Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester 2013.

Transkript

1 Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Übungsblatt 1 Aufgabe 1. (a) Betrachten wir sicherheitskritische Vorgänge in einem Flughafen. Zählen Sie beispielhaft einige von diesen auf. (b) Welche sicherheitsrelevanten Vorkehrungen werden bei der Briefpost getroffen? (c) Skizzieren Sie kurz ein digitales Pendant zur Briefpost, das ähnliche Sicherheitsgarantien bereitstellt. Lösungsvorschlag zu Aufgabe 1. (a) Passkontrollen; Kontrolle der Fluggäste, auch des Flugpersonals,durch Metalldetektoren (oder auch Körperscannern) und zusätzlichem Abtasten; Kontrolle des Handgepäcks; Kontrolle des Gepäcks; Überwachung verschiedener Sicherheitsbereiche (z. B. öffentliche, nicht-öffentliche) und Kontrollen an den Zugängen zu diesen; Zuverlässigkeitsüberprüfungen der Bediensteten an Flughäfen (b) Sicherheitsrelevante Vorkehrungen sind beispielsweise das Einstecken des Briefes in einen verschließbaren Umschlag (geschlossene Briefsendung) und die handschriftliche, eigenhändige Unterschrift zur Authentifizierung des Absenders. (c) Als digitales Pendant zur geschlossenen Briefpost könnte eine Variante der genannt werden, die eine Form von Datenschutz (ermöglicht beispielsweise durch Verschlüsselung) und eine Form von Authentifizierung (etwa durch Anwendung digitaler Signaturen) garantiert. Aufgabe 2. Gegeben ist der folgende Chiffretext. Ermitteln Sie den dazugehörigen Klartext. (Hinweis: Als Verschlüsselungsmechanismus wurde das Vigenère-Verfahren benutzt.) HCUXJCXWCBGWQTBICFVOKBJWSIHIPGDRFUHRGFDP UVDZGFHPKSGSPSIJKQLIPHFSOAXRKQDXKCQMPCUH GFWSICYITBWLGWUGQIQXTWHWCBGGQAPEPRWLGWUE TALIUOWXJSVEOSWMOSWLGMKEXSDPNPHIPOZETSRJ VVHGQBVISIHRESVSHHKIKFPIUGDKGGIENZLRIWQX QHKIYFRRIVDRFGUIXSDPKBJTTSFMQIVWGQUIVGWS TWYENBDXKCQWCBGFGHUCKBJZKHDPKBISTADXKCQX QCSTQGLRITRVESVMVKDWVVHXJFHEVCIIPSPCKBWI TQHTVWRRVVDXOCWMXOWIFHKIFSYINCSQGBWSHQRH GGDRFQLTJSUWVSFLPWTYGGISTRLWIILWKBJEOSVW CUHWQHKEVCQPAHKIKBWIPRHHTSFMRWHRVQDRTSDH KHVMOCQWKBJLVVHGQRHFQCN Lösungsvorschlag zu Aufgabe 2. Wir interpretieren den Chiffretext C als Zahlenfolge C = (C i ) n i=1 {0,..., 25} n, wobei (A 0, B 1,..., Z 25) gilt. Um aus Vigènere-Chiffraten den Klartext zu ermitteln gehen wir wie folgt vor:

2 (a) Wir raten die Periode m des Schlüssels K = K 1 K 2... K m {0,..., 25} m (oder wir nutzen die Kasiski-, Friedmann- oder die Autokorrelations-Methode, die einen Kandidaten für m ausgeben). In unserem Fall raten wir m = 4. (b) Anschließend unterteilen wir den Chiffretext C in Blöcke der Form (C 1 C 2... C m, C m+1... C 2m,... ), sodass (M 1, M 2,... ) = (C 1, C 2,..., C m, C m+1, C m+2,... ) (K 1, K 2,..., K m, K 1, K 2,... ) mod 26 gelten würde. Wir betrachten die Unterfolge (C 1, C m+1, C 2m+1,... ), die mit K 1 Cäsar-verschlüsselt ist, und führen eine Frequenzanalyse durch. Anschließend verfahren wir bei (C 2, C m+2, C 2m+2,... ) genauso; und so weiter. (Insgesamt gibt es m solcher Teilfolgen.) Als Referenz betrachten wir die folgende (Alphabet-)Verteilung, die ein zufällig gewählter englischer Text mit 464 Buchstaben aufweist: A: ************************************** B: ******** C: ************ D: *************** E: ************************************************************* F: ****** G: ******** H: ******************** I: ****************************** J: K: *** L: *************************** M: ********** N: **************************************** O: ******************************* P: ******************* Q: R: ************************** S: ******************************** T: ************************************** U: ********* V: ****** W: ************* X: Y: ************ Z: Hier sehen wir, dass die Buchstaben E, N, A, T, S, O, I häufiger als andere im Text vorkommen. (Genauere Analysen, mit umfangreicheren Texten, ergaben, dass E, T, O, A, I, S, N am Häufigsten und Z, J, Q eher weniger vorkommen.) (c) In diesem Schritt vergleichen wir die natürliche englische Alphabetverteilung mit der Verteilung, die aus der Frequenzanalyse hervorging. Die Frequenzanalyse der ersten Unterfolge (C 1, C m+1, C 2m+1,... ), die mit K 1 verschlüsselt sein A: * B: C: ***** D: E: ** F: ***** G: ************ H: *** I: *****

3 J: **** K: ***************** L: M: N: **** O: ****** P: ********* Q: *********** R: * S: ** T: *********** U: *** V: *********** W: X: *** Y: * Z: Dabei könnte (der häufigste Buchstabe im gewählten englischen Text) E auf G oder K abgebildet sein. Dies wiederum würde C oder G als Kandidaten für K 1 ergeben. Die Frequenzanalyse der zweiten Unterfolge (C 2, C m+2, C 2m+2,... ), die mit K 2 verschlüsselt sein A: **** B: *************** C: ************** D: E: F: ******* G: ******** H: ********* I: ***** J: K: * L: M: * N: O: *** P: * Q: ******* R: **** S: ****************** T: ** U: ** V: ****** W: ******** X: Y: Z: * Hier könnte E auf S oder B abgebildet sein. Dies wiederum würde O oder X als Kandidaten für K 2 ergeben. Als regulärer Ausdruck geschrieben hätten wir bisher K = [CG] [OX] K 3 K 4. Die Frequenzanalyse der dritten Unterfolge (C 3, C m+3, C 2m+3,... ), die mit K 3 verschlüsselt sein A:

4 B: * C: D: **************** E: F: **** G: **** H: *************** I: ***** J: ***** K: ****** L: ******* M: N: * O: P: *** Q: ******* R: ***** S: ** T: * U: ******** V: ******** W: ************ X: ** Y: *** Z: * Hier könnte E auf D oder H abgebildet sein. Dies wiederum würde Z oder D als Kandidaten für K 3 ergeben. Damit ergäbe sich K zu K = [CG] [OX] [ZD] K 4. Die Frequenzanalyse der vierten Unterfolge (C 4, C m+4, C 2m+4,... ), die mit K 4 verschlüsselt sein A: B: C: ** D: E: ********** F: ** G: **** H: **** I: ******************* J: ** K: * L: ***** M: ******* N: O: * P: ****** Q: * R: ************ S: ******** T: **** U: V: * W: ************* X: ********** Y: * Z: **

5 Hier könnte E auf I abgebildet sein. Somit hätten wir E als Kandidaten für K 4 ausgemacht. Damit erhalten wir K = [CG] [OX] [ZD] E. Es verbleiben acht Möglichkeiten für K. K = CODE. Darunter ist unter anderem das mögliche Codewort (c) Schließlich finden wir, eventuell, Kandidaten für K = K 1 K 2... K m und entschlüsseln das Vigènere- Chiffrat mit diesen Kandidaten. (Entsteht ein sinnvoller Klartext, sind wir fertig.) Nach Ausführung des letzten Schrittes erhalten wir als Schlüssel das Wort CODE. Damit ergibt sich (unter Hinzufügen von Leer- und Satzzeichen sowie Bindestrichen) der Klartext: For thousands of years, kings, queens and generals have relied on efficient communication in order to govern their countries and command their armies. At the same time, they have all been aware of the consequences of their messages falling into the wrong hands, revealing precious secrets to rival nations and betrying vital information to opposing forces. It was the threat of enemy interception that motivated the development of codes and ciphers: techniques for disguising a message so that only the intended recipient can read it. Simon Singh - The Code Book Aufgabe 3. Aus der Vorlesung ist bekannt, dass One-Time-Pad-Chiffrate verwundbar sind. (Ein Chiffrat C := M K, mit Klartext M und Schlüssel K, können wir verwunden, indem wir C := C X, für ein beliebiges X, berechnen. Bei der Entschlüsselung wird daraus M := D(K, C ) = C K = (C X) K = M X.) Das im HEX-Format gegebene Chiffrat DDCD6F verschlüsselt das Wort ABSAGE. Verwunden Sie dieses, sodass bei der Entschlüsselung der Klartext ZUSAGE entsteht. (Hinweis: Die Buchstaben sind im ASCII-Format kodiert.) Lösungsvorschlag zu Aufgabe 3. Nach einer Verwundung C := C X, für ein One-Time-Pad- Chiffrat C und beliebiges X, gilt C = (M X) K, für einen Klartext M = D(K, C). Um den Klartext M := 0x (entspricht nach der ASCII-Tabelle und HEX-codiert dem Wort ABSAGE ) in M = 0x5A (entspricht ZUSAGE ) zu ändern, führen wir zuerst eine XOR-Verknüpfung X := M M = 0x1B durch. Anschließend berechnen wir C := C X = 0xC6DA6F und erhalten damit M = D(K, C ) = 0x5A , was dem Wort ZUSAGE enstpricht. (Hinweis: Auch der Schlüssel K ist bekannt; denn es gilt K = C M = 0x9C8F3C12C6D5.) Aufgabe 4. Das Wiederverwenden eines Schlüssels K im One-Time-Pad-Verfahren birgt Angriffsmöglichkeiten. Schreiben Sie ein Programm (beispielsweise ein Pythonskript), das zwei im WAVE- Format kodierte Dateien M 1, M 2 mithilfe des One-Time-Pad-Verfahrens verschlüsselt und dabei denselben Schlüssel K verwendet. Was passiert, wenn Sie die beiden Chiffrate XOR-verknüpfen? (Hinweis: Falls Sie eine XOR-verknüpfte Datei in einem Mediaplayer abspielen möchten, benötigen Sie einen korrekten WAVE-Dateiformat-Header. Wie könnte dieser aussehen, wenn Sie die ursprünglichen im WAVE- Format gespeicherten Klartexte nicht kennen?) Lösungsvorschlag zu Aufgabe 4. Das unten gegebene Pythonskript verschlüsselt zwei im WAVE- Dateiformat geladene Dateien M 1, M 2 mit demselben Schlüssel K. Somit erhalten wir C 1 := M 1 K und C 2 := M 2 K. Anschließend werden beide Chiffrate XOR-verknüpft; das heißt, wir erhalten C := C 1 C 2 = (M 1 K) (M 2 K) = M 1 M 2. Im letzten Schritt wird eine gültige WAVE-Datei aus C erstellt. Eventuell muss ein wenig mit den Header-Werten experimentiert werden, da wir nicht davon ausgehen können, dass wir den Klartext und somit die Header-Informationen kennen. Wir könnten als Ansatzpunkt annehmen, dass die Daten

6 - aus einer Quelle stammen, - im PCM-Verfahren moduliert sind, - eine Abtastrate von Hz haben und - einen 2-Kanal-Stereo-Ton bereithalten. Ausgehend davon können die entsprechenden Header-Werte angepasst und weitere, in Abhängigkeit stehende Header-Werte berechnet werden. Für die restlichen Header-Einträge probieren wir mögliche Werte aus. Ein Pythonskript könnte wie folgt aussehen: # coding: utf8 import sys, os, struct # constants ## parts of the RIFF section header RIFF = "RIFF" WAVE = "WAVE" ## fmt section header fmt = "fmt " fmt_length = "\x10\x00\x00\x00" # 16 byte format_tag = "\x01\x00" # PCM channels = "\x02\x00" # stereo sample_rate = "\x44\xac\x00\x00" # \x mono, \x44ac0000 stereo bytes_per_second = "\x98\x09\x04\x00" # sample_rate*block_align block_align = "\x06\x00" # number_of_channels*(bits_per_sample+7)/8 bits_per_sample = "\x18\x00" # 24 bit ## data section header data = "data" data_block_length = "\x00\x00\xff\x7f" # xor strings def sxor(s1, s2): return "".join(chr(ord(a) ^ ord(b)) for a,b in zip(s1,s2)) # encryption def encrypt(key, msg): c = sxor(key, msg) return c # decryption def decrypt(key, ctxt): m = sxor(key, ctxt) return m # main method def main(): # open and read WAVE files p1 = "m1.wav" p2 = "m2.wav" w1 = open(p1).read(os.path.getsize(p1)) w2 = open(p2).read(os.path.getsize(p2)) # sample a key from /dev/urandom if len(w1) > len(w2): key = open("/dev/urandom").read(len(w1))

7 main() else: key = open("/dev/urandom").read(len(w2)) # encrypt cipher texts ct1 = encrypt(key,w1) ct2 = encrypt(key,w2) # write cipher text 1 to file fobj = open("ct1.wav", "w") fobj.write(w1[:44]) fobj.write(ct1[44:len(ct1)-1]) fobj.close() # write cipher text 2 to file fobj = open("ct2.wav", "w") fobj.write(w2[:44]) fobj.write(ct2[44:len(ct2)]) fobj.close() # xor cipher texts ct1ct2 = sxor(ct1,ct2) # write xored ciper texts to file fobj = open("ct12.wav", "w") # write RIFF section header fobj.write(riff+struct.pack( I, len(ct1ct2)-8)+wave) # write fmt section header fobj.write(fmt+fmt_length+format_tag+channels+sample_rate+ bytes_per_second+block_align+bits_per_sample) # write data section header fobj.write(data+data_block_length) # write xored WAVE data fobj.write(ct1ct2[44:len(ct1ct2)]) fobj.close()