Informatik für Ökonomen II HS 09

Transkript

1 Informatik für Ökonomen II HS 09 Übung 5 Ausgabe: 03. Dezember 2009 Abgabe: 10. Dezember 2009 Die Lösungen zu den Aufgabe sind direkt auf das Blatt zu schreiben. Bitte verwenden Sie keinen Bleistift und keine rotfarbigen Schreibutensilien. Aufgabe 1 Bedrohung und Angriffe (16 Punkte) a) Beim Packet Sniffing handelt es sich um eine passive Attacke. b) Mittels Authentifizierung kann Login Spoofing verhindert werden. c) Vertraulichkeit gewährleistet den Schutz vor aktiven Attacken. d) Pseudonymität kann mittels Authentifizierung verhindert werden. e) Beim Packet Sniffing handelt es sich immer um eine Attacke. f) Ein System, welches mittels Verschlüsselung eine starke Privatheit bietet, möchte den Nutzer vor Packet Snooping schützen. g) Das Hauptziel eines trojanischen Pferdes ist es, sich selbst zu replizieren und zu verbreiten. h) Um sich vor Phishing-Attacken zu schützen, sollte der Nutzer ein langes Passwort mit vielen Sonderzeichen wählen. 1

2 Aufgabe 2 Authentifizierung (10 Punkte) a) Ein Fingerabdruck kann nicht zur Authentifizierung eingesetzt werden, da er gefälscht werden kann. b) Die erfolgreiche Authentifizierung ist eine notwendige, aber nicht hinreichende Bedingung für die Authorisierung. c) Eine Kryptographischen Hash-Funktion sollte für zwei Nachrichten nur dann identische Ausgabewerte generieren, wenn die beiden Nachrichten identisch sind. d) Die Berechnung der ursprünglichen Nachricht aus dem Ausgabewert einer Hash-Funktion sollte für den Empfänger der Nachricht möglichst schwierig sein. e) Um bei einer Key-dependent hash function die zu sendende Nachricht berechnen zu können, muss die Nachricht, die Hash Funktion und der Schlüssel bekannt sein. Aufgabe 3 Verschlüsselung (22 Punkte) a) Verschlüsselung schützt vor passiven Attacken. b) Bei asymmetrischen Verschlüsselungsverfahren wird die empfangene Nachricht mit dem privaten Schlüssel des Empfängers entschlüsselt. c) Findet der Datenaustausch nur in eine Richtung statt (nur eine Partei sendet, während die Andere nur empfängt), brauchen, unabhängig von der Art der Verschlüsselung, beide Seiten nur einen Schlüssel. d) Findet der Datenaustausch in beide Richtungen statt, braucht jede Partei bei einer symmetrischen Verschlüsselung genau einen Schlüssel. 2

3 e) Bei hybriden Verschlüsselungsverfahren wird in einem ersten Schritt mittels asymmetrischer Verschlüsselung der Session Key ausgetauscht. Dieser Session Key wird dann zur symmetrischen Verschlüsselung des weiteren Datenaustausches eingesetzt. f) Hybride Verschlüsselungsverfahren werden zum Beispiel beim HTTPS Protokoll verwendet. g) Asymmetrische Verschlüsselungsverfahren bieten keinen Schutz vor Wiedereinspielung. h) Gelingt Bob die Entschlüsselung einer Nachricht mit Alices public Key, bedeutet dies, dass die Nachricht mit Alices private Key verschlüsselt wurde. i) Ein Zertifikat beinhaltet unter Anderem den Privaten Schlüssel des Senders. j) Der RSA-Algorithmus bietet Sicherheit im Bezug auf die Integrität und die Privatheit. k) Der RSA-Algorithmus kann nicht als sicher eingestuft werden, da - gemäss Moore's Law - Computer bald in der Lage sein werden, die Faktorzerlegung in polynomialer Zeit durchzuführen. Aufgabe 4 Signaturen und Zertifikate (8 Punkte) a) Mittels der Signatur und dem Public Key kann der Empfänger prüfen, ob der Sender die Nachricht mit dem dazugehörigen Private Key signiert hat. b) Bei der Signatur wird eine asymmetrische Verschlüsselung angewandt. c) Um eine signierte verschlüsselte Nachricht zu senden, muss der Sender die Nachricht zwei Mal verschlüsseln. d) Zertifikate dienen dem Empfänger dazu zu prüfen, ob der public Key, welcher er vom Sender erhalten hat, tatsächlich dem Sender gehört. Dafür muss das Zertifikat von einer Trusted Third Party ausgestellt worden sein. 3

4 Aufgabe 5 Zerfifizierung (33 Punkte) Bob möchte Alice verschlüsselte Nachrichten senden. Der untenstehende Lückentext beschreibt die dazu notwendigen Schritte. Tragen Sie den jeweils richtigen Begriff aus der folgenden Liste in die Lücken ein. Beachten Sie, dass ein Begriff mehrmals oder auch gar nicht eingetragen werden kann. Mögliche Begriffe: Public Key, private Key, Signatur, Alice, Bob. Bob verschlüsselt seine Nachricht mit dem/der von. Um die Nachricht zu signieren benötigt er ausserdem dem/die von. Damit Alice die Signatur überprüfen kann, benötigt sie von Bob ein Zertifikat von der Certification Authority. Dieses Zertifikat enthält den/die von und wird mithilfe des/der der Certification Authority überprüft. Alice entschlüsselt nun Bobs Nachricht mithilfe des/der von. Den/die von wendet Alice an um zu überprüfen, ob die Nachricht tatsächlich von Bob stammt. Aufgabe 6 Offene Fragen (11 Punkte) a) Welchen Nachteil von symmetrischen Verschlüsselungsverfahren versucht man mit hybriden Verschlüsselungsverfahren zu umgehen? Antworten Sie in maximal zwei Sätzen. 4

5 b) Weshalb bietet ein Passwort, welches jede Woche gewechselt wird, nicht notwendigerweise mehr Schutz? Antworten Sie in maximal zwei Sätzen. c) Auf den Computern der Firma Safe AG konnte sich ein Trojanisches Pferd einnisten. Nachdem dieses Problem behoben wurde, möchten die Informatiker der Firma alle Mitarbeiter über mögliche Angriffe, welche über das Netzwerk stattfinden können, aufklären. Der Leiter der Firma findet aber, dass es Sache der Informatiker sei, das Netzwerk sicher zu machen. Was würden Sie ihm erwidern? Antworten Sie in maximal zwei Sätzen. 5