Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- it-themen:grundlagen:netzwerkdienste:verschluesselung [04.12.2025 14:25] – [1. Symmetrische Verschlüsselung] lars
+++ it-themen:grundlagen:netzwerkdienste:verschluesselung [04.12.2025 14:39] (aktuell) – [Zusammenfassung] lars
@@ Zeile 33: / Zeile 33: @@
       verschlüsselt
 .-------.     .-------------.
+|       |     |             |
 | Daten +---->+ Schlüssel K |
+|       |     |             |
 '-------'     '------+------'
                      |
                      v
                .-----+------.
+               |            |
                | slkgj34fwe |  verschlüsselte Daten
+               |            |
                '-----+------'
                      |
-                     v
+      entschlüsselt  v
 .-------.     .------+------.
+|       |     |             |
 | Daten +<----+ Schlüssel K |
+|       |     |             |
 '-------'     '-------------'
-      entschlüsselt
 </a2s>
@@ Zeile 73: / Zeile 79: @@
   * Ed25519 (Shadowsocks, SSH etc.)
-ASCII:
 <code>
-Public Key  → verschlüsselt
-Private Key → entschlüsselt
+ Public Key  → verschlüsselt
+ Private Key → entschlüsselt
 </code>
@@ Zeile 102: / Zeile 111: @@
   * apt-get prüft digitale Signaturen
-ASCII:
 <code>
-Private Key → Signatur
-Public Key → Prüfung: gültig?
+ Private Key → Signatur
+ Public Key → Prüfung: gültig?
 </code>
 ---
@@ Zeile 149: / Zeile 162: @@
 ) Daten fließen verschlüsselt
-ASCII:
 <code>
-Browser → TLS Handshake → Server
-        ← Zertifikat
+ Browser → TLS Handshake → Server
+         ← Zertifikat
 </code>
@@ Zeile 202: / Zeile 218: @@
 <code>
-Root CA
-  ↓ signiert
+ Root CA
-Intermediate CA
+   ↓ signiert
-  ↓ signiert
+ Intermediate CA
-Server Zertifikat
+   ↓ signiert
+ Server Zertifikat
 </code>
 Der Client vertraut → Root CA → Intermediate → Server
 → wenn eine Stufe fehlt: „Zertifikat nicht vertrauenswürdig“.
 ---
@@ Zeile 248: / Zeile 268: @@
 ===== Webserver =====
   * HTTPS per TLS 1.2+
   * Let’s Encrypt via ACME (Traefik)
 ===== Mailserver =====
   * STARTTLS
   * SMTPS (465)
   * DANE optional
 ===== VPN =====
   * WireGuard (modern) → Curve25519
   * OpenVPN → TLS
 ===== Container & Microservices =====
   * interne TLS-Kommunikation
   * mTLS (Mutual TLS) in Service Meshes (z. B. Istio)
 ===== Backups =====
   * AES-Verschlüsselung
   * GPG für signierte Archive
 ---
@@ Zeile 273: / Zeile 294: @@
 ===== 1) Nur moderne Protokolle verwenden =====
   * TLS 1.2 / 1.3
   * keine alten Ciphers (RC4, 3DES, MD5, SHA1)
 ===== 2) Private Keys gut schützen =====
   * 600-Rechte
   * niemals teilen
   * nie per E-Mail versenden
 ===== 3) Zertifikate automatisch erneuern =====
   * Let’s Encrypt (ACME)
   * Cronjobs oder Traefik-Auto-Renewal
 ===== 4) HSTS aktivieren =====
   * Browser erzwingt HTTPS
 ===== 5) Passwort-Hashverfahren modern halten =====
   * Argon2id
   * bcrypt
 ===== 6) Nutzung von MFA erzwingen =====
@@ Zeile 297: / Zeile 318: @@
 ===== 8) interne TLS-Verbindungen prüfen =====
   * LDAP StartTLS
   * Datenbankverbindungen (MariaDB SSL)
 ---
@@ Zeile 304: / Zeile 326: @@
 ====== Zusammenfassung ======
   * Symmetrisch = schnell, gleicher Schlüssel
   * Asymmetrisch = Public/Private Key, Grundlage für TLS
   * Hashes dienen der Integrität & Passwortspeicherung
   * TLS verschlüsselt Web-, Mail- und API-Verkehr
   * Zertifikate basieren auf PKI & Chain of Trust
   * Let’s Encrypt ermöglicht automatische Zertifikate
   * Moderne Sicherheit = starke Verschlüsselung + sichere Schlüsselverwaltung