🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen:
it-themen:grundlagen:netzwerkdienste:mitm

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:mitm [23.12.2025 09:43] – [Wichtige Voraussetzung für den Angriff] larsit-themen:grundlagen:netzwerkdienste:mitm [23.12.2025 10:21] (aktuell) – [TLS-MITM – Ablauf (ASCII-Sequenzdiagramm, a2s)] lars
Zeile 14: Zeile 14:
  
 --- ---
 +
 ## Beteiligte Rollen ## Beteiligte Rollen
  
Zeile 24: Zeile 25:
 ## Wichtige Voraussetzung für den Angriff ## Wichtige Voraussetzung für den Angriff
  
-<WRAP left round important 60%>+<WRAP  round important 60%>
 **Der Angriff funktioniert nur, wenn Alice das MITM-Zertifikat akzeptiert.** **Der Angriff funktioniert nur, wenn Alice das MITM-Zertifikat akzeptiert.**
 </WRAP> </WRAP>
 +
  
  
Zeile 35: Zeile 37:
 * Fehlendes Certificate Pinning * Fehlendes Certificate Pinning
  
--- + 
--+---
 ## TLS-MITM – Ablauf (ASCII-Sequenzdiagramm, a2s) ## TLS-MITM – Ablauf (ASCII-Sequenzdiagramm, a2s)
  
 <a2s> <a2s>
 Alice (Client)        Mallory (MITM)        Bob (Server) Alice (Client)        Mallory (MITM)        Bob (Server)
 +
     |                      |                     |     |                      |                     |
-    |--- HTTPS Request --->                    | 
-    |                      |--- HTTPS Request -->| 
-    |                      |<-- Server Cert -----| 
     |                      |                     |     |                      |                     |
-    |                      |-- Fake Cert --------| +    o--- HTTPS Request --->+                     |
-    |<-- Fake Cert --------|                     |+
     |                      |                     |     |                      |                     |
-    |-- Verify Cert OK --> |                     |+    |                      o--- HTTPS Request -->+
     |                      |                     |     |                      |                     |
-    |-- PreMasterSecret ---|                     |+    |                      +<-- Server Cert -----o 
 +                                             | 
 +    |                      o-- Fake Cert         | 
 +    |                      |                     | 
 +    +<-- Fake Cert --------o                     | 
 +    |                      |                     | 
 +    |                      |                     | 
 +    |-- Verify Cert OK --->                    | 
 +    |                      |                     | 
 +    |   PreMasterSecret ---o                     |
     |  (encrypted with                         |     |  (encrypted with                         |
     |   Public Key from    |                     |     |   Public Key from    |                     |
     |   received cert)                         |     |   received cert)                         |
-    |                      |-- Decrypt ----------|+    |                      o---- Decrypt         | 
 +    |                      |                     |
     |                      |                     |     |                      |                     |
-    |                      |-- New PreMaster --->|+    |                      o-- New PreMaster --->+
     |                      |   (own TLS session) |     |                      |   (own TLS session) |
     |                      |                     |     |                      |                     |
-    |<==== TLS Tunnel =====|<==== TLS Tunnel ====|+    +<==== TLS Tunnel =====|<=== TLS Tunnel =====o
     |                      |                     |     |                      |                     |
 </a2s> </a2s>
Zeile 124: Zeile 133:
  
 --- ---
- 
 ## Ergebnis: Zwei getrennte TLS-Tunnel ## Ergebnis: Zwei getrennte TLS-Tunnel
  
-Verbindung      Inhalt                                  +Verbindung      Inhalt                                  ^
-| --------------- | --------------------------------------- |+
 | Alice ↔ Mallory | Vollständig entschlüsselbar für Mallory | | Alice ↔ Mallory | Vollständig entschlüsselbar für Mallory |
 | Mallory ↔ Bob   | Reguläre TLS-Verbindung                 | | Mallory ↔ Bob   | Reguläre TLS-Verbindung                 |
Zeile 141: Zeile 148:
  
 --- ---
- 
 ## Merksätze (prüfungsrelevant) ## Merksätze (prüfungsrelevant)
 +
  
 > **TLS schützt nicht vor MITM, sondern vor unbekannten MITM.** > **TLS schützt nicht vor MITM, sondern vor unbekannten MITM.**
 +>
 > **Der Client weiß nie, dass es ein MITM ist – sonst wäre der Angriff gescheitert.** > **Der Client weiß nie, dass es ein MITM ist – sonst wäre der Angriff gescheitert.**
 +>
 +> **HTTPS-Sicherheit basiert auf Vertrauen in Zertifikate, nicht auf Verschlüsselung allein.**
  
-> **HTTPS-Sicherheit basiert auf Vertrauen in Zertifikate, nicht auf Verschlüsselung allein.** 
  
 --- ---
Zeile 154: Zeile 162:
 ## Typische Schutzmechanismen ## Typische Schutzmechanismen
  
-Maßnahme                           Wirkung                      +Maßnahme                           Wirkung                      ^
-| ---------------------------------- | ---------------------------- |+
 | HSTS                               | Erzwingt HTTPS               | | HSTS                               | Erzwingt HTTPS               |
 | Certificate Pinning                | Blockiert fremde Zertifikate | | Certificate Pinning                | Blockiert fremde Zertifikate |
Zeile 168: Zeile 175:
 Wer die Zertifikatskette kontrolliert, kontrolliert die Verbindung. Wer die Zertifikatskette kontrolliert, kontrolliert die Verbindung.
  
---- 
- 
-Wenn du willst, mache ich dir als Nächstes: 
- 
-* 🔹 eine **AP1/AP2-Kurzfassung** 
-* 🔹 eine **Vergleichsseite: echter TLS-Handshake vs. MITM** 
-* 🔹 oder eine **„Warum Firmen HTTPS mitlesen dürfen“-Erklärung** 
  
-Sag einfach Bescheid. 
  
it-themen/grundlagen/netzwerkdienste/mitm.1766479433.txt.gz · Zuletzt geändert: von lars