bietet wesentlich mehr Sicherheit vor nachträglicher Entschlüsselung. Allerdings hat das Diffie-Hellman-Verfahren höhere Anforderungen an die Rechenleistung der Systeme. Die für die Schlüsselerzeugung benötigte Zeit steigt und der SSL-Handshake verlangsamt sich. Ein Server, der viele verschiedene Verbindungen terminiert und PFS nutzt, ist wesentlich höher belastet. Unter Umständen ist leistungsfähigere Hardware zum Betrieb des Servers bereitzustellen.
(ID:45060546)
:quality(80)/images.vogel.de/vogelonline/bdb/1930800/1930817/original.jpg "Das JSON Web Token (JWT) hilft bei der sicheren Übertragung von JSON-Objekten, zum Beispiel für Authentifizierungsaufgaben zustandsloser Sessions. (gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1917400/1917403/original.jpg "Alice und Bob sind synonyme Namen für Kommunikationspartner zur Erklärung von Kommunikationsvorgängen und kryptographischen Abläufen. (gemeinfrei)")