Public Key Infrastrukturen Lösungsvorschlag

Transkript

1 TECHNISCHE UNIVERSITÄT DARMSTADT FACHGEBIET THEORETISCHE INFORMATIK Prof.. Buchmann Vangelis Karatsiolis Alexander Wiesmaier 14. uli 2009 Klausur im Sommersemester 2009 zu Public Key Infrastrukturen Lösungsvorschlag Matrikelnummer: Name, Vorname: Fachbereich: Fachsemester: Studiengang: Diplom Bachelor Master Aufbaustudium Angemeldet im Prüfungssekretariat: a Nein Welches? Unterschrift: VIEL ERFOLG! Aufgabe Summe Punkte maximal (+5) (+5) bearbeitet Punkte erreicht i

2 Klausurbedingungen: Halten Sie Ihren Studienausweis und einen Lichtbildausweis bereit. Klausurblätter Füllen Sie das Deckblatt vollständig aus. Prüfen Sie, ob die Klausur alle 20 Seiten enthält (2 Seiten Deckblatt, 18 Seiten Klausur). Prüfen Sie, ob die drei Anlagen dabei sind (Zertifikate, Baum, Flussdiagramm). Kennzeichnen Sie alle verwendeten Blätter zuerst mit Ihrer Matrikelnummer. Verwenden Sie für jede Aufgabe ein neues Blatt. Leere Blätter werden von der Aufsicht gestellt. Verwenden Sie kein eigenes Papier. Geben Sie die verwendeten Sachverhalte und Zwischenergebnisse an. Dauer der Klausur und zugelassene Hilfsmittel Ihnen stehen 90 Minuten zum Bearbeiten der Aufgaben zur Verfügung. Verwenden Sie zum Bearbeiten der Klausur keinen Bleistift und keine roten oder grünen Stifte, da die Klausur sonst nicht gewertet werden kann. Zur Bearbeitung der Klausur sind keine weiteren Hilfsmittel zugelassen. Elektronische Geräte (Handys, PDAs, Laptops, etc.) bitte der Klausuraufsicht zur Verwahrung geben. Bitte schalten Sie das Handy vor Klausurbeginn aus! Studierende, deren Muttersprache nicht Deutsch ist, können zusätzlich ein zweisprachiges Wörterbuch verwenden. Bewertung Zum Bestehen der Klausur sind 45 von insgesamt 91 Punkten hinreichend. Nehmen Sie an der Klausur teil, ohne dazu zugelassen zu sein, wird die Klausur als nicht bestanden gewertet. ii

3 Aufgabe 1 Matrikel Nr.:... Seite: 1 Aufgabe 1 Multiple Choice Aufgabe (10x2=20 Punkte) ede Teilaufgabe besteht aus vier Aussagen. Die Anzahl der möglichen korrekten Aussagen ist nicht eingeschränkt. In jeder Teilaufgabe können null bis alle zur Auswahl stehenden Aussagen korrekt sein. Geben Sie Ihre Antworten in den Kästchen links neben der entsprechenden Zeile an. Stimmen Sie mit der Aussage überein, kreuzen Sie bitte an. Wenn Sie die Aussage für falsch halten, machen Sie ein Kreuz bei N. Bewertung: Für eine Teilaufgabe gibt es zwei Punkte, falls vier Aussagen richtig angekreuzt wurden. Einen Punkt gibt es, falls drei Aussagen richtig angekreuzt wurden. Sind jedoch weniger als drei Aussagen richtig angekreuzt, gibt es keinen Punkt für diese Teilaufgabe. Falsche Kreuze führen nicht zu zusätzlichen Punktabzügen. a) Eine -CRL N hat immer mehr Einträge als ihre Basis-CRL. N hat immer weniger Einträge als ihre Basis-CRL. N hat immer genauso viele Einträge wie ihre Basis-CRL. N hat beliebig viele Einträge. b) Ein X.509 Zertifikat N ist immer vom Schlüsselinhaber signiert. N ist immer größer als ein PGP Zertifikat. N darf benutzt werden um s zu verifizieren. N ist in ASN.1 spezifiziert. c) Eine Smartcard N ist identisch zu einem PKCS#12 Token. N bietet Identifikation über mehrere Merkmale an. N speichert Schlüssel in Software. N ist z.b. die TUDCard. 1

4 Aufgabe 1 Matrikel Nr.:... Seite: 2 d) Bei einer hybriden Verschlüsselung N werden mindestens vier Schlüssel benutzt. N wird der asymmetrische Schlüssel symmetrisch verschlüsselt. N wird der symmetrische Schlüssel asymmetrisch verschlüsselt. N wird der asymmetrische Schlüssel asymmetrisch verschlüsselt. e) Der Owner Trust in PGP N wird benutzt um die Key Legitimacy der Schlüssel zu berechnen. N wird vom Benutzer selbst eingegeben. N muss berechnet werden. N wird von den Signaturen der Schlüssel abgeleitet. f) Folgende Werte sind richtige OIDs N N SHA1withRSA N A.B.C.D.E.F.G N RSA g) Eine Full-CRL N wird immer am Anfang eines Monats erstellt. N ist signiert. N ist immer größer als ein X.509 Zertifikat. N hat die Subject Key Identifier Erweiterung. 2

5 Aufgabe 1 Matrikel Nr.:... Seite: 3 h) Der Fingerprint eines X.509 Zertifikats N ist die Ausgabe der Einwegfunktion des öffentlichen Schlüssels im Zertifikat. N darf die Ausgabe der MD5 Einwegfunktion vom ganzen Zertifikat sein. N wird benutzt um die Signatur im Zertifikat zu überprüfen. N ist immer identisch zu dem Fingerprint eines PGP Zertifikats, das den selben öffentlichen Schlüssel enthält. i) Erweiterungen in X.509 Zertifikaten N sind entweder kritisch oder nicht-kritisch. N sind immer vorhanden. N waren erst ab X.509v2 (Version 2) Zertifikaten möglich. N haben einen OID. j) Gemäß dem PKCS#12 Format N kann man die Integrität und die Vertraulichkeit von privaten Schlüsseln erreichen. N darf man Schlüsselpaare aber keine Zertifikate übertragen. N sind ihre TUDCard Zertifikate und dazugehörige Schlüssel gespeichert. N sind ihre RBG Zertifikate und dazugehörige Schlüssel gespeichert. 3

6 Aufgabe 2 Matrikel Nr.:... Seite: 4 Aufgabe 2 Gültigkeitsmodelle (( )+(3+2)= 14 Punkte) Alice signiert (mit einer mathematisch korrekten Signatur) ein Dokument zu den folgenden Zeitpunkten: a) Bob prüft am nach dem Schalenmodell und möchte die Signaturen von Alice verifizieren. Er besitzt genau drei Zertifikate und kein Zertifikat kann mehr hinzugefügt werden. Der Schlüssel seines Vertrauensankers hat den Wert 0x8565. (i) Tragen Sie in die folgenden Zertifikate solche Werte in die Datumsfelder (NotBefore and NotAfter) ein, sodass alle Signaturen, die Alice geleistet hat, gültig sind. (3 Punkte) Zertifikat A Serial No.: 22 Issuer: RootCA NotBefore: NotAfter: Subject: RootCA Public Key: key-0x8565 Signature: verifiable with key-0x8565 Zertifikat B Serial No.: 88 Issuer: RootCA NotBefore: NotAfter: Subject: SubCA Public Key: key-0x234f Signature: verifiable with key-0x8565 Zertifikat C Serial No.: 144 Issuer: SubCA NotBefore: NotAfter: Subject: Alice Public Key: key-0x6609 Signature: verifiable with key-0x234f (ii) Beim Ändern des Datums in einem Zertifikat können alle Signaturen ungültig werden. Welches Zertifikat ist das und welchen Wert haben die NotAfter und NotBefore Einträge des Zertifikats? Es sind mehrere Lösungen möglich. (2 Punkte) Bei allen Zertifikaten kann so was passieren: Zertifikat A: n.b oder n.a Zertifikat B: n.b oder n.a Zertifikat C: n.b oder n.a

7 Aufgabe 2 Matrikel Nr.:... Seite: 5 (iii) Ist es möglich das Datum in einem Zertifikat zu ändern, sodass die Signatur am ungültig wird, aber alle anderen Signaturen gültig bleiben? Falls ja, geben Sie die Werte für NotBefore and NotAfter eines Zertifikates entsprechend an. Falls nein, begründen Sie Ihre Antwort. (2 Punkte) Nein, das ist nicht möglich. Damit die Signatur am ungültig wird, gibt es zwei Möglichkeiten: Die erste ist, dass eins von den drei Zertifikaten am ungültig ist. Aber dann sind auch alle andere Signaturen ungültig. Die andere Möglichkeit ist, dass Alice kein gültiges Zertifikat am besitzt. (iv) Ist es möglich das Datum in einem Zertifikat zu ändern, sodass die Signatur am ungültig wird, aber die Signatur am gültig bleibt? Falls ja, geben Sie die Werte für NotBefore and NotAfter eines Zertifikates entsprechend an. Falls nein, begründen Sie Ihre Antwort. (2 Punkte) a, das ist möglich. Bei allen Zertifikaten kann so was passieren: Zertifikat A: < n.b und n.a Zertifikat B: < n.b und n.a Zertifikat C: < n.b und n.a b) Bob prüft am nach dem modifizierten Schalenmodell (Hybridmodell) und möchte die zuvor erstellten Signaturen von Alice verifizieren. (i) Tragen Sie in die folgenden Zertifikate solche Werte in die Datumsfelder (NotBefore and NotAfter) ein, sodass alle Signaturen, die Alice zuvor geleistet geleistet hat, gültig sind. (3 Punkte) Zertifikat A Serial No.: 22 Issuer: RootCA NotBefore: NotAfter: Subject: RootCA Public Key: key-0x8565 Signature: verifiable with key-0x8565 Zertifikat B Serial No.: 88 Issuer: RootCA NotBefore: NotAfter: Subject: SubCA Public Key: key-0x234f Signature: verifiable with key-0x8565 Zertifikat C Serial No.: 144 Issuer: SubCA NotBefore: NotAfter: Subject: Alice Public Key: key-0x6609 Signature: verifiable with key-0x234f 5

8 Aufgabe 2 Matrikel Nr.:... Seite: 6 (ii) Zusätzlich bekommt Bob folgende indirekte CRL und benutzt sie während der Überprüfung. CRL A Issuer: Sub CA ThisUpdate: May 23 00:00: GMT NextUpdate: une 23 00:00: GMT Revoked Certificates: Serial No.: 144 Serial No.: 88 Serial Nr.: 3 Certificate Issuer: Root CA Serial No.: 144 X509v2 CRL Extensions: CRLNumber: non-critical 75 Signature: verifiable with 0x234F Welche Signaturen sind noch gültig und welche nicht? (2 Punkte) gültig gültig ungültig 6

9 Aufgabe 3 Matrikel Nr.:... Seite: 7 Aufgabe 3 Basic Constraints Erweiterung (3x2+(3+5+1) = 15 Punkte) In dieser Aufgabe geht es um die Basic Constraints Erweiterung: BasicConstraints ::= SEQUENCE { ca BOOLEAN DEFAULT FALSE, pathlenconstraint INTEGER (0..MAX) OPTIONAL } a) Diese Erweiterung zeigt, ob das Subject eines Zertifikats eine CA ist oder nicht. Negative path- LenConstraint bedeutet, dass das Zertifikat einer Endeinheit gehört, und positive, dass es einer CA gehört. Ist das wahr? Begründen Sie Ihre Antwort. (2 Punkte) Das stimmt nicht. Das Feld pathlenconstraint darf keine negativen Werte annehmen. Der boolean Wert ca ist für diese Unterscheidung zuständig. b) Das Feld pathlenconstraint ist optional. Wenn es nicht vorhanden ist, bedeutet das, dass die CA beliebig viele untergeordnete CA-Zertifikate in einem Zertifizierungspfad erlaubt? Begründen Sie Ihre Antwort. (2 Punkte) a. Wenn es vorhanden ist, gibt dieses Feld die maximale Anzahl von nicht selbst-signierten CA-Zertifikaten an, die dem zugehörigen Zertifikat folgen dürfen, sodass der Pfad nicht ungültig wird. c) Das Feld pathlenconstraint in dem Zertifikat eines Vertrauensankers legt die minimale Länge eines Zertifizierungspfads fest. Ist das wahr? Begründen Sie Ihre Antwort. (2 Punkte) Nein. Dieses Feld kann nur die maximale Länge einschränken. Man könnte auch argumentieren, dass das Zertifikat des Vertrauensankers gar nicht im Zertifizierungspfad vorkommt. 7

10 Aufgabe 3 Matrikel Nr.:... Seite: 8 Zert: D pathlen: 4 Test CA Zert: A Zert: B pathlen: 3 Zert: I pathlen: 0 BCA Zert: F pathlen: 1 Zert: pathlen: 2 Zert: K pathlen: 1 Zert: C pathlen: 2 RBG CA Zert: E pathlen: 0 Zert: H pathlen: 2 HRZ CA Zert: M pathlen: 3 Zert: G Alice Server CA Carl Zert: N pathlen: 0 Linux CA Zert: L Bob Abbildung 1: Hierarchiebaum. d) In der Anlage 1 gibt es 14 Zertifikate: (i) Erstellen Sie einen Baum, der die Zertifizierungshierarchie für diese Zertifikate wiedergibt. (3 Punkte) Siehe Abbildung 1. 8

11 Aufgabe 3 Matrikel Nr.:... Seite: 9 (ii) Schreiben Sie auf die Zertifikate im Baum (die Pfeile) 1 den minimalen Wert, den das Feld pathlenconstraint annehmen kann, sodass Alice, Bob und Carl den Public-Key der jeweils anderen verifizieren können. Diese Benutzer haben nur jeweils einen und untereinander unterschiedliche Vertrauensanker. eder dieser Vertrauensanker hat ein selbstsigniertes Zertifikat. (5 Punkte) Siehe Abbildung 1. (iii) Welche Vertrauensmodelle einer X.509 basierten PKI kann man hier erkennen? (1 Punkt) Es sind zwei Modelle, nämlich cross-certification und bridge. Direct Trust ist auch vorhanden. 1 Oder auf der Anlage 1. Achten Sie darauf, dass dieses Blatt mit der Klausur abgegeben wird. 9

12 Aufgabe 4 Matrikel Nr.:... Seite: 10 Aufgabe 4 Path Validation nach RFC3280 ( (5)+4 = 15+5 Punkte) In dieser Aufgabe geht es um den im RFC3280 angegebenen Algorithmus zum Prüfen von Zertifizierungspfaden. Sie finden das aus der Übung bekannte Flussdiagramm auf einem extra Blatt. Ihnen stehen die Zertifikate der Anlage 1 zur Verfügung. Ein Client validiert ein Zertifikat nach dem Algorithmus. Direkt vor dem Wrap Up -Schritt sieht der bei der Ausführung des Algorithmus entstandene Baum wie der Baum in Anlage 2 aus. Selbstsignierte Zertifikate dürfen hier nicht im Zertifizierungspfad vorkommen. Der Zertifizierungspfad darf keine Zyklen enthalten, d.h. dass das Paar w_pk w_iss genau einmal im Algorithmus verwendet werden darf. a) Wie viele Zertifikate enthält der vom Client validierte Zertifizierungspfad? Begründen Sie Ihre Antwort. (2 Punkte) Der Zertifizierungspfad hat 5 Zertifikate. Das ist so, weil die Tiefe des Baums 5 ist. b) Welche Zertifikate enthält der Zertifizierungspfad? (1 Punkt) Er enthält die Zertifikate B,, K, N, L. Das ist der einzige Pfad, der die Länge 5 hat. c) Der Algorithmus überprüft, ob ein Schlüssel einer Person zugeordnet ist. Wer ist diese Person und welchen Wert hat deren Schlüssel. (2 Punkte) Die Person ist Bob und sein Schlüssel hat den Wert 0x34. d) Der Algorithmus bekommt als Input den Schlüssel des Vertrauensankers. Welchen Wert hat dieser Schlüssel? (1 Punkt) Der Vertraunsanker ist die Test CA und ihr Schlüssel ist der Input zum Algorithmus. Deswegen hat der Schlüssel den Wert 0x18. e) Geben Sie die Werte für Certificate Policy und Policy Mappings für alle Zertifikate im Zertifizierungspfad an. Es sind mehrere Lösungen möglich. Die Angabe einer Lösung ist ausreichend. (5 Punkte) Bonus: Geben Sie ALLE richtige Kombinationen von Certificate Policy und Policy Mappings an, so bekommen Sie 5 extra Punkte. 10

13 Aufgabe 4 Matrikel Nr.:... Seite: 11 Zertifikat Certificate Policy Policy Mappings B ANY cyan cyan B cyan, ANY leer B cyan, ANY cyan cyan ANY cyan red cyan, ANY cyan red K ANY leer K ANY red red K red, ANY leer K red, ANY red red N red, ANY red red red yellow N ANY red red red yellow L ANY leer L red, ANY leer L yellow, ANY leer L yellow, red, ANY leer Tabelle 1: Zertifikate und deren Werte. f) Der überprüfende Client lässt nur die Policies yellow, white und green zu. Erstellen Sie den vollen Policy-Baum (valid_policy_tree), wie er nach dem Wrap- Up -Schritt entsteht. (4 Punkte) 11

14 Aufgabe 4 Matrikel Nr.:... Seite: 12 Any { } FALSE { Any } Any { } FALSE { Any } Any { } FALSE { Any } Any { } FALSE { Any } Any { } FALSE { Any } yellow { } FALSE { yellow } white { } FALSE { white } green { } FALSE { green } Abbildung 2: Der valid_policy_tree nach dem Wrap Up -Schritt. 12

15 Aufgabe 5 Matrikel Nr.:... Seite: 13 Aufgabe 5 Web of Trust ( = 12 Punkte) Die Benutzerin Alice (A) möchte sich der Authentizität des öffentlichen Schlüssels ihres Kommunikationspartners versichern. In ihrem Public Key Ring stehen die Schlüssel von Bob, Carl und Diana. Den Schlüssel von Bob hat Alice signiert. Bob hat den Schlüssel von Carl und Diana signiert. Carl hat den Schlüssel von Diana signiert. Alice vertraut Bob und Carl complete, aber sie hat kein Vertrauen zu Diana. Diana hat den Schlüssel von Carl signiert. Alice akzeptiert einen Schlüssel als gültig, wenn er von einer Person, der sie komplett vertraut, oder von drei Personen, denen sie marginal vertraut, unterschrieben worden ist. a) Ist der Schlüssel von Bob für Alice complete gültig? Begründen Sie Ihre Antwort. (2 Punkte) a, er ist ist gültig, weil Alice ihn signiert hat. b) Ist der Schlüssel von Carl für Alice complete gültig? Begründen Sie Ihre Antwort. (2 Punkte) a, er ist gültig, weil Bob ihn signiert hat und Alice Bob complete vertraut. Zusätzlich hat Bob einen complete gültigen Schlüssel. c) Ist der Schlüssel von Diana für Alice complete gültig? Begründen Sie Ihre Antwort. (2 Punkte) a, er ist gültig, weil Bob (oder Carl) ihn signiert hat und Alice Bob (oder Carl) complete vertraut. Zusätzlich hat Bob (oder Carl) einen complete gültigen Schlüssel. 13

16 Aufgabe 5 Matrikel Nr.:... Seite: 14 d) Geben Sie den View von Alice an und beweisen Sie Ihre Aussagen aus a), b) und c) mit Verwendung der beiden Modelle, die in der Übung vorgestellt worden sind. Tipp: Geben Sie den Aussagen (statements) kurze Bezeichner und verwenden Sie diese in den Ableitungen (z.b. Aut(G, F, P, I 3 ) = (1) ). (6 Punkte) Hinweise: Erstes Modell Maurer (1) (2) (3) (4) X Y : Aut X, Trust X,1, Cert X,Y Aut Y X Y i 1 : Aut X, Trust X,i+1, Rec X,Y,i Trust Y,i X 1 k < i : Trust X,i Trust X,k X Y 1 k < i : Rec X,Y,i Rec X,Y,k Zweites Modell Erweitertes X, Y, t {I 0 I 1 }, Q D : (5) Aut(A, X, P, I 0 ), Trust(A, X, D, I 1 ), Valid A, Cert(X, Y, Q, I 2 ), t Aut(A, Y, Q, I 2 ) X, Y, t {I 0 I 1 }, Q D : (6) Aut(A, X, P, I 0 ), Trust(A, X, D, I 1 ), Valid A, Tran(X, Y, Q, I 2 ), t Trust(A, Y, Q, I 2 ) Erstes Modell Maurer View A = {Aut B, Cert B,C, Cert B,D, Cert C,D, Trust B,1, Trust C,1, Cert D,C } Aut B ist schon vorhanden. Wir müssen zeigen, dass Aut C und Aut D View A. Zweites Modell Erweitertes Aut B, Trust B,1, Cert B,C Aut C (1) Aut B, Trust B,1, Cert B,D Aut D (1) oder Aut C, Trust C,1, Cert C,D Aut D (1) 14

17 Aufgabe 5 Matrikel Nr.:... Seite: 15 View A = {Aut(A, B, P, I 0 ), Valid A, Cert(B, C, Q, I 2 ), t, Valid A, Cert(B, D, Q, I 2 ), t, Valid A, Cert(C, D, Q, I 2 ), t, Trust(A, B, D, I 1 ), Trust(A, C, D, I 1 ), Valid A, Cert(D, C, Q, I 2 ), t, } Aut(A, B, P, I 0 ) ist schon vorhanden. Wir müssen zeigen, dass Aut(A, C, P, I 0 ) View A und Aut(A, D, P, I 0 ) View A. (7) Aut(A, B, P, I 0 ), Trust(A, B, D, I 1 ), Valid A, Cert(B, C, Q, I 2 ), t Aut(A, C, Q, I 2 ) und (8) Aut(A, B, P, I 0 ), Trust(A, B, D, I 1 ), Valid A, Cert(B, D, Q, I 2 ), t Aut(A, D, Q, I 2 ) oder (9) Aut(A, C, P, I 2 ), Trust(A, C, D, I 1 ), Valid A, Cert(C, D, Q, I 2 ), t Aut(A, D, Q, I 2 ) 15

18 Aufgabe 6 Matrikel Nr.:... Seite: 16 Aufgabe 6 Lücken ausfüllen (8x1 = 8 Punkte) Fügen Sie in jede Lücke genau ein Wort aus dem Kasten ein, sodass der Satz korrekt wird. a) Eine CRL, welche nur Standarderweiterungen hat, darf die Erweiterung subject key identifer nicht besitzen. b) In PGP kann Alice den owner trust auf complete für einen anderen Benutzer setzen. Allerdings kann die key legitimacy des Schlüssels nicht gesetzt werden, sondern wird immer berechnet. c) Mit dem DSA Algorithmus kann ein OCSP-Server seine Antworten signieren. Sein Zertifikat hat in der Erweiterung extended key usage den Wert OCSPSigning. d) Wenn eine Website ein extended validation certificate besitzt, ist die Adressleiste eines Browsers grün gefärbt. Dabei ist die Verbindung zwischen dem Server und dem Client verschlüsselt. Das Protokoll dazu heißt TLS. Syntax signiert Wert einfach subject CRL owner CA DSA property ASN.1 Identität LDAP 3DES policy sichere hash extended MAC transitiv quantum verschlüsselt authority secret Nummer DER SSH OCSP SCVP complete optional PKCS#11 validation berechnet TLS AKI RA critical überprüft trust PGP Erweiterung Punkt symmetrische direct legitimacy indirect issuer 16

19 Aufgabe 7 Matrikel Nr.:... Seite: 17 Aufgabe 7 Certificate Revocation Tree (2+5 = 7 Punkte) In Abbildung 3 ist der Baum eines 4-Tages Revokationssystems mit Bäumen dargestellt. Die (unsichere) Einwegfunktion, welche in dem Baum benutzt wird, hat 4 bits Hashlänge. Die Ausgabe dieser Funktion wird berechnet, indem zum Input der feste Wert 6 addiert, dieses Ergebnis mod9 reduziert und dann dieses Ergebnis gemäß der Substitutionsbox der Tabelle 1 ersetzt wird Abbildung 3: Revocation Tree Input Output Tabelle 2: S-Box Die 4 ursprünglichen Zufallswerte, aus denen der Baum berechnet wird, sind 1001, 11111, und 010. Der Wert, aus dem die Revokation des Zertifikats berechnet wird, ist N 0 = Welche Werte Y (5 Punkte) und N (2 Punkte) werden in das Zertifikat geschrieben? Wir haben für Sie in Abbildung 3 einige Zwischenwerte vorberechnet. Lösungsvorschlag N = s(( ) mod 9) = s(0111) = 0100 Y = 0100 siehe auch Abbildung 4. 17

20 Aufgabe 7 Matrikel Nr.:... Seite: Abbildung 4: Revocation Tree 18