🖥️ Veni. Vidi. sudo rm -rf / vici.

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: • ntp • dhcp • virtualisierung • docker • linux_grundlagen • syslog • smb_cifs_samba
it-themen:grundlagen:netzwerkdienste:verschluesselung

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Nächste Überarbeitung		Vorhergehende Überarbeitung
it-themen:grundlagen:netzwerkdienste:verschluesselung [04.12.2025 14:08] – angelegt larsit-themen:grundlagen:netzwerkdienste:verschluesselung [04.12.2025 14:39] (aktuell) – [Zusammenfassung] lars
Zeile 27: Zeile 27:
   * 3DES (veraltet)   * 3DES (veraltet)
  
-ASCII: 
  
-<code> + 
-SchlĂźssel K â†’ Daten â†“ +<a2s> 
-verschlßsselt + 
-↑ +      verschlĂźsselt 
-SchlĂźssel K â†’ entschlĂźsselt +.-------.     .-------------. 
-</code>+|                       | 
 +| Daten +---->SchlĂźssel K | 
 +|                       | 
 +'-------'     '------+------' 
 +                     | 
 +                     v 
 +               .-----+------. 
 +                          | 
 +               | slkgj34fwe |  verschlĂźsselte Daten 
 +               |            | 
 +               '-----+------' 
 +                     | 
 +      entschlĂźsselt  v 
 +.-------.     .------+------. 
 +|                       | 
 +| Daten +<----+ SchlĂźssel K | 
 +|                       | 
 +'-------'     '-------------' 
 + 
 + 
 +</a2s>
  
 Vorteile: Vorteile:
Zeile 60: Zeile 79:
   * Ed25519 (Shadowsocks, SSH etc.)   * Ed25519 (Shadowsocks, SSH etc.)
  
-ASCII:+
  
 <code> <code>
-Public Key  → verschlĂźsselt + 
-Private Key → entschlĂźsselt+ Public Key  → verschlĂźsselt 
 + Private Key → entschlĂźsselt 
 + 
 </code> </code>
  
Zeile 89: Zeile 111:
   * apt-get prĂźft digitale Signaturen   * apt-get prĂźft digitale Signaturen
  
-ASCII:+
  
 <code> <code>
-Private Key → Signatur + 
-Public Key → PrĂźfung: gĂźltig?+ Private Key → Signatur 
 + Public Key → PrĂźfung: gĂźltig? 
 + 
 </code> </code>
 +
  
 --- ---
Zeile 136: Zeile 162:
 5) Daten fließen verschlĂźsselt 5) Daten fließen verschlĂźsselt
  
-ASCII:+
  
 <code> <code>
-Browser → TLS Handshake → Server + 
-        â† Zertifikat+ Browser → TLS Handshake → Server 
 +         â† Zertifikat 
 + 
 </code> </code>
  
Zeile 189: Zeile 218:
  
 <code> <code>
-Root CA + 
-  â†“ signiert + Root CA 
-Intermediate CA +   â†“ signiert 
-  â†“ signiert + Intermediate CA 
-Server Zertifikat+   â†“ signiert 
 + Server Zertifikat 
 + 
 </code> </code>
  
 Der Client vertraut → Root CA → Intermediate → Server   Der Client vertraut → Root CA → Intermediate → Server  
 â†’ wenn eine Stufe fehlt: „Zertifikat nicht vertrauenswĂźrdig“. â†’ wenn eine Stufe fehlt: „Zertifikat nicht vertrauenswĂźrdig“.
 +
  
 --- ---
Zeile 235: Zeile 268:
  
 ===== Webserver ===== ===== Webserver =====
-  * HTTPS per TLS 1.2+  Â +  * HTTPS per TLS 1.2+ 
-  * Let’s Encrypt via ACME (Traefik)  +  * Let’s Encrypt via ACME (Traefik)
  
 ===== Mailserver ===== ===== Mailserver =====
-  * STARTTLS  Â +  * STARTTLS 
-  * SMTPS (465)  Â +  * SMTPS (465) 
-  * DANE optional  +  * DANE optional
  
 ===== VPN ===== ===== VPN =====
-  * WireGuard (modern) → Curve25519  Â +  * WireGuard (modern) → Curve25519 
-  * OpenVPN → TLS  +  * OpenVPN → TLS
  
 ===== Container & Microservices ===== ===== Container & Microservices =====
-  * interne TLS-Kommunikation  Â +  * interne TLS-Kommunikation 
-  * mTLS (Mutual TLS) in Service Meshes (z. B. Istio)  +  * mTLS (Mutual TLS) in Service Meshes (z. B. Istio)
  
 ===== Backups ===== ===== Backups =====
-  * AES-VerschlĂźsselung  Â +  * AES-VerschlĂźsselung 
-  * GPG fĂźr signierte Archive  +  * GPG fĂźr signierte Archive 
  
 --- ---
Zeile 260: Zeile 294:
  
 ===== 1) Nur moderne Protokolle verwenden =====   ===== 1) Nur moderne Protokolle verwenden =====  
-  * TLS 1.2 / 1.3  Â +  * TLS 1.2 / 1.3 
-  * keine alten Ciphers (RC4, 3DES, MD5, SHA1)  +  * keine alten Ciphers (RC4, 3DES, MD5, SHA1)
  
 ===== 2) Private Keys gut schĂźtzen =====   ===== 2) Private Keys gut schĂźtzen =====  
-  * 600-Rechte  Â +  * 600-Rechte 
-  * niemals teilen  Â +  * niemals teilen 
-  * nie per E-Mail versenden  +  * nie per E-Mail versenden
  
 ===== 3) Zertifikate automatisch erneuern =====   ===== 3) Zertifikate automatisch erneuern =====  
-  * Let’s Encrypt (ACME)  Â +  * Let’s Encrypt (ACME) 
-  * Cronjobs oder Traefik-Auto-Renewal  +  * Cronjobs oder Traefik-Auto-Renewal
  
 ===== 4) HSTS aktivieren =====   ===== 4) HSTS aktivieren =====  
-  * Browser erzwingt HTTPS  +  * Browser erzwingt HTTPS
  
 ===== 5) Passwort-Hashverfahren modern halten =====   ===== 5) Passwort-Hashverfahren modern halten =====  
-  * Argon2id  Â +  * Argon2id 
-  * bcrypt  +  * bcrypt
  
 ===== 6) Nutzung von MFA erzwingen =====   ===== 6) Nutzung von MFA erzwingen =====  
Zeile 284: Zeile 318:
  
 ===== 8) interne TLS-Verbindungen prĂźfen =====   ===== 8) interne TLS-Verbindungen prĂźfen =====  
-  * LDAP StartTLS  Â +  * LDAP StartTLS 
-  * Datenbankverbindungen (MariaDB SSL)  +  * Datenbankverbindungen (MariaDB SSL) 
  
 --- ---
Zeile 291: Zeile 326:
 ====== Zusammenfassung ====== ====== Zusammenfassung ======
  
-  * Symmetrisch = schnell, gleicher SchlĂźssel  Â +  * Symmetrisch = schnell, gleicher SchlĂźssel 
-  * Asymmetrisch = Public/Private Key, Grundlage fĂźr TLS  Â +  * Asymmetrisch = Public/Private Key, Grundlage fĂźr TLS 
-  * Hashes dienen der Integrität & Passwortspeicherung  Â +  * Hashes dienen der Integrität & Passwortspeicherung 
-  * TLS verschlĂźsselt Web-, Mail- und API-Verkehr  Â +  * TLS verschlĂźsselt Web-, Mail- und API-Verkehr 
-  * Zertifikate basieren auf PKI & Chain of Trust  Â +  * Zertifikate basieren auf PKI & Chain of Trust 
-  * Let’s Encrypt ermĂśglicht automatische Zertifikate  Â +  * Let’s Encrypt ermĂśglicht automatische Zertifikate 
-  * Moderne Sicherheit = starke VerschlĂźsselung + sichere SchlĂźsselverwaltung  +  * Moderne Sicherheit = starke VerschlĂźsselung + sichere SchlĂźsselverwaltung
it-themen/grundlagen/netzwerkdienste/verschluesselung.1764853732.txt.gz ¡ Zuletzt geändert: von lars