Übungen zu. Grundlagen der Kryptologie SS Hochschule Konstanz. Dr.-Ing. Harald Vater. Giesecke & Devrient GmbH Prinzregentenstraße 159

Transkript

1 Übungen zu Grundlagen der Kryptologie SS 2008 Hochschule Konstanz Dr.-Ing. Harald Vater Giesecke & Devrient GmbH Prinzregentenstraße 159 D München Tel.:

2

3 2 Übungsaufgaben zu Kapitel Sie haben untenstehenden Cäsar-verschlüsselten Ciphertext abgefangen. Sie vermuten, daß das erste Plaintextwort H A L L O heißt, weil so die meisten Nachrichten anfangen. Entschlüsseln Sie den kompletten Ciphertext: M F Q Q T K W J Z S I J 1.2 Wieviele Ciphertextzeichen brauchen Sie, um eine Cäsar-Chiffre mit einer Ciphertext-Only-Attack zu brechen? 1.3 Wieviele Ciphertextzeichen brauchen Sie, um eine Cäsar-Chiffre mit einer Known-Plaintext-Attack zu brechen? 1.4 Sie haben eine Known-Plaintext-Attack gefahren und folgendes Plain- Cipher-Pärchen erhalten. Um welches Verschlüsselungsverfahren könnte es sich handeln? Plaintext: K R Y P T O L O G I E Ciphertext: L T B Q V R M Q J J G 1.5 Wie würden Sie eine Ersetzungschiffre mit einer Chosen-Plaintext-Attack brechen? Wieviel Plaintext-Buchstaben müssen Sie dazu verschlüsseln lassen? 1.6 Wieviele Cipher / Plaintext-Zeichen benötigen Sie, um eine Vigenère- Chiffre mit einer Known-Plaintext-Attack zu brechen? 1.7 Verschlüsseln Sie das Wort K R Y P T O L O G I E mit einer Vigenère- Chiffre, wobei Sie das Schlüsselwort G D M benutzen.

4 3 1.8 Angenommen, man benötigt ca Buchstaben, um eine statistische Analyse durchzuführen. Wieviele Ciphertext-Zeichen benötigt man dann, um eine Vigenère-Chiffre mit einer Schlüsselwortlänge von 50 Buchstaben zu brechen? 1.9 Ist es möglich, einen 10 kbyte langen Text mit einem 1 kbyte langen Schlüssel perfekt, das heißt beweisbar sicher zu verschlüsseln? Wenn ja, unter welchen Bedingungen, und wie könnte eine solche Verschlüsselung aussehen? 1.10 Verschlüsseln Sie das Wort K R Y P T O L O G I E mit einer Vernam- Chiffre und dem Schlüssel G E H E I M N I S S E. Wäre eine solche Verschlüsselung beweisbar sicher?

5 4 Übungsaufgaben zu Kapitel Stellt es ein Sicherheitsrisiko dar, wenn bei einer additiven Stromchiffre mehrere Plaintexte mit gleichem Startwert und Schlüssel des Pseudozufallsgenerators verschlüsselt werden? Wenn ja, wie könnte ein Angriff aussehen? 2.2 Wieviel GByte Speicher benötigt man, um bei einem Double-DES eine Meet-in-the-Middle Attack durchzuführen? 2.3 Angenommen, ein DES-Chip, der in der Sekunde 10 6 DES-Verschlüsselungen durchführen kann, kostet 5 DM. Wieviel würde dann (ungefähr) eine Maschine kosten, die in maximal einer Woche einen DES-Schlüssel mit Exhaustive Search findet? 2.4 Ein Plaintext (z.b. ein Bild) bestehe vorwiegend aus langen und Folgen. Dieser werde mit DES im CBC-Mode verschlüsselt. Würden hier schwache DES-Schlüssel eine Gefahr bedeuten? Wenn ja, welche? (Überlegen Sie sich zunächst, wie die ersten Ciphertextblöcke bei einem gegebenen ICV aussehen würden, wenn der Plaintext mit beginnt.) 2.5 Durch Übertragungsfehler werde 1 Bit im Ciphertext verändert. Wie wirkt sich dieser Bitfehler auf den entschlüsselten Text aus, wenn die Daten im a.) b.) c.) d.) ECB-Mode CBC-Mode OFB-Mode CFB-Mode verschlüsselt übertragen wurden?

6 5 2.6 Es werde eine DES-Verschlüsselung im CBC-Mode durchgeführt. Wie lang wird der Ciphertext, wenn der Plaintext a.) b.) 70 Byte 80 Byte lang ist? 2.7 Stellt es ein Sicherheitsrisiko dar, wenn bei Triple-DES Verschlüsselung im a.) b.) CBC-Mode OFB-Mode mehrere Plaintexte mit gleichem Initialisierungsvektor ICV und gleichem Schlüssel verschlüsselt werden? Wenn ja, welches? 2.8 Es werden DES-Verschlüsselungen in den Betriebsarten ECB-, CBC-, OFBund CFB-Mode durchgeführt. Welche dieser Verschlüsselungsarten stellt eine Blockchiffre, welche eine Stromchiffre und welche eine additive Stromchiffre dar? 2.9 Ein Kunde möchte Daten verschlüsselt und authentisch übertragen. Da die Vertraulichkeit der Daten wichtiger ist, als die Authentizität, entschließt er sich, die Daten zunächst mit Triple-DES im CBC-Mode zu verschlüsseln und darüber dann einen MAC mit einfachem DES zu rechnen. Als Schlüssel für den MAC wird die linke Hälfte des Triple-DES Verschlüsselungsschlüssels verwendet. Stellt dieses Verfahren ein Sicherheitsrisiko dar? Was würden Sie dem Kunden raten? 2.10 Wäre bei der MAC-Berechnung ein Padding denkbar, bei dem die Daten einfach durch Auffüllen von '00'-Bytes auf ganze Vielfache der Blocklänge verlängert werden?

7 Wäre eine MAC-Berechnung denkbar, bei der zunächst eine 8-Byte EXOR- Summe über die Daten gerechnet wird, anschließend diese EXOR-Summe Triple-DES verschlüsselt wird und das Ergebnis den Daten als MAC angehängt wird? Wäre statt der EXOR-Summe ein 8 Byte langer CRC sicherer? 2.12 Es sind Daten mit DES im CBC-Mode verschlüsselt worden. Nach einer Known-Plaintext-Attack hat ein Angreifer den kompletten Ciphertext abgefangen, weiterhin kennt er den letzten Plaintextblock. Die anderen Plaintextblöcke, sowie der ICV sind unbekannt. Kann er hiermit ein Exhaustive Key Search durchführen? Wenn ja, wie? 2.13 Ließe sich mit einem Pseudozufallsgenerator, der aus einer Schieberegisterschaltung besteht, wie sie in C-Compilern vorhanden ist, eine sichere additive Stromchiffre konstruieren? 2.14 Ein Pseudozufallsgenerator erzeuge folgendermaßen 8 Byte lange Zufallsblöcke: Zunächst wird ein (geheimer) Startwert IV DES-verschlüsselt und als erster Zufallszahlenblock ausgegeben. Dann wird der Startwert um 1 erhöht, DES-verschlüsselt und als zweiter Zufallszahlenblock ausgegeben usw., der i-te Zufallszahlenblock Z i ergibt sich also aus Z i = DES k ( IV + i ) Ist es hier möglich, den Schlüssel k (bei unbekanntem Startwert IV ) durch Exhaustive Key Search zu finden? Wenn ja, wie? Wieviele aufeinanderfolgende Zufallszahlenblöcke benötigen Sie dafür? 2.15 Teilen Sie den Bytestring 'A1''A2''A3''A4' mit Secret Splitting in zwei Teilgeheimnisse auf. Verwenden Sie hierzu die Zufallszahl '37''F2''AB''4D'. Rekonstruieren Sie anschließend den Bytestring aus den Teilgeheimnissen wieder.

8 7 Übungsaufgaben zu Kapitel In einem System mit 500 Teilnehmern soll jeder Teilnehmer mit jedem anderen verschlüsselte Daten austauschen können. a.) Wieviele Schlüssel müßten bei Verwendung von symmetrischen Verfahren erzeugt werden? b.) Wieviele Schlüssel müßten bei Verwendung von Public-Key Verfahren erzeugt werden? 3.2 Lösen Sie folgende Aufgaben, rechnen Sie dazu jeweils eine Probe. a.) mod 11 =? b.) 7 9 mod 11 =? c.) 7 9 mod 11 =? d.) 7/9 mod 11 =? e.) 7 9 mod 11 =? 3.3 Lösen Sie folgende Aufgaben durch Nachdenken, kein Taschenrechner! a.) mod 101 =? b.) mod 101 =? c.) mod 101 =? d.) mod 77 =? e.) mod 77 =? 3.4 Geben Sie für jedes Element, außer der Null, aus GF(7) seine Ordnung an. ( GF(7) = Rechnung modulo 7 ) 3.5 Suchen Sie ein primitives Element aus GF(11). 3.6 Welche Ordnungen können bei den Elementen aus GF(101) auftreten?

9 8 3.7 Für den RSA wählt man üblicherweise einen Public Exponent von Welche Speichergröße (wieviele Bits) muß bei einem 1024-Bit RSA für den Public Key vorgesehen werden, und welche für den kompletten Secret Key? 3.8 Erzeugen Sie ein RSA-Schlüsselpaar mit p=3, q =11 und e=3. Verschlüsseln Sie die Nachricht x=27. Wie lautet der Ciphertext? Entschlüsseln Sie den Ciphertext mit dem Secret Key. 3.9 Erzeugen Sie ein Rabin-Schlüsselpaar mit p=5 und q =7 Verschlüsseln Sie die Nachricht x=16. Wie lautet der Ciphertext? Entschlüsseln Sie den Ciphertext mit dem Secret Key. Hinweis: Das Element 11 besitzt die Wurzeln 9, 16, 19, 26 Das Element 16 besitzt die Wurzeln 4, 11, 24, Ein Diffie-Hellman Key-Exchange Verfahren wird für p = 17 und α = 3 konstruiert. Die Teilnehmer A, B und C erzeugen sich geheime Schlüssel x A =6, x B =7 und x C =12. Wie lauten die zugehörigen öffentlichen Schlüssel? Welcher gemeinsame (symmetrische) Schlüssel ergibt sich zwischen den Teilnehmern A und B, welcher zwischen den Teilnehmern B und C und welcher zwischen den Teilnehmern A und C? 3.11 Was ist grundsätzlich der Unterschied zwischen einer digitalen Signatur und einem MAC? 3.12 Wie lange muß ein Hash-Wert mindestens sein, wenn gefordert ist, daß durchschnittlich 2 80 Hashversuche notwendig sein sollen, um eine Kollision zu finden? 3.13 Hashfunktionen können auch mit symmetrischen Chiffrieralgorithmen realisiert werden, indem man als Plaintext den Hash-Input, als Schlüssel den Datenblock und als Ciphertext den Hash-Output verwendet. Könnte man auch Plaintext und Schlüssel vertauschen, das heißt als Schlüssel den Hash-Input und als Plaintext den Datenblock verwenden?

10 Bei welchen Randbedingungen sollte eher das Rabin-Verfahren als der RSA als Signaturalgorithmus eingesetzt werden? 3.15 Welchen Speicherplatz (wieviele Bits) muß man bei einem 1024-Bit DSA für Schlüssel und Systemparameter zur Signaturerzeugung vorsehen, und welchen zur Signaturüberprüfung? 3.16 Kann es bei einer DSA-Signaturerzeugung passieren, daß s = 0 wird? Falls ja, wäre dies sicherheitsrelevant, und wie hoch wäre die Wahrscheinlichkeit, daß dies passiert? 3.17 Berechnen Sie ( 3 10 mod 17 ) mit dem Square & Multiply Verfahren Wieviele Multiplikationen und wieviele Quadrierungen müssen durchschnittlich bei der DSA-Signaturerzeugung berechnet werden? (Der Aufwand zur Berechnung von s sei vernachlässigbar) 3.19 Berechnen Sie ( 12 7 mod 35 ) einmal ohne CRT und einmal mit CRT. Hinweis: 35 = 5 7, ( 1 5 mod 7) = 3, ( 1 7 mod 5) = Um welchen Faktor läßt sich der Rechenaufwand durch Verwendung der CRT maximal reduzieren (Vernachlässigung des Transformationsaufwandes) bei Signaturberechnung mit a.) b.) RSA DSA 3.21 Zur Erzeugung einer Bit langen Primzahl werden zunächst Bit lange Zufallszahlen generiert, das niederwertigste Bit zu '1' gesetzt (ungerade Zahl) und anschließend ein Primtest durchgeführt. Wieviele Versuche benötigt man durchschnittlich, bis eine dieser Zahlen den Primtest besteht?

11 Prüfen Sie mit dem Fermat-Test, ob die 21 eine Primzahl ist Suchen Sie ein Element α, das in GF(101) die Ordnung 5 hat. Überprüfen Sie das Ergebnis Welche Moduluslänge benötigen Sie bei Elliptischen-Kurven Verfahren, um in etwa die Sicherheit eines 1024-Bit RSA zu erreichen? Welcher Rechenaufwand ist, nach heutigem Kenntnisstand, ungefähr notwendig, um diese Systeme zu brechen? Unter der Annahme, daß alle Rechner weltweit zusammen eine Rechenleistung von MIPS besitzen, wie lange müßten diese dazu rechnen?

12