fix: correct citation formatting and improve clarity in authentication sections

2025-07-16 17:33:29 +02:00
parent f110897521
commit b38aad023c
5 changed files with 50 additions and 10 deletions
--- a/Horn_Dominik_Moderne_Authentifizierungsverfahren.tex
+++ b/Horn_Dominik_Moderne_Authentifizierungsverfahren.tex
@@ -125,7 +125,7 @@
 \renewcommand{\cftfigaftersnum}{:}
 \setlength{\cftfignumwidth}{2.3cm}
 \setlength{\cftfigindent}{0cm}
-%\listoffigures
+\listoffigures
 %Abkürzungsverzeichnis
 %\section*{Abkürzungsverzeichnis}
--- a/Authentifizierung/content.tex
+++ b/Authentifizierung/content.tex
@@ -1,21 +1,22 @@
 \section{Grundlagen der Authentifizierung}\label{sec:grundlagen-der-authentifizierung}
-Unter Authentifizierung ist der Prozess zu verstehen, welcher festlegt, ob einem Nutzer der Zugang zu einem System gewährt wird. Außerdem wird dabei auch die Identität des Nutzers überprüft. Der Nutzer wird dazu verpflichtet für die Erlaubnis oder die Rechte für den Zugang und die Nutzung des Systems, eine Art Nachweis erbringen. Je nach System können diese Berechtigungsnachweise unterschiedlich aussehen. Sie sind auch unter dem Begriff Authentifizierungsfaktor bekannt. Die Authentifizierung kann in drei verschiedene Kategorien unterteilt werden, die sich auf die Art des Nachweises beziehen. Diese Kategorien sind Wissen, Besitz und Biometrie. Auf die einzelnen Kategorien wird im \autoref{subsec:kategorien-von-authentifizierungsfaktoren} noch genauer eingegangen. (vgl.\:\cite{boonkrong2021}, S.\, 45\:f.)
+Unter Authentifizierung ist der Prozess zu verstehen, welcher festlegt, ob einem Nutzer der Zugang zu einem System gewährt wird. Außerdem wird dabei auch die Identität des Nutzers überprüft. Der Nutzer wird dazu verpflichtet für die Erlaubnis oder die Rechte für den Zugang und die Nutzung des Systems, eine Art Nachweis erbringen. Je nach System können diese Berechtigungsnachweise unterschiedlich aussehen. Sie sind auch unter dem Begriff Authentifizierungsfaktor bekannt. Die Authentifizierung kann in drei verschiedene Kategorien unterteilt werden, die sich auf die Art des Nachweises beziehen. Diese Kategorien sind Wissen, Besitz und Biometrie. Auf die einzelnen Kategorien wird im \autoref{subsec:kategorien-von-authentifizierungsfaktoren} noch genauer eingegangen. (vgl.\:\cite{boonkrong2021}, S.\,45\:f.)
 \subsection{Kategorien von Authentifizierungsfaktoren}\label{subsec:kategorien-von-authentifizierungsfaktoren}
-Beim Authentifizierungsfaktor des Typs Wissen, nutzt der Benutzer, was er in seinem Gedächtnis gespeichert hat zur Authentifizierung. Dies kann beispielsweise ein Passwort oder eine PIN-Nummer sein. Die Authentifizierung durch Wissen besteht in vereinfachter Form aus zwei Schritten. Im ersten Schritt ist die Registrierungsphase, in dieser wählt der Antragsteller ein Passwort aus. Dieses wird dann in einer Passwortdatenbank gespeichert. Im Vorfeld der Speicherung wird möglicherweise das Passwort noch vorverarbeitet. Abgeschlossen ist diese Phase mit der Speicherung des Passwortes. Im zweiten Schritt, der Authentifizierungsphase, gibt der Antragsteller sein Passwort ein. Dieses wird dann mit dem in der Datenbank gespeicherten Passwort verglichen. Stimmen die Passwörter überein, so wird dem Antragsteller der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\, 49\:f.)
+Beim Authentifizierungsfaktor des Typs Wissen, nutzt der Benutzer, was er in seinem Gedächtnis gespeichert hat zur Authentifizierung. Dies kann beispielsweise ein Passwort oder eine PIN-Nummer sein. Die Authentifizierung durch Wissen besteht in vereinfachter Form aus zwei Schritten. Im ersten Schritt ist die Registrierungsphase, in dieser wählt der Antragsteller ein Passwort aus. Dieses wird dann in einer Passwortdatenbank gespeichert. Im Vorfeld der Speicherung wird möglicherweise das Passwort noch vorverarbeitet. Abgeschlossen ist diese Phase mit der Speicherung des Passwortes. Im zweiten Schritt, der Authentifizierungsphase, gibt der Antragsteller sein Passwort ein. Dieses wird dann mit dem in der Datenbank gespeicherten Passwort verglichen. Stimmen die Passwörter überein, so wird dem Antragsteller der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\,49\:f.)
 Ist der Authentifizierungsfaktor des Typs Besitz, so ist eine Voraussetzung, dass der Antragsteller einen physischen Gegenstand besitzt. Dieser Gegenstand kann beispielsweise eine Chipkarte oder ein Authentifizierungs-Token sein. Ein Authentifizierungs-Token ist ein kleines Gerät, meist als Schlüsselanhänger, welches auf einem Display eine Reihe von Zahlen anzeigt. Diese Zahlen dienen als Passcode für den Authentifizierungsprozess. Der Token kann entweder synchron oder asynchron arbeiten. Im Falle eines synchronen Tokes, wird dieser mit dem Authentifizierungsserver synchronisiert. Das bedeutet, dass der Token die Zeit des Servers kennt und die angezeigten Zahlen auf dem Display in regelmäßigen Abständen aktualisiert. Während der Anmeldephase gibt der Antragsteller den angezeigten Code ein. Der Server vergleicht diesen Code mit dem, den er selbst berechnet hat. Asynchrone Tokens sind zeitunabhängig. Der Benutzer erhält beim Anmeldeversuch vom Authentifizierungsserver eine zufällige Ziffernfolge. Diese kann dann in den Token eingegeben werden. Der Authentifizierungs-Token berechnet anhand der Ziffernfolge einen Passcode, als Antwort. Der Benutzer gibt zum Abschluss des Anmeldeversuchs den Passcode ein. Bei übereinstimmenden Passcodes wird der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\, 51\:f.)
-Die dritte Kategorie der Authentifizierungsfaktoren ist die Biometrie. Dieses Kriterium beschäftigt sich mit Merkmalen des Antragstellers. Es nutzt somit Körpermaße, welche als biometrische Daten bezeichnet werden. Einfacher ausgedrückt, der Faktor erfordert, dass der Authentifikator den Antragsteller mittels einer biometrischen Information authentifiziert. Allgemein bekannte biometrische Merkmale sind beispielsweise der Fingerabdruck, der Handabdruck, die Handgeometrie, das Gesicht, die Iris und die Retina. Von diesen Merkmalen gelten allerdings nur der Fingerabdruck, die Netzhaut und die Iris als einzigartig. Wie beim Faktor Wissen besteht auch hier der Authentifizierungsprozess aus zwei Phasen. Die Registrierungsphase beginnt mit der Erfassung der biometrischen Daten des Antragstellers. Im Anschluss werden die erfassten Daten verarbeitet und in ein biometrisches Muster umgewandelt. Das Muster wird in einer Datenbank gespeichert. Auch in der zweiten Phase, der Authentifizierungsphase, wird mit der Erfassung der biometrischen Daten begonnen. Diese werden dann auch umgewandelt und mit dem in der Datenbank gespeicherten Muster verglichen. Bei Übereinstimmung war die Authentifizierung erfolgreich und der Antragsteller erhält Zugang. (vgl.\:\cite{boonkrong2021}, S.\, 52\:f.)
+Ist der Authentifizierungsfaktor des Typs Besitz, so ist eine Voraussetzung, dass der Antragsteller einen physischen Gegenstand besitzt. Dieser Gegenstand kann beispielsweise eine Chipkarte oder ein Authentifizierungs-Token sein. Ein Authentifizierungs-Token ist ein kleines Gerät, meist als Schlüsselanhänger, welches auf einem Display eine Reihe von Zahlen anzeigt. Diese Zahlen dienen als Passcode für den Authentifizierungsprozess. Der Token kann entweder synchron oder asynchron arbeiten. Im Falle eines synchronen Tokes, wird dieser mit dem Authentifizierungsserver synchronisiert. Das bedeutet, dass der Token die Zeit des Servers kennt und die angezeigten Zahlen auf dem Display in regelmäßigen Abständen aktualisiert. Während der Anmeldephase gibt der Antragsteller den angezeigten Code ein. Der Server vergleicht diesen Code mit dem, den er selbst berechnet hat. Asynchrone Tokens sind zeitunabhängig. Der Benutzer erhält beim Anmeldeversuch vom Authentifizierungsserver eine zufällige Ziffernfolge. Diese kann dann in den Token eingegeben werden. Der Authentifizierungs-Token berechnet anhand der Ziffernfolge einen Passcode, als Antwort. Der Benutzer gibt zum Abschluss des Anmeldeversuchs den Passcode ein. Bei übereinstimmenden Passcodes wird der Zugang gewährt. (vgl.\:\cite{boonkrong2021}, S.\,51\:f.)
 Die dritte Kategorie der Authentifizierungsfaktoren ist die Biometrie. Dieses Kriterium beschäftigt sich mit Merkmalen des Antragstellers. Es nutzt somit Körpermaße, welche als biometrische Daten bezeichnet werden. Einfacher ausgedrückt, der Faktor erfordert, dass der Authentifikator den Antragsteller mittels einer biometrischen Information authentifiziert. Allgemein bekannte biometrische Merkmale sind beispielsweise der Fingerabdruck, der Handabdruck, die Handgeometrie, das Gesicht, die Iris und die Retina. Von diesen Merkmalen gelten allerdings nur der Fingerabdruck, die Netzhaut und die Iris als einzigartig. Wie beim Faktor Wissen besteht auch hier der Authentifizierungsprozess aus zwei Phasen. Die Registrierungsphase beginnt mit der Erfassung der biometrischen Daten des Antragstellers. Im Anschluss werden die erfassten Daten verarbeitet und in ein biometrisches Muster umgewandelt. Das Muster wird in einer Datenbank gespeichert. Auch in der zweiten Phase, der Authentifizierungsphase, wird mit der Erfassung der biometrischen Daten begonnen. Diese werden dann auch umgewandelt und mit dem in der Datenbank gespeicherten Muster verglichen. Bei Übereinstimmung war die Authentifizierung erfolgreich und der Antragsteller erhält Zugang. (vgl.\:\cite{boonkrong2021}, S.\,52\:f.)
 \subsection{Herausforderungen bei der klassischen Authentifizierung}\label{subsec:herausforderungen-bei-der-authentifizierung}
 Eine große Herausforderung bei klassischen Authentifizierungsverfahren ist, dass die Authentifizierungsmechanismen vor Kompromittierung durch Angreifer zu schützen. Authentifizierungsmethoden welche ausschließlich aus Benutzernamen und Passwort bestehen, gelten als unsicher. Das Open Web Application Security Project (OWASP) stuft auf der Liste der am meisten beobachteten Anwendungsschwachstellen, die fehlerhafte Authentifizierung auf dem zweiten Platz. Die Angreifer versuchen auf ganz unterschiedliche Weisen an die Authentifizierungsdaten zu gelangen. Im weiteren Verlauf soll detaillierter auf Standardpasswörter, Replay-Angriffe und Man-in the Middle-Angriffe eingegangen werden.
-Standardpasswörter sind vordefinierte und vorkonfigurierte Passwörter für eine Software oder ein Gerät. Oft vorhanden in Geräten wie Routern, Switchen, drahtlose Zugangspunkte und Internet of Things (IoT) Geräte. Sie gelten als Hauptproblem bei Authentifizierungsmechanismen, da sie oft übersehen werden. Werden diese Passwörter nicht geändert, können Angreifer ohne große Probleme für beliebige Geräte und Software ein Standardpasswort finden. Diese Passwörter sind in der Regel öffentlich zugänglich und können von Angreifern leicht gefunden werden. Ein Beispiel für ein Standardpasswort ist ``admin'' oder ``123456''. Mittels dem in Erfahrung gebrachten Passwort kann der Angreifer in den meisten Fällen als Administrator auf das Gerät zugreifen. Es gibt aber auch Möglichkeiten die Sicherheit von Standardpasswörtern zu erhöhen. Das wären unter anderem, das Verwenden von eindeutigen und sicheren Standardpasswörtern oder der den Benutzer nach der erstmaligen Anmeldung zwingen, das Standardpasswort zu ändern. (vgl.\:\cite{boonkrong2021}, S.\, 59\:f.)
+Standardpasswörter sind vordefinierte und vorkonfigurierte Passwörter für eine Software oder ein Gerät. Oft vorhanden in Geräten wie Routern, Switchen, drahtlose Zugangspunkte und Internet of Things (IoT) Geräte. Sie gelten als Hauptproblem bei Authentifizierungsmechanismen, da sie oft übersehen werden. Werden diese Passwörter nicht geändert, können Angreifer ohne große Probleme für beliebige Geräte und Software ein Standardpasswort finden. Diese Passwörter sind in der Regel öffentlich zugänglich und können von Angreifern leicht gefunden werden. Ein Beispiel für ein Standardpasswort ist ``admin'' oder ``123456''. Mittels dem in Erfahrung gebrachten Passwort kann der Angreifer in den meisten Fällen als Administrator auf das Gerät zugreifen. Es gibt aber auch Möglichkeiten die Sicherheit von Standardpasswörtern zu erhöhen. Das wären unter anderem, das Verwenden von eindeutigen und sicheren Standardpasswörtern oder der den Benutzer nach der erstmaligen Anmeldung zwingen, das Standardpasswort zu ändern. (vgl.\:\cite{boonkrong2021}, S.\,59\:f.)
-Eine beliebte Methode um Authentifizierungsmechanismen anzugreifen sind Replay-Angriffe. Zur Durchführung eines solchen Angriffs muss der Angreifer Zugang zum Netzwerk zwischen zwei kommunizierenden Parteien haben. Der Angriff kann nur dann Erfolgreich sein, wenn die Anmeldedaten des Benutzers nicht im Klartextformat vorliegen. Die Durchführung eines Replay-Angriffs ist wie folgt, der Angreifer kopiert das Passwort oder die Zugangsdaten einer Entität und verwendet diese, um sich bei der anderen Entität zu authentifizieren. Es wird das Ziel verfolgt den Benutzer zu imitieren, dessen Zugangsdaten kopiert wurden. Vereinfacht ausgedrückt, kopiert der Angreifer die Nachricht mit den Zugangsdaten und sendet diese erneut an einen Authentifizierungsserver, in der Hoffnung, erfolgreich verifiziert zu werden. (vgl.\:\cite{boonkrong2021}, S.\, 61)
+Eine beliebte Methode um Authentifizierungsmechanismen anzugreifen sind Replay-Angriffe. Zur Durchführung eines solchen Angriffs muss der Angreifer Zugang zum Netzwerk zwischen zwei kommunizierenden Parteien haben. Der Angriff kann nur dann Erfolgreich sein, wenn die Anmeldedaten des Benutzers nicht im Klartextformat vorliegen. Die Durchführung eines Replay-Angriffs ist wie folgt, der Angreifer kopiert das Passwort oder die Zugangsdaten einer Entität und verwendet diese, um sich bei der anderen Entität zu authentifizieren. Es wird das Ziel verfolgt den Benutzer zu imitieren, dessen Zugangsdaten kopiert wurden. Vereinfacht ausgedrückt, kopiert der Angreifer die Nachricht mit den Zugangsdaten und sendet diese erneut an einen Authentifizierungsserver, in der Hoffnung, erfolgreich verifiziert zu werden. (vgl.\:\cite{boonkrong2021}, S.\,61)
-Der Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer in der Kommunikation zwischen zwei Parteien sitzt und die Kommunikation abhört. Da alle Nachrichten über den Angreifer geleitet werden, kann dieser die Nachrichten lesen und manipulieren. Das bietet dem Angreifer die Möglichkeit beiden Parteien vorzutäuschen, dass jede Partei glaubt, direkt mit der anderen zu kommunizieren. Ein Authentifizierungsangriff kann so aussehen, dass der Angreifer sich z. B. als legitimer WLAN-Zugangspunkt ausgibt. Dadurch kann der Angreifer Benutzernamen und Passwörter abfangen und diese an den Authentifizierungsserver weiterleiten und sich damit als der Benutzer ausgeben. (vgl.\:\cite{boonkrong2021}, S.\, 62)
+Der Man-in-the-Middle-Angriff tritt auf, wenn ein Angreifer in der Kommunikation zwischen zwei Parteien sitzt und die Kommunikation abhört. Da alle Nachrichten über den Angreifer geleitet werden, kann dieser die Nachrichten lesen und manipulieren. Das bietet dem Angreifer die Möglichkeit beiden Parteien vorzutäuschen, dass jede Partei glaubt, direkt mit der anderen zu kommunizieren. Ein Authentifizierungsangriff kann so aussehen, dass der Angreifer sich z. B. als legitimer WLAN-Zugangspunkt ausgibt. Dadurch kann der Angreifer Benutzernamen und Passwörter abfangen und diese an den Authentifizierungsserver weiterleiten und sich damit als der Benutzer ausgeben. (vgl.\:\cite{boonkrong2021}, S.\,62)
--- a/FIDO2/content.tex
+++ b/FIDO2/content.tex
@@ -1,7 +1,7 @@
 \section{FIDO2}\label{sec:fido2}
 FIDO steht für Fast Identity Online und wurde von der FIDO-Alliance entwickelt. Die FIDO-Alliance ist ein Bündnis aus mehreren großen Unternehmen, darunter Google, Microsoft, Apple, Amazon und viele weitere. Das Ziel der FIDO Alliance ist es, das FIDO-Verfahren bei den Diensten zu etablieren. Der FIDO2-Standard verfolgt den Ansatz der passwortlosen Authentifizierung. Das bedeutet, anstelle von Passwörtern werden zur Authentifizierung kryptografische Verfahren eingesetzt. So ist es nicht mehr notwendig, Passwörter über das Internet zu übertragen. Die Authentifizierung des Nutzers erfolgt mittels, den Nachweis das der Nutzer im Besitz seines vertraulichen Verschlüsselungspassworts ist. Bei dem Nachweis handelt es sich um eine Verschlüsselungsaufgabe, auch Challenge genannt.
-(vgl.\:\cite{kebschull2023}, S.\, 147\:f.)
+(vgl.\:\cite{kebschull2023}, S.\,147\:f.)
 \subsection{Technische Grundlagen}\label{subsec:technische-grundlagen}
@@ -9,17 +9,56 @@ Der FIDO2-Standard nutzt mehrere technische Komponenten, um eine sicher und benu
 \subsubsection{Client-to-Authenticator Protocol}\label{subsubsec:ctap-protokoll}
-Das Client-to-Autenticator Protocol kurz CTAP, ist ein Protokoll, welches die Kommunikation zwischen dem System eines Nutzers und em Token regelt. Es legt fest wie beide Komponenten miteinander zu kommunizieren haben. Dieses Protokoll gibt es in zwei Versionen. Das erste Protokoll ist auch unter dem Namen Universal Second Factor (U2F) bekannt und bezieht sich hauptsächlich auf die Zwei-Faktor-Authentifizierung. Die zweite Version CTAP2, wird im Zusammenhang mit FIDO2 eingesetzt und sorgt im Zusammenhang mit WebAuthn das FIDO2 funktionsfähig ist. (vgl.\:\cite{ionos2021})
+Das Client-to-Authenticator Protocol kurz CTAP, ist ein Protokoll, welches die Kommunikation zwischen dem System eines Nutzers und em Token regelt. Es legt fest wie beide Komponenten miteinander zu kommunizieren haben. Dieses Protokoll gibt es in zwei Versionen. Das erste Protokoll ist auch unter dem Namen Universal Second Factor (U2F) bekannt und bezieht sich hauptsächlich auf die Zwei-Faktor-Authentifizierung. Die zweite Version CTAP2, wird im Zusammenhang mit FIDO2 eingesetzt und sorgt im Zusammenhang mit WebAuthn das FIDO2 funktionsfähig ist. (vgl.\:\cite{ionos2021})
 \subsubsection{Web Authentication}\label{subsubsec:web-authentication}
 In Zusammenarbeit der FIDO-Alliance und dem WWW-Consortium wurde die Web Authentication (WebAuthn) entwickelt. Sie hatten das Ziel einen Standard zu schaffen, welcher Phishing-Angriffe verhindert. WebAuthn wurde im März 2019 als offizieller Webstandard anerkannt und wird von den meisten Browsern, zur Anmeldung bei webbasierten Diensten, unterstützt. Der Unterschied zwischen dem FIDO2-Standard und WebAuthn liegt darin, dass WebAuthn zustäzlich zum privaten Schlüssel, auch die korrekte Domain des Dienstes im Endgerät speichert und miteinander verknüpft. Dies schränkt die Nutzung des Schlüssel auf die konkrete Domain ein, wodurch Man-in-the-Middle-Angriffe ausgehebelt werden. (vgl.\:\cite{kebschull2023}, S.\,150\:f.)
 %(vgl.\:\cite{kebschull2023}, S.\,150--152)
 \begin{figure}[H]
    \centering
    \includegraphics[width=1.0\textwidth]{content/Bilder/WebAuthn_Registrierung}
    \caption[Registrierung über WebAuthn]{ (Quelle: in Anlehnung an \cite{kebschull2023}, S.\,150)}
    \label{fig:webauthn-registrierung}
 \end{figure}
 \begin{figure}[H]
    \centering
    \includegraphics[width=1.0\textwidth]{content/Bilder/WebAuthn_Anmeldung}
    \caption[Anmeldung über WebAuthn]{ (Quelle: in Anlehnung an \cite{kebschull2023}, S.\,151)}
    \label{fig:webauthn-anmeldung}
 \end{figure}
 \subsubsection{Trusted Platform Module}\label{subsubsec:trusted-platform-module}
 Auf dem Mainboard moderner Computers ist häufig das sogenannte Trusted Platform Module (TPM) verbaut. Es dient zur Sicherung der Hardware mit integrierten kryptografischen Schlüsseln und hilft zusätzlich dabei die Identität eines Benutzers nachzuweisen und das Gerät zu authentifizieren. Außerdem trägt es zur Sicherheit vor Bedrohungen wie Firmware- und Ransomware-Angriffen bei und bietet die Funktion Passwörter, Zertifikate und Verschlüsselungsschlüssel zu speichern. Alle gängigen Betriebssysteme unterstützen TPM\@. Eine Kombination mit weiteren Sicherheitstechnologien kann die Funktionalität von TPM verbessern. Technologien wie Firewalls, Antivirus-Software, Smartcards und biometrische Überprüfung sind Beispiele dafür.
 In jedem TPM-Chip ist ein RSA-Schlüsselpaar gespeichert, mit der Bezeichnung Endorsement Key (EK). Das Schlüsselpaar wird ausschließlich innerhalb des TPM-Chips verwaltet und kann von keiner Software aufgerufen werden. Übernimmt ein Administrator oder ein Benutzer den Besitz eines Systems, so wird auf der Basis des EK und das Passwort vom Eigentümer der Storage Root Key generiert.
 Ein weiterer Schlüssel, der im TPM-Chip gespeichert ist, ist der Attestation Identity Key(AIK). Dieser ist zum Schutz des Gerätes vor nicht autorisierter Firmware- und Softwareänderungen. Zur überprüfung werden vor der Ausführung der Software oder Firmware kritische Abschnitte gehasht. Baut das System dann eine Netzwerkverbindung auf, so wird der Hashwert an einen Server gesendet. Werden bei der Überprüfung der Hashwerte Abweichungen an den geänderten Komponenten festgestellt, so erhält das System keinen Zugriff auf das Netzwerk.
 TPM kann auf fünf verschiedenen Arten implementiert werden. Die verschiedenen Arten sind:
 \begin{itemize}
    \item \textbf{Diskrete TPMs} sind als dedizierter Chip auf dem Mainboard verbaut und von den fünf Arten wohl die sicherste Variante. Aus dem Grund das sie in der Regel fast gar nicht fehleranfällig und nicht zu manipulieren sind.
    \item \textbf{Physisch-basierte TPMs} werden in den Prozessor integriert und enthalten Mechanismen, welche sie sichern vor Manipulationen.
    \item \textbf{Firmware-basierte TPMs} laufen auf einem Prozessor in einer vertrauenswürdigen Umgebung. Sie sind fast so sicher wie diskrete TPMs.
    \item \textbf{Software-basierte TPMs}: bieten keinen erhöhten Schutz, da sie fehleranfällig und leicht angreifbar sind.
    \item \textbf{Virtualisierte TPMs}: werden durch den Hypervisor bereitgestellt. Der Hypervisor tuft die Sicherheitscodes unabhängig der virtuellen Maschine auf.
 \end{itemize}
 Der Einsatz von TPMs hat folgende Vorteile:
 \begin{itemize}
    \item Erzeugung, sichere Aufbewahrung und kontrollierte Nutzung kryptografischer Schlüssel
    \item Wahrung der Plattformintegrität durch den Einsatz von Metriken, die Änderungen an früheren Systemkonfigurationen erkennen
    \item Authentifizierung des Plattformgeräts mittels des RSA-Schlüssels im TPM
    \item Schutz vor Bedrohungen wie manipulierte Firmware, Ransomware, Wörterbuchangriffe und Phishing durch geeignete Sicherheitsmechanismen
    \item Wahrung von Urheberrechten digitaler Inhalte durch den Einsatz von Digital Rights Management (DRM)
    \item Absicherung und Schutz von Softwarelizenzen gegen unbefugte Nutzung oder Manipulation
 \end{itemize}
 (vgl.\:\cite{gillis2024})
 \subsection{Funktionsweise und Ablauf}\label{subsec:funktionsweise-und-ablauf}
--- a/content/Bilder/WebAuthn_Anmeldung.png
+++ b/content/Bilder/WebAuthn_Anmeldung.png
--- a/content/Bilder/WebAuthn_Registrierung.png
+++ b/content/Bilder/WebAuthn_Registrierung.png