Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012

Transkript

1 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. Es sind keine Hilfsmittel zugelassen. Schreiben Sie Ihre Lösungen auf Aufgabenblätter und Rückseiten. Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c Σ a b c Σ x1 10 Σ 60

2 Seite 1 Aufgabe 1 (3+3+4 = 10 Punkte) a) Beschreiben Sie kurz das ElGamal-Verschlüsselungsverfahren (Schlüsselerzeugung, Nachrichtenraum, Ver- und Entschlüsselung) über der Gruppe G mit Erzeuger g. Lösung: Für die Schlüsselerzeugung wird eine Zufallszahl x gleichverteilt aus {1,..., G } gezogen. Der private Schlüssel ist x, der öffentliche Schlüssel ist y := g x. Das Chiffrat zu einer als Gruppenelement m von G codierten Nachricht unter dem öffentlichen Schlüssel y wird wie folgt berechnet: Man zieht eine Zufallszahl r gleichverteilt aus {1,..., G }. Anschließend ergibt sich das Chiffrat als (g r, y r m). Für ein gegebenes Chiffrat (A, B) lässt sich mit dem zugehörigen geheimen Schlüssel x die Nachricht m := A x B berechnen. b) Wir betrachten nun ElGamal-Verschlüsselung über der Gruppe G := Z 23 mit Erzeuger g := 5. Berechnen sie den öffentlichen Schlüssel y zum geheimen Schlüssel x := 13. Entschlüsseln Sie mit Hilfe des geheimen Schlüssels x das Chiffrat C := (8, 20). Lösung: Öffentlicher Schlüssel: Es gilt (mod 23). Damit ist y g x 5 13 (5 2 ) (mod 23) Chiffrat entschlüsseln: Z. B. mit dem ELBA berechnet man 8 1 = 3, d. h ( mod 23). Dann gilt ( mod 23) und ( 3) (mod 23). Die Codierung der Nachricht als Gruppenelement ist also 19.

3 Seite 2 c) Wir betrachten eine modifizierte Version des ElGamal-Verfahrens aus Teilaufgabe a). Sämtliche Zufallswahlen bei der Verschlüsselung einer Nachricht m werden nun durch einen kryptographischen Hashwert h(m) ersetzt; Schlüsselerzeugung und Entschlüsselung bleiben unverändert. Ist dieses modifizierte Verfahren unter der DDH-Annahme IND-CPA-sicher? Falls ja, geben Sie einen entsprechenden Reduktionsbeweis an. Falls nein, geben Sie einen Angreifer im Sinne der Vorlesung an, der das IND-CPA-Experiment mit nicht-vernachlässigbarer Wahrscheinlichkeit gewinnt. Lösung: Nein, das modifizierte Verfahren ist nicht IND-CPA sicher, da es deterministisch ist. Der folgende Angreifer A gewinnt das IND-CPA-Experiment mit Wahrscheinlichkeit 1 (für G 2): A wählt zwei verschieden Nachrichten m 0, m 1 und berechnet mit dem öffentlichen Schlüssel y die dazugehörigen Chiffrate c 0, c 1. Er gibt m 0 und m 1 an das Experiment und erhält das Challenge-Chiffrat c. Nun vergleicht er c mit c 0 und c 1 und erfährt so, ob m 0 oder m 1 verschlüsselt wurde.

4 Seite 3 Aufgabe 2 (4+2+4 = 10 Punkte) a) Es sei eine kollisionsresistente Einwegfunktion h : {0, 1} {0, 1} n gegeben. Zeigen Sie: Die Abbildung g : {0, 1} {0, 1} n, x h(x) ist ebenfalls eine kollisionsresistente Einwegfunktion. Dabei bezeichne x das bitweise Komplement von x. Lösung: Wir nehmen zunächst an, dass g keine Einwegfunktion ist; d. h. zu einem zufälligen Bild y {0, 1} n können wir mit signifikanter Wahrscheinlichkeit ein Urbild x g 1 (y) effizient berechnen. Damit können wir zu y aber auch ein Urbild x unter h effizient berechnen, nämlich x = x. Dies ist ein Widerspruch zur Voraussetzung, dass h eine Einwegfunktion ist; also muss g ebenfalls eine Einwegfunktion sein. Nun nehmen wir an, das g nicht kollisionsresistent ist; d. h. wir können x 1 und x 2 mit x 1 x 2 und g(x 1 ) = g(x 2 ) effizient berechnen. Damit gilt aber auch x 1 x 2 und h(x 1 ) = h(x 2 ), d. h. wir haben eine Kollision für h gefunden. Dies ist ein Widerspruch zur Voraussetzung, dass h kollisionsresistent ist; also muss g ebenfalls kollisionsresistent sein.

5 Seite 4 b) Die Rabin-Variante der RSA-Einwegfunktion ist gegeben durch Rab n (x) = x 2 mod n, wobei n = p q ein RSA-Modulus ist. Berechnen Sie Rab 513 (25) und Rab 513 (510). Lösung: Rab 513 (25) mod 513 Rab 513 (510) ( 3) 2 9 mod 513 c) Aus der Vorlesung ist bekannt, dass man eine Nachricht immer erst hashen sollte, bevor man sie mittels RSA signiert. Warum ist die Rabin-Einwegfunktion hierbei nicht als Hashfunktion geeignet, falls derselbe Modulus wie für das RSA- Verfahren verwendet wird? Lösung: Sowohl die Rabin-Einwegfunktion, als auch die RSA-Signatur-Operation sind multiplikativ homomorph. Gegeben zwei Nachrichten-Signatur-Paare (m 1, σ 1 ) und (m 2, σ 2 ) kann ein Angreifer die passende Signatur für die Nachricht m 3 := m 1 m 2 berechnen, nämlich σ 3 = σ 1 σ 2.

6 Seite 5 Aufgabe 3 Wir betrachten die folgendermaßen definierte Blockchiffre: (4+2+4 = 10 Punkte) Enc k (m) := s box(k m) Dabei sei die Funktion s box durch folgende Wertetabelle gegeben: x s box(x) x s box(x) a) Verschlüsseln Sie die Nachricht mit der gegebenen Chiffre und dem Schlüssel k = 1110 im CBC- und im OFB-Modus. Wird ein Initialisierungsvektor benötigt, so wählen Sie dafür IV = Lösung: CBC: OFB: b) Beim OFB-Modus ist es wichtig, für jede Nachricht einen neuen Initialisierungsvektor zu verwenden. Was lernt ein Angreifer, wenn man denselben Initialisierungsvektor wiederverwendet? Lösung: Gegeben zwei Nachrichten M und M, sowie die zugehörigen OFB- Chiffate C und C, kann ein Angreifer in solch einem Fall M M = C C berechnen. c) Beim CBC-Modus ist es wichtig, dass man keine zu langen Nachrichten verschlüsselt, damit nicht zufällig identische Chiffratblöcke auftreten. Was lernt ein Angreifer im Fall c i = c j über m i und m j? Hinweis: Wie lautet die Formel, nach der c i und c j bei der Verschlüsselung berechnet werden? Lösung: Es gilt c i = Enc k (m i c i 1 ) und c j = Enc k (m j c j 1 ). Im Fall c i = c j kann der Angreifer damit m i m j = c i 1 c j 1 berechnen.

7 Seite 6 Aufgabe 4 (6+4 = 10 Punkte) a) Skizzieren Sie den Key-Renegotiation-Angriff auf das TLS-Protokoll, wie er in der Vorlesung vorgestellt wurde. Lösung: Alice Eve Bob TLS Handshake 1 halten TLS Handshake 2 Application Layer Commands Renegotiation starten TLS Handshake 1 fortgeführt in der verschlüsselten 2. Session Daten von Alice sind verschlüsselt

8 Seite 7 b) Wir betrachten folgendes Szenario: Ein Pizzalieferant bietet die Möglichkeit an, online per HTTPS (TLS) eine Bestellung entgegenzunehmen. Dazu werden die Wahlen ( W ) und die Adresse des Benutzers abgeschickt und im Server gepuffert. Die Bestellung wird abgeschlossen, sobald der Nutzer seine Kundennummer ( N ) abschickt, sodass sein Konto belastet werden kann. Ein Nutzer hat weiterhin die Möglichkeit, Kommentare ( % ) einzugeben um beispielsweise die Pizzen später einzelnen Personen zuordnen zu können. Jedes Kommando wird per ; abgeschlossen. Beispiel: W: Speciale HausC; %: Carols Lieblingspizza; N: ; Nun möchte Bob (N: , HausB) eine Pizza Adversare bestellen, ohne dafür zu zahlen. Alice (N: , HausA) wiederum möchte eine Pizza Victime bestellen. Wie kann Bob mittels eines Key-Renegotiation-Angriffs auf TLS bewirken, dass das Konto von Alice für seine Bestellung belastet wird? Nennen Sie (in obiger Notation) die beiden Nachrichten, die Alice und Bob abschicken, sowie die Nachricht, die der Pizzalieferant sieht! Machen Sie dabei explizit deutlich, an welcher Stelle die Key-Renegotiation stattfindet. Lösung: Bob: W: Adversare HausB; %: Hier wird die Key-Renegotiation ausgefürt Alice W: Victime HausA; %:... N: ; Server führt aus: W: Adversare HausB; %: W: Victime HausA; %:... N: ;

9 Seite 8 Aufgabe 5 (6+4 = 10 Punkte) a) Wir betrachten das folgende System im Bell-LaPadula-Modell: Subjektmenge S = {Alice, Bob} Objektmenge O = {D 1, D 2, D 3, D 4 } Menge der Zugriffsoperationen A = {read, write, append, execute} Menge der Sicherheitsstufen L = {streng geheim, privat, dienstlich, öffentlich} mit der folgenden partiellen Ordnung: streng geheim privat öffentlich streng geheim dienstlich öffentlich Wir betrachten den folgenden Systemzustand (B, M, F ): Die Menge der aktuellen Zugriffe B ist gegeben durch: B = D 1 D 2 D 3 D 4 Alice r,x r r,w r,a Bob x r,a w w,x Die Zugriffskontrollmatrix M ist gegeben durch: M = D 1 D 2 D 3 D 4 Alice r,w,a,x r,w r Bob a r,w,a w,a r,w,a,x Die Zuordnung der Sicherheitsstufen F = (f S, f C, f O ) ist gegeben durch: f S f C Alice dienstlich dienstlich Bob privat öffentlich D 1 D 2 D 3 D 4 f O öffentlich privat streng geheim öffentlich Der gegebene Systemzustand verstößt vielfach gegen die Sicherheitsregeln des Bell-La-Padula-Modells. Geben Sie im Folgenden jeweils entsprechende aktuelle Zugriffe an. Gehen Sie dabei davon aus, dass execute keinerlei Lese- oder Schreibzugriff impliziert. 1. Geben Sie für Alice und Bob jeweils eine Verletzung der ss-eigenschaft an. Lösung: Alice: read D 2 Bob: write D 3 2. Geben Sie für Alice und Bob jeweils eine Verletzung der -Eigenschaft an. Lösung: Alice: append D 4 Bob: read D 2 & write D 4 3. Geben Sie für Alice und Bob jeweils eine Verletzung der ds-eigenschaft an. Lösung: Alice: append D 4 Bob: execute D 1

10 Seite 9 b) Gegeben sei nun eine Unternehmensberaterin S = {Alice}, welche fünf Projekte O = {D 1, D 2, D 3, D 4, D 5 } bei vier Firmen C = {C 1, C 2, C 3, C 4 } betreut. Für die Projekte gelten die folgenden Zugehörigkeiten und Konflikte: Zugehörigkeit y Konflikte x D 1 C 1 D 2 C 2 {C 1, C 3 } D 3 C 1 {C 3 } D 4 C 3 {C 2 } D 5 C 4 Die Unternehmensberaterin benutzt das Chinese-Wall-Modell, um zu verhindern, dass es zu Interessenkonflikten kommt. Prüfen Sie, welche der folgenden Arbeitsschritte nach dem Modell zulässig sind. Berücksichtigen Sie gültige Arbeitsschritte für nachfolgende Entscheidungen. Beachten Sie dabei, dass write-rechte read-rechte implizieren. Geben Sie für abgelehnte Anfragen als Begründung an, welche Sicherheitseigenschaft(en) verletzt würde(n), wenn der Zugriff erteilt würde. Gehen Sie von einem konfliktfreien Initialzustand aus. Lösung: Zugriffsanforderung Zugriff erteilt/verweigert Begründung (falls verweigert) 1. (Alice, D 3, w) erteilt 2. (Alice, D 2, r) erteilt 3. (Alice, D 5, w) verweigert -Eigenschaft 4. (Alice, D 1, w) verweigert ss- & -Eigenschaft

11 Seite 10 Aufgabe 6 (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede e Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. Wenn P = NP gilt, dann gibt es keine kryptographischen Hashfunktionen. Bei k-anonymität wird das sensible Attribut soweit vergröbert, bis k Datensätze das gleiche sensible Attribut haben. Das Transkript eines Zero-Knowledge-Beweises zwischen Alice und Bob überzeugt auch Carol. ElGamal ist unter der DDH-Annahme IND-CCA-sicher. Eine Funktion µ : N R 0 ist genau dann vernachlässigbar, wenn es eine Funktion α : N R gibt mit lim inf k N α(k) = und es gilt: µ(k) = k α(k) für alle k > 1 mit µ(k) 0. Jede Einwegfunktion ist insbesondere auch kollisionsresistent, umgekehrt impliziert Kollisionsresistenz aber nicht unbedingt die Einwegeigenschaft. Im Bell-LaPadula-Modell gibt es einen potentiellen Seitenkanal über die Existenz bzw. Nichtexistenz von Dateien, womit man Information aus einem höheren Sicherheitslevel in einen niedrigeren Sicherheitslevel übertragen kann. Eine sichere Blockchiffre mit n bit Blocklänge ist für einen polynomiell beschränkten Angreifer ohne Schlüsselzugriff ununterscheidbar von einer zufälligen Injektion {0, 1} n {0, 1} n. Für digitale Signaturen benötigt man Verfahren aus der Public- Key-Kryptographie. Allein die Existenz von Einwegfunktionen reicht hierfür noch nicht aus. Blockchiffren dürfen nur aus invertierbaren Bausteinen zusammengesetzt sein, da man sonst nicht mehr entschlüsseln kann.