Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz. Stammvorlesung Sicherheit im Sommersemester Klausur

Transkript

1 Institut für Kryptographie und Sicherheit Jun.-Prof. Dr. D. Hofheinz IKS Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2013 Klausur Vorname: Nachname: Matrikelnummer: Hinweise - Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. - Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. - Es sind keine Hilfsmittel zugelassen. - Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie auf deren Rückseiten. - Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d Σ a b c d Σ x1 10 Σ 60

2 Aufgabe 1. (2+2+3 Punkte) Betrachten Sie das einfache ElGamal-Verschlüsselungsverfahren (ohne Hashfunktion) aus der Vorlesung. Es sei die zyklische (Unter-)Gruppe G Z 23 und ein G-Erzeuger g = 3 mit Ordnung 11 gegeben. (a) Berechnen Sie zu dem geheimen Schlüssel sk = (G, g = 3, x = 12) den öffentlichen Schlüssel pk := (G, g, h = g x mod 23). (b) Sei C = (2, 1) ein Chiffrat. Verwenden Sie den geheimen Schlüssel aus (a), um den Klartext M G zu berechnen. (c) Bei einer Implementierung der ElGamal-Verschlüsselungsfunktion wird ein schlechter Zufallszahlengenerator verwendet, der nur 2 16 öffentlich bekannte, verschiedene Werte ausgibt. Beschreiben Sie den stärksten Angriff, der einem polynomiell beschränkten Angreifer dadurch erlaubt wird. Lösungsvorschlag zu Aufgabe 1. (a) Wir berechnen h := g x mod 23 = 3 12 mod 23 (1) = mod 23 = mod 23 = 4 18 mod 23 = 3 und setzen pk := (G, g, h) = (G, 3, 3). (Kürzer: h := 3 12 mod 11 mod 23 = 3.) (b) Für C =: (Y, Z) berechnen wir M := Z/Y x mod 23 = 1 (2 12 mod 22 ) mod 23 = 2 10 mod 23 = mod 23 = 81 mod 23 = 12. Alternativ kann auch der erweiterte euklidische Algorithmus EE benutzt werden, um 2 1 mod 23 zu berechnen. (Es gilt = 1; somit 2 1 mod 23 = 12.) Dieses führt zu M := Z/Y x mod 23 = 1 (2 1 ) 12 mod 23 = mod 23 = mod 23 (1) = mod 22 mod 23 = 12. (Kürzer: M := Z/Y x mod 23 = 1 (2 1 ) 12 mod 11 mod 23 = 2 1 mod 23 EE = 12, da g G und somit Y G, für gültiges Chiffrat C = (2, 1) =: (Y, Z).) (c) Der Angreifer erstellt eine Liste der 2 16 = Paare (y, g y ) für alle Werte y, die der Zufallszahlengenerator ausgeben kann. Für ein Chiffrat C =: (Y, Z) sucht er in der Liste das Paar mit g y = Y. Er kennt nun den zum Chiffrieren verwendeten Zufall y und berechnet mit Hilfe des öffentlichen Schlüssels M := (g x ) y Z. Beliebige Chiffrate lassen sich also effizient entschlüsseln. 1

3 Aufgabe 2. ( Punkte) (a) Geben Sie das EUF-CMA-Sicherheitsspiel für digitale Signaturschemata aus der Vorlesung an. Wann ist ein digitales Signaturschema EUF-CMA-sicher? Betrachten Sie das einfache RSA-Signaturschema (ohne Paddingfunktion) aus der Vorlesung. Gegeben seien N = P Q mit P, Q N ungerade, verschieden und prim. (b) Wie werden der öffentliche Schlüssel zum Verifizieren und der geheime Schlüssel zum Signieren gebildet? Welcher Zusammenhang besteht zwischen ihnen? (c) Wie wird eine Signatur σ zu einer Nachricht M erzeugt; wie wird diese Signatur verifiziert? (d) Geben Sie einen effizienten EUF-CMA-Angreifer A auf das einfache RSA-Signaturschema an, der eine gültige Signatur σ zu einer Nachricht M ausgibt. Verwenden Sie dabei nicht die Signaturen σ { 1, 0, 1}. (Hinweis: Unsinnige Nachrichten sind erlaubt.) Lösungsvorschlag zu Aufgabe 2. (a) Ein Signaturschema SIG = (Gen, Sig, Ver) ist genau dann EUF-CMA-sicher, wenn kein PPT- Angreifer A das folgende Spiel nicht-vernachlässigbar oft gewinnt (für (pk, sk) Gen(1 k )): (1) A erhält Zugriff auf Sig(sk, )-Orakel. (2) A gibt Ausgabe (M, σ ). (3) A gewinnt, wenn Ver(pk, M, σ ) = 1 und M frisch. (Für M wurde keine Signatur angefragt.) (b) Wähle solange einen Wert e {3,..., ϕ(n)} zufällig und gleichverteilt bis gcd(e, ϕ(n)) = 1 gilt. Berechne d := e 1 mod ϕ(n) mit erweitertem euklidischem Algorithmus. Setze den öffentlichen Schlüssel pk := (N, e) und den geheimen Schlüssel sk := (N, d). (Dabei sei gcd der Größtergemeinsamer-Teiler-Algorithmus und ϕ die eulersche Phi-Funktion.) (c) Der Wert σ := M d mod N ist eine Signatur für die Nachricht M. Falls σ e mod N = M gilt, ist σ eine gültige Signatur für die Nachricht M; anderenfalls nicht. (d) Wir geben einen effizienten Angreifer A auf das einfache RSA-Signaturschema an: (1) A wählt beliebiges σ Z N \ { 1, 0, 1}. (2) A setzt M := σ e mod N. (3) A gibt Ausgabe (M, σ). Damit ist σ eine gültige Signatur für die (möglicherweise unsinnige) Nachricht M. 2

4 Aufgabe 3. (4+5+4 Punkte) (a) Beschreiben Sie den Meet-in-the-Middle-Angriff auf 2DES und geben Sie den Zeitaufwand und den benötigten Speicherplatz des Angriffs an. Zur Erinnerung: E 2DES (K, M) := E DES (K 2, E DES (K 1, M)), wobei K := (K 1, K 2 ) ({0, 1} 56 ) 2 (b) Erläutern Sie für die folgenden Blockchiffre-Modi, die teilweise schon aus der Vorlesung bekannt sind, welche Auswirkung ein gekipptes Bit im Block C i, i n, bei der Übertragung von C = C 1 C 2... C n auf die Entschlüsselung von C i und C i+1 hat. (i) CFB: C 0 := IV und C i := E(K, C i 1 ) M i (ii) OFB: D 0 := IV und C i := E(K, D i 1 ) M i, wobei D i := E(K, D i 1 ) (iii) CTR (Counter-Mode): R i := E(K, IV + i), C i := R i M i (c) Wir betrachten die folgendermaßen definierte Blockchiffre mit einem k-bit-schlüssel und k-bit- Blocklänge: E : {0, 1} k {0, 1} k {0, 1} k E(K, X) := K perm(x) wobei perm(x) eine öffentlich bekannte Permutation auf k-bit-blöcken ist. Diese Blockchiffre ist nicht zu empfehlen. In welchem Modus (CFB, OFB, CTR) gibt es ein offensichtliches Problem, falls ein Angreifer einen Chiffrat- und zugehörigen Klartextblock C i und M i kennt, wobei i 1? Sie können dabei annehmen, dass das komplette Chiffrat dem Angreifer bekannt ist. Geben Sie diesen Modus an und begründen Sie dafür Ihre Antwort. Lösungsvorschlag zu Aufgabe 3. (a) Gegeben M und C = E 2DES (K, M), gesucht K = (K 1, K 2 ). Wir verfahren beim Meet-in-the- Middle-Angriff wie folgt: 1. Berechne Liste aller C K 1 := E DES (K 1, M). 2. Sortiere Liste lexikographisch, um binäre Suche zu ermöglichen. 3. Berechne nacheinander C K 2 := D DES (K 2, C). 4. Wenn C K 1 = C K 2, gib (K 1, K 2) aus. Bei mehreren Kandidaten (K 1, K 2), starte erneute Suche. Zeitaufwand: O( ), benötigter Speicherplatz: ε bit. (b) (i) CFB: M i = C i E(K, C i 1 ). Bei der Entschlüsselung von C i entsteht durch das gekippte Bit ein gekipptes Bit bei M i an entsprechender Stelle. Fehlerfortpflanzung: Um M i+1 zu berechnen benötigen wir E(K, C i ), welches durch ein gekipptes Bit in C i zu einer Ausgabe führt, die sich in mehreren Bits von der korrekten Ausgabe unterscheiden kann. Somit ist der ganze Block M i+1 zerstört. (ii) OFB: M i = C i E(K, D i 1 ). Bei der Entschlüsselung von C i entsteht durch das gekippte Bit ein gekipptes Bit bei M i an entsprechender Stelle. Keine Fehlerfortpflanzung: Die Blockchiffre ist nicht vom vorigen Chiffratblock abhängig, sondern nur von IV und K und entschlüsselt M i+1 somit korrekt. (iii) CTR: M i = C i E(K, IV + i). Bei der Entschlüsselung von C i entsteht durch das gekippte Bit ein gekipptes Bit bei M i an entsprechender Stelle. Keine Fehlerfortpflanzung: Die Blockchiffre ist nicht vom vorigen Chiffratblock abhängig, sondern wie bei OFB nur von IV und K. (c) CFB: Mit Kenntnis von C i und M i kann man C i M i = E(K, C i 1 ) berechnen. Mit Kenntnis von C i 1 kann man perm(c i 1 ) berechnen. Damit gilt nun E(K, C i 1 ) perm(c i 1 ) = K und man erhält somit den geheimen Schlüssel K. 3

5 CTR: Mit Kenntnis von C i und M i kann man C i M i = R i berechnen. Mit Kenntnis von IV und der Stelle i, die bekannt ist, da der Angreifer das komplette Chiffrat kennt, kann man perm(iv +i) berechnen. Damit gilt nun R i perm(iv + i) = K und man erhält somit den geheimen Schlüssel K. Nicht verlangt: Mit den gleichen Überlegungen wie oben erhalten wir im OFB-Modus nicht den geheimen Schlüssel K, da hier die Blockchiffre nicht vom vorigen Chiffratblock abhängig ist, sondern nur von IV und K. 4

6 Aufgabe 4. (3+3+4 Punkte) (a) Es sei H : {0, 1} {0, 1} k eine kollisionsresistente Hashfunktion und f : {0, 1} {0, 1} eine effizient berechenbare Funktion. Wird H (x) := H(f(x)) immer eine kollisionsresistente Hashfunktion sein, wenn (i) f injektiv ist? (ii) f surjektiv ist? Falls ja, brauchen Sie Ihre Antwort nicht begründen. Falls nein, geben Sie eine konkrete injektive bzw. surjektive Funktion f an und beschreiben Sie, wie sich effizient eine Kollision für H (mit von Ihnen gewähltem f) finden lässt. (b) Es sei G eine Gruppe, in der Logarithmen nicht effizient gezogen werden können. G habe öffentlich bekannte Ordnung p für eine große Primzahl p und g sei ein Erzeuger von G. Ist die Funktion H : {0, 1} G, H(x) := g x eine kollisionsresistente Hashfunktion? Hierbei wird der Bitstring x als natürliche Zahl interpretiert und die Gruppe G als Untermenge von {0, 1} k codiert. Falls ja, skizzieren Sie unter der Annahme, dass Logarithmen in G nicht effizient gezogen werden können, warum H kollisionsresistent ist. Falls nein, geben Sie an, wie sich effizient Kollisionen finden lassen. (c) Jemand schlägt vor, Sig(K, M) := H(K, M) als MAC zu verwenden, wobei der Schlüssel K gleichverteilt aus {0, 1} k gezogen wird und die Nachrichtenraum {0, 1} ist. Ver(K, M, σ) gibt 1 aus, falls H(K, M) = σ und 0 anderenfalls. Warum ist dies kein sicherer MAC für die in der Praxis eingesetzten Hashfunktionen MD5, SHA-1 und SHA-2? Geben Sie an, wie der Angreifer effizient eine Signatur fälschen kann (im Sinne des EUF-CMA-Experiments). Lösungsvorschlag zu Aufgabe 4. (a) (i) Ja, H ist kollisionsresistent, wenn f injektiv ist. (ii) Nein, H ist nicht notwendig kollisionsresistent, wenn f surjektiv ist. Beispielsweise sei f die Funktion, die das erste Bit ihrer Eingabe abschneidet. Für jeden Bitstring x ist dann H (0, x) = H (1, x). (b) Nein, H ist keine kollisionsresistente Hashfunktion. Wir finden effizient Kollisionen, da beispielsweise für jeden Bitstring x gilt, dass H(x) = H(x + k p) für jedes k N (wobei die natürliche Zahl k p als Bitstring interpretiert und dann binär zu x addiert wird); man beachte, dass g p = 1. (c) Der vorgeschlagene MAC ist nicht sicher, da alle genannten Funktionen nach dem Merkle-Damgård- Verfahren konstruiert sind. Sei H eine der Hashfunktionen und bezeichne f die Kompressionsfunktion. Dann berechnet sich (mit festem Initialisierungsvektor IV ) H(M) für eine Nachricht M = M 0,..., M n, deren Länge ein Vielfaches der Blocklänge von f ist, wie folgt: M 0... M n IV f... f H(M) Im EUF-CMA-Experiment lässt sich der Angreifer den MAC σ einer Nachricht M, für die die Länge von K, M ein Vielfaches der Blocklänge von f ist, berechnen. Für eine weitere Nachricht M, deren Länge die Blocklänge von f ist, berechnet der Angreifer f(σ, M ) = σ. Es gilt H(K, M, M ) = σ. Der Angreifer hat also mit σ eine gültige Signatur der frischen Nachricht M, M gefunden. 5

7 Aufgabe 5. (10 Punkte) Im Bell-LaPadula-Modell aus der Vorlesung seien - die Subjektmenge S = {s 1, s 2, s 3 }, - die Objektmenge O = {o 1, o 2, o 3, o 4 }, - die Menge der Zugriffsoperationen A = {read, write, append, execute} und - die Menge der Sicherheitslevel L = {topsecret, secret, unclassified} mit der L-Halbordnung topsecret secret unclassified gegeben. Die Zugriffskontrollmatrix M = (M s,o ) s S,o O ist durch die Tabelle o 1 o 2 o 3 o 4 s 1 {read, write, append} {read} A A s 2 {read, write} {read, write} A {read, write} s 3 {execute} {append} {read, write} definiert und die Zuordung der maximalen und aktuellen Sicherheitslevel F = (f s, f c, f o ) ist wie folgt beschrieben: f s ( ) f c ( ) s 1 topsecret unclassified s 2 secret unclassified s 3 unclassified unclassified o 1 o 2 o 3 o 4 f o ( ) topsecret secret secret unclassified Betrachten Sie die folgende Abfolge von Anfragen b S O A in Reihenfolge: 1. (s 3, o 4, write) 6. (s 1, o 4, append) 2. (s 1, o 4, read) 7. (s 3, o 3, execute) 3. (s 3, o 1, read) 8. (s 2, o 1, read) 4. (s 2, o 2, read) 9. (s 3, o 4, write) 5. (s 2, o 4, write) 10. (s 1, o 1, write) Beschreiben Sie, ob die einzelnen Anfragen gewährt werden und ob der aktuelle Sicherheitslevel geändert wird. Falls die Anfrage nicht gewährt wurde, zeigen Sie auf, welche Eigenschaft(en) im Sinne der ds-, ss- oder -Eigenschaft verletzt wurde(n). Begründen Sie Ihre Entscheidung. Sie können die unten stehende Tabelle für Ihre Lösung verwenden. Anfrage ds ss Bemerkungen 1. (s 3, o 4, write) 2. (s 1, o 4, read) 3. (s 3, o 1, read) 4. (s 2, o 2, read) 5. (s 2, o 4, write) 6. (s 1, o 4, append) 7. (s 3, o 3, execute) 8. (s 2, o 1, read) 9. (s 3, o 4, write) 10. (s 1, o 1, write) 6

8 Lösungsvorschlag zu Aufgabe 5. Gewährt werden die einzelnen Anfragen b S O A, wenn die ds-, ss- und die -Eigenschaft erfüllt sind und damit die Systemsicherheit erhalten bleibt. Anfrage ds ss Bemerkungen 1. (s 3, o 4, write) 2. (s 1, o 4, read) (f c (s 1 ) = unclassified unverändert) 3. (s 3, o 1, read) read / M s3,o 1 und f s (s 3 ) < f o (o 1 ) 4. (s 2, o 2, read) f c (s 2 ) = secret 5. (s 2, o 4, write) f c (s 2 ) > f o (o 4 ) 6. (s 1, o 4, append) 7. (s 3, o 3, execute) execute / M s3,o 3 8. (s 2, o 1, read) f s (s 2 ) < f o (o 1 ) 9. (s 3, o 4, write) 10. (s 1, o 1, write) 7

9 Aufgabe 6. (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede falsche Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. wahr falsch Im One-Time-Pad-Verfahren ist, gegeben das Chiffrat C, jede Nachricht M möglich und gleich wahrscheinlich. Die DES-Rundenfunktion F muss bei der Entschlüsselung invertiert werden. Ein asymmetrisches Verschlüsselungsverfahren ist genau dann semantisch sicher, wenn es IND-CPA-sicher ist. Eine Funktion f : N R ist vernachlässigbar, wenn f schneller als der Kehrwert jedes beliebigen Polynoms verschwindet. Die Identitätsfunktion H : {0, 1} k {0, 1} k ist kollisionsresistent. Für N = P Q, mit P, Q N prim und P Q, gilt ϕ(n) = 2(P 1)(Q 1). (Dabei sei ϕ die eulersche Phi-Funktion.) Wird TLS mit eingeschalteter Kompression benutzt, kann der CRIME-Angriff möglich sein. EUF-CMA-sichere Signaturverfahren sind hinreichend für sichere Public-Key-Identifikationsprotokolle. Das Ziel im Chinese-Wall-Modell ist die konfliktfreie Zuordnung von Objekten zu Firmen. Ein Buffer-Overflow erlaubt es einem Angreifer potentiell, eigenen Code einzuschleusen und zur Ausführung zu bringen. Lösungsvorschlag zu Aufgabe 6. wahr falsch Im One-Time-Pad-Verfahren ist, gegeben das Chiffrat C, jede Nachricht M möglich und gleich wahrscheinlich. 1 Die DES-Rundenfunktion F muss bei der Entschlüsselung invertiert werden. Ein asymmetrisches Verschlüsselungsverfahren ist genau dann semantisch sicher, wenn es IND-CPA-sicher ist. Eine Funktion f : N R ist vernachlässigbar, wenn f schneller als der Kehrwert jedes beliebigen Polynoms verschwindet. Die Identitätsfunktion H : {0, 1} k {0, 1} k ist kollisionsresistent. Für N = P Q, mit P, Q N prim und P Q, gilt ϕ(n) = 2(P 1)(Q 1). (Dabei sei ϕ die eulersche Phi-Funktion.) Wird TLS mit eingeschalteter Kompression benutzt, kann der CRIME-Angriff möglich sein. EUF-CMA-sichere Signaturverfahren sind hinreichend für sichere Public-Key-Identifikationsprotokolle. Das Ziel im Chinese-Wall-Modell ist die konfliktfreie Zuordnung von Objekten zu Firmen. Ein Buffer-Overflow erlaubt es einem Angreifer potentiell, eigenen Code einzuschleusen und zur Ausführung zu bringen. 1 Die Aussage ist unpräzise, da die Nachrichtenlänge von M nicht spezifiziert ist; somit wahr und falsch gültig. 8