Nachklausur zur Vorlesung Sicherheit Sommersemester 2012

Transkript

1 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Nachklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. Es sind keine Hilfsmittel zugelassen. Schreiben Sie Ihre Lösungen auf Aufgabenblätter und Rückseiten. Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c Σ a b c Σ x1 10 Σ 60

2 Seite 1 Aufgabe 1 (3+3+4 = 10 Punkte) a) Beschreiben Sie kurz das ElGamal-Verschlüsselungsverfahren (Schlüsselerzeugung, Nachrichtenraum, Ver- und Entschlüsselung) über der Gruppe G mit Erzeuger g. b) Wir betrachten nun ElGamal-Verschlüsselung über der Gruppe G := Z 23 mit Erzeuger g := 5. Berechnen sie den öffentlichen Schlüssel y zum geheimen Schlüssel x := 13. Entschlüsseln Sie mit Hilfe des geheimen Schlüssels x das Chiffrat C := (8, 20).

3 Seite 2 c) Wir betrachten eine modifizierte Version des ElGamal-Verfahrens aus Teilaufgabe a). Sämtliche Zufallswahlen bei der Verschlüsselung einer Nachricht m werden nun durch einen kryptographischen Hashwert h(m) ersetzt; Schlüsselerzeugung und Entschlüsselung bleiben unverändert. Ist dieses modifizierte Verfahren unter der DDH-Annahme IND-CPA-sicher? Falls ja, geben Sie einen entsprechenden Reduktionsbeweis an. Falls nein, geben Sie einen Angreifer im Sinne der Vorlesung an, der das IND-CPA-Experiment mit nicht-vernachlässigbarer Wahrscheinlichkeit gewinnt.

4 Seite 3 Aufgabe 2 (4+2+4 = 10 Punkte) a) Es sei eine kollisionsresistente Einwegfunktion h : {0, 1} {0, 1} n gegeben. Zeigen Sie: Die Abbildung g : {0, 1} {0, 1} n, x h(x) ist ebenfalls eine kollisionsresistente Einwegfunktion. Dabei bezeichne x das bitweise Komplement von x.

5 Seite 4 b) Die Rabin-Variante der RSA-Einwegfunktion ist gegeben durch Rab n (x) = x 2 mod n, wobei n = p q ein RSA-Modulus ist. Berechnen Sie Rab 513 (25) und Rab 513 (510). c) Aus der Vorlesung ist bekannt, dass man eine Nachricht immer erst hashen sollte, bevor man sie mittels RSA signiert. Warum ist die Rabin-Einwegfunktion hierbei nicht als Hashfunktion geeignet, falls derselbe Modulus wie für das RSA- Verfahren verwendet wird?

6 Seite 5 Aufgabe 3 Wir betrachten die folgendermaßen definierte Blockchiffre: Enc k (m) := s box(k m) Dabei sei die Funktion s box durch folgende Wertetabelle gegeben: (4+2+4 = 10 Punkte) x s box(x) x s box(x) a) Verschlüsseln Sie die Nachricht mit der gegebenen Chiffre und dem Schlüssel k = 1110 im CBC- und im OFB-Modus. Wird ein Initialisierungsvektor benötigt, so wählen Sie dafür IV = b) Beim OFB-Modus ist es wichtig, für jede Nachricht einen neuen Initialisierungsvektor zu verwenden. Was lernt ein Angreifer, wenn man denselben Initialisierungsvektor wiederverwendet? c) Beim CBC-Modus ist es wichtig, dass man keine zu langen Nachrichten verschlüsselt, damit nicht zufällig identische Chiffratblöcke auftreten. Was lernt ein Angreifer im Fall c i = c j über m i und m j? Hinweis: Wie lautet die Formel, nach der c i und c j bei der Verschlüsselung berechnet werden?

7 Seite 6 Aufgabe 4 (6+4 = 10 Punkte) a) Skizzieren Sie den Key-Renegotiation-Angriff auf das TLS-Protokoll, wie er in der Vorlesung vorgestellt wurde.

8 Seite 7 b) Wir betrachten folgendes Szenario: Ein Pizzalieferant bietet die Möglichkeit an, online per HTTPS (TLS) eine Bestellung entgegenzunehmen. Dazu werden die Wahlen ( W ) und die Adresse des Benutzers abgeschickt und im Server gepuffert. Die Bestellung wird abgeschlossen, sobald der Nutzer seine Kundennummer ( N ) abschickt, sodass sein Konto belastet werden kann. Ein Nutzer hat weiterhin die Möglichkeit, Kommentare ( % ) einzugeben um beispielsweise die Pizzen später einzelnen Personen zuordnen zu können. Jedes Kommando wird per ; abgeschlossen. Beispiel: W: Speciale HausC; %: Carols Lieblingspizza; N: ; Nun möchte Bob (N: , HausB) eine Pizza Adversare bestellen, ohne dafür zu zahlen. Alice (N: , HausA) wiederum möchte eine Pizza Victime bestellen. Wie kann Bob mittels eines Key-Renegotiation-Angriffs auf TLS bewirken, dass das Konto von Alice für seine Bestellung belastet wird? Nennen Sie (in obiger Notation) die beiden Nachrichten, die Alice und Bob abschicken, sowie die Nachricht, die der Pizzalieferant sieht! Machen Sie dabei explizit deutlich, an welcher Stelle die Key-Renegotiation stattfindet.

9 Seite 8 Aufgabe 5 (6+4 = 10 Punkte) a) Wir betrachten das folgende System im Bell-LaPadula-Modell: Subjektmenge S = {Alice, Bob} Objektmenge O = {D 1, D 2, D 3, D 4 } Menge der Zugriffsoperationen A = {read, write, append, execute} Menge der Sicherheitsstufen L = {streng geheim, privat, dienstlich, öffentlich} mit der folgenden partiellen Ordnung: streng geheim privat öffentlich streng geheim dienstlich öffentlich Wir betrachten den folgenden Systemzustand (B, M, F ): Die Menge der aktuellen Zugriffe B ist gegeben durch: B = D 1 D 2 D 3 D 4 Alice r,x r r,w r,a Bob x r,a w w,x Die Zugriffskontrollmatrix M ist gegeben durch: M = D 1 D 2 D 3 D 4 Alice r,w,a,x r,w r Bob a r,w,a w,a r,w,a,x Die Zuordnung der Sicherheitsstufen F = (f S, f C, f O ) ist gegeben durch: f S f C Alice dienstlich dienstlich Bob privat öffentlich D 1 D 2 D 3 D 4 f O öffentlich privat streng geheim öffentlich Der gegebene Systemzustand verstößt vielfach gegen die Sicherheitsregeln des Bell-La-Padula-Modells. Geben Sie im Folgenden jeweils entsprechende aktuelle Zugriffe an. Gehen Sie dabei davon aus, dass execute keinerlei Lese- oder Schreibzugriff impliziert. 1. Geben Sie für Alice und Bob jeweils eine Verletzung der ss-eigenschaft an. 2. Geben Sie für Alice und Bob jeweils eine Verletzung der -Eigenschaft an. 3. Geben Sie für Alice und Bob jeweils eine Verletzung der ds-eigenschaft an.

10 Seite 9 b) Gegeben sei nun eine Unternehmensberaterin S = {Alice}, welche fünf Projekte O = {D 1, D 2, D 3, D 4, D 5 } bei vier Firmen C = {C 1, C 2, C 3, C 4 } betreut. Für die Projekte gelten die folgenden Zugehörigkeiten und Konflikte: Zugehörigkeit y Konflikte x D 1 C 1 D 2 C 2 {C 1, C 3 } D 3 C 1 {C 3 } D 4 C 3 {C 2 } D 5 C 4 Die Unternehmensberaterin benutzt das Chinese-Wall-Modell, um zu verhindern, dass es zu Interessenkonflikten kommt. Prüfen Sie, welche der folgenden Arbeitsschritte nach dem Modell zulässig sind. Berücksichtigen Sie gültige Arbeitsschritte für nachfolgende Entscheidungen. Beachten Sie dabei, dass write-rechte read-rechte implizieren. Geben Sie für abgelehnte Anfragen als Begründung an, welche Sicherheitseigenschaft(en) verletzt würde(n), wenn der Zugriff erteilt würde. Gehen Sie von einem konfliktfreien Initialzustand aus. Zugriffsanforderung Zugriff erteilt/verweigert Begründung (falls verweigert) 1. (Alice, D 3, w) 2. (Alice, D 2, r) 3. (Alice, D 5, w) 4. (Alice, D 1, w)

11 Seite 10 Aufgabe 6 (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede e Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. Wenn P = NP gilt, dann gibt es keine kryptographischen Hashfunktionen. Bei k-anonymität wird das sensible Attribut soweit vergröbert, bis k Datensätze das gleiche sensible Attribut haben. Das Transkript eines Zero-Knowledge-Beweises zwischen Alice und Bob überzeugt auch Carol. ElGamal ist unter der DDH-Annahme IND-CCA-sicher. Eine Funktion µ : N R 0 ist genau dann vernachlässigbar, wenn es eine Funktion α : N R gibt mit lim inf k N α(k) = und es gilt: µ(k) = k α(k) für alle k > 1 mit µ(k) 0. Jede Einwegfunktion ist insbesondere auch kollisionsresistent, umgekehrt impliziert Kollisionsresistenz aber nicht unbedingt die Einwegeigenschaft. Im Bell-LaPadula-Modell gibt es einen potentiellen Seitenkanal über die Existenz bzw. Nichtexistenz von Dateien, womit man Information aus einem höheren Sicherheitslevel in einen niedrigeren Sicherheitslevel übertragen kann. Eine sichere Blockchiffre mit n bit Blocklänge ist für einen polynomiell beschränkten Angreifer ohne Schlüsselzugriff ununterscheidbar von einer zufälligen Injektion {0, 1} n {0, 1} n. Für digitale Signaturen benötigt man Verfahren aus der Public- Key-Kryptographie. Allein die Existenz von Einwegfunktionen reicht hierfür noch nicht aus. Blockchiffren dürfen nur aus invertierbaren Bausteinen zusammengesetzt sein, da man sonst nicht mehr entschlüsseln kann.