Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012

Transkript

1 Institut für Kryptographie und Sicherheit Prof. Dr. Jörn Müller-Quade Musterlösung der Hauptklausur zur Vorlesung Sicherheit Sommersemester 2012 Vorname Nachname Matrikelnummer Ergebniscode Hinweise Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung. Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte hinreichend. Es sind keine Hilfsmittel zugelassen. Schreiben Sie Ihre Lösungen auf Aufgabenblätter und Rückseiten. Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht. Aufgabe mögliche Punkte erreichte Punkte a b c d Σ a b c d Σ x1 10 Σ 60

2 Seite 1 Aufgabe 1 ( = 12 Punkte) a) Es seien die Primzahlen p = 101 und q = 83 gegeben. Wie lautet der entsprechende öffentliche RSA-Modulus n? Wie lautet der entsprechende geheime Schlüssel d zum öffentlichen Schlüssel e = 3? Lösung: Es ist n = p q = Der geheime Schlüssel berechnet sich zu: d = e 1 mod ϕ(n) = 3 1 mod 8200 = 2733 mod 8200 = 5467 Dabei verwendet man, dass = 8199 = 1 mod Alternativ kann man d natürlich auch mit dem ELBA berechnen. b) Skizzieren Sie, wie bei RSA-ES-OAEP eine Nachricht m mit dem öffentlichen Schlüssel (e, n) verschlüsselt wird und wie aus dem Chiffrat c mit dem privaten Schlüssel (d, n) wieder m zurückgewonnen werden kann. Lösung: Das Chiffrat ist c = (z 1 z 2 ) e mod n, wobei (z 1, z 2 ) folgendermaßen berechnet wird: Nachricht m Zufall r hash hash z 1 z 2 Zur Entschlüsselung gewinnt man (z 1, z 2 ) mittels (z 1 z 2 ) = c d mod n zurück und berechnet dann m folgendermaßen: z 1 z 2 hash hash Nachricht m

3 Seite 2 c) Warum ist es problematisch, bei RSA in der Lehrbuchvariante (ohne Padding und Hashing) als öffentlichen Verschlüsselungsschlüssel konstant e = 3 zu wählen? Lösung: Wird dieselbe verschlüsselte Nachricht c = m e an drei verschiedene Empfänger gesendet, die alle als öffentlichen Verschlüsselungsschlüssel e = 3 gewählt haben und paarweise verschieden Moduli n 1, n 2, n 3 verwenden, so kann man mittels des chinesischen Restsatzes ein eindeutiges c = m 3 mod n 1 n 2 n 3 finden und dann m = 3 c analytisch berechnen. (Genau genommen müsste man noch den Fall berücksichtigen, dass die n i nur paarweise verschieden aber nicht paarweise teilerfremd sind; dann kann man den chinesischen Restsatz nämlich nicht anwenden, findet jedoch mittels des ggt einen nicht-trivialen Teiler eines der Moduli und kann damit RSA einfach direkt angreifen.) d) Es seien ein RSA-Modulus n (mit unbekannter Primfaktorzerlegung), sowie ein öffentlicher Verschlüsselungsschlüssel e und der dazu passende Entschlüsselungsschlüssel d gegeben. Ferner sei ein weiterer öffentlicher Verschlüsselungsschlüssel ẽ (aber kein dazu passender Entschlüsselungsschlüssel) und ein entsprechendes Chiffrat c = mẽ mod n gegeben. Wie kann man aus e und d ein ganzzahliges Vielfaches von ϕ(n) berechnen? Wie kann man dies nutzen, um aus dem gegebenen Chiffrat c den geheimen Klartext m zurückzugewinnen? Lösung: Wegen e d = 1 mod ϕ(n) muss φ := e d 1 ein ganzzahliges Vielfaches von ϕ(n) sein. Wenn ẽ und φ teilerfremd sind, kann man mit dem ELBA d = ẽ 1 mod φ berechnen, womit folgt: ẽ d = 1 mod φ = 1 mod ϕ(n) und deshalb m = c d mod n Sind ẽ und φ nicht teilerfremd, sondern haben einen größten gemeinsamen Teiler g > 1, so hat man mit φ := φ ein ganzzahliges Vielfaches von ϕ(n) ohne g gemeinsamen Teiler mit ẽ und kann dann analog zu oben d = ẽ 1 mod φ und damit m = c d mod n berechnen.

4 Seite 3 Aufgabe 2 (2+1+4 = 7 Punkte) Es seien zwei Primzahlen p und q gegeben, sowie eine zyklische Gruppe G F p mit Erzeuger g der Ordnung q. a) Wie berechnet man die entsprechende ElGamal-Signatur einer Nachricht m zum geheimen Schlüssel x (ohne Hashing) und welchen Wertebereich hat m? Lösung: σ(m) = (a, b) mit a = g k und b = k 1 (m x a) mod q für ein zufälliges k {1,..., q 1}. Dafür muss m {0,..., q 1} sein. b) Wie sieht der öffentliche Verfikationsschlüssel y aus und wie verifiziert man eine gegebene Signatur? Lösung: Es ist y = g x und zum Verifizieren testet man g m? = y a a b. c) Aus der Vorlesung ist bekannt, dass man für zwei verschiedene ElGamal- Signaturen nicht denselben Zufall verwenden darf. Ist das Verfahren sicher, wenn man den Zufall durch einen kryptographischen Hashwert h(m) ersetzt? Begründen Sie Ihre Antwort. Lösung: Das Verfahren wäre unsicher, da ein Angreifer aus m und σ(m) = (a, b) den geheimen Schlüssel x berechnen könnte: b = k 1 (m x a) mod q und somit x = a 1( ) m b h(m) mod q }{{} k

5 Seite 4 Aufgabe 3 ( = 14 Punkte) Wir betrachten den folgenden Betriebsmodus für Blockchiffren: m i m i+1 m i+2 c i c i+1 c i+2 a) Zeichnen Sie das entsprechende Entschlüsselungsschaltbild. Lösung: c i = (m i c i 1 ) m i 1 und somit m i = Dec k (c i m i 1 ) c i 1. Es ergibt sich folgendes Schaltbild: c i c i+1 c i+2 Dec k Dec k Dec k m i m i+1 m i+2

6 Seite 5 b) Bewerten Sie diesen Modus, indem Sie die folgenden Fragen beantworten: 1. Inwiefern kann ein Angreifer gezielt Nachrichten verändern (Bits kippen, Blöcke vertauschen/löschen/duplizieren)? 2. Auf wie viele Blöcke wirkt sich ein Übertragungsfehler (Bit-Flip) aus? 3. Lassen sich Ver- und/oder Entschlüsselung parallelisieren? 4. Muss ein Initialisierungsvektor übertragen werden? Wenn ja, wieviel Information (gemessen in Klartextblöcken) muss zusätzlich zum eigentlichen Chiffrat übertragen werden und was passiert, wenn man für mehrere Chiffrate denselben Initialisierungsvektor verwendet? Lösung: 1. Keiner der genannten Angriffe ist möglich. (Wenn man es ganz genau nimmt, kann ein Angreifer noch das Ende einer Nachricht abschneiden, wie bei allen anderen aus der Vorlesung bekannten Modi auch. Dies hier explizit zu erwähnen, wurde aber nicht erwartet.) 2. Außer dem fehlerhaften Block selbst sind auch alle nachfolgenden Blöcke betroffen. 3. Ver- und Entschlüsselung lassen sich nicht parallelisieren. 4. Ja, es wird ein Initialisierungsvektor benötigt. Man benötigt zwei Blöcke, kann aber für beide denselben Wert nehmen; es muss also nur ein Block zusätzlich übertragen werden. Wenn man denselben Initialisierungsvektor mehrfach verwendet, passiert dasselbe wie beim CBC: gleiche Nachrichtenanfänge werden erkennbar. (Eine andere gültige Antwort auf die letzte Teilfrage wäre auch, dass das Verfahren mit konstantem Initialisierungsvektor deterministisch ist und damit nicht mehr IND-CPA-sicher).

7 Seite 6 c) Wir wollen unseren neuen Betriebsmodus nun nicht zum Verschlüsseln, sondern als MAC verwenden. Dazu wird die zu authentifizierende Nachricht einfach mit dem Authentication Key als Schlüssel und leerem Initialisierungsvektor verschlüsselt und der letzte Chiffratblock als MAC übertragen (die anderen Chiffratblöcke werden nicht benötigt und deswegen gar nicht erst ausgegeben). Für eine Nachricht m = m 1 m 2 m 3 sieht das folgendermaßen aus: m 1 m 2 m 3 Mac k (m) Wieso ist dieses Verfahren kein sicherer MAC für Nachrichten, die aus beliebig vielen Blöcken bestehen? Geben Sie einen Angreifer an, der die entsprechende Sicherheitsdefinition aus der Vorlesung verletzt. Lösung: Für Nachrichten m, die nur einen Block lang sind, gilt Mac k ( m) = ( m). Ein Angreifer mit Zugriff auf ein MAC-Orakel O kann folgendermaßen Mac k (m) für die Beispielnachricht m = m 1 m 2 m 3 berechnen, ohne m als solches an das Orakel zu senden (wir nennen die drei -Box-Ausgaben c 1, c 2 und c 3 ): 1. Sende m 1 an O und lerne c 1 = (m 1 ). 2. Sende c 1 m 2 an O und lerne c 2 = (c 1 m 2 ). 3. Sende m 1 c 2 m 3 an O und lerne c 3 = (m 1 c 2 m 3 ). 4. Berechne Mac k (m) = m 2 c 3.

8 Seite 7 d) Der folgende Verschlüsselungsmodus schützt die Vertraulichkeit nur sehr schlecht. Warum? m i m i+1 m i+2 c i c i+1 c i+2 Lösung: Die zweite OR-Verknüpfung (jeweils in der unteren Hälfte des Schaltbilds) kann ein Angreifer leicht zurückrechnen und erhält damit die Ausgänge der -Box. Wenn nun mehrere gleiche Klartextblöcke m j = m j+1 =... aufeinanderfolgen, sind die entsprechenden -Box-Ausgänge ab dem zweiten Block (also ab m j+1 ) Verschlüsselungen der Null. In diesem Modus verschlüsselte Bilder, bei denen immer wieder viele gleichfarbige Pixel aufeinanderfolgen (z. B. bei Schwarzweiß-Bildern i. d. R. der Fall), sind damit ähnlich gut zu erkennen wie beim ECB-Modus.

9 Seite 8 Aufgabe 4 (4+4 = 8 Punkte) a) Es sei eine injektive Einwegfunktion h : {0, 1} n {0, 1} n gegeben. Zeigen Sie: Die Abbildung g : {0, 1} n {0, 1} n, x h(h(x)) ist ebenfalls eine injektive Einwegfunktion. Lösung: Zunächst sind h und g offensichtlich bijektiv. Wir nehmen nun an, dass g keine Einwegfunktion ist; d. h. zu einem zufälligen Bild y {0, 1} n können wir mit signifikanter Wahrscheinlichkeit das Urbild x = g 1 (y) effizient berechnen. Damit können wir zu y aber auch ein Urbild x unter h effizient berechnen, nämlich x = h(x). Dies ist ein Widerspruch zur Voraussetzung, dass h eine Einwegfunktion ist; also muss g ebenfalls eine Einwegfunktion sein. b) Es sei eine Funktion h : {0, 1} {0, 1} n ohne Einweg-Eigenschaft gegeben, bei der man zu jedem Bild y {0, 1} n ein passendes Urbild x h 1 (y) effizient berechnen kann; der entsprechende Algorithmus heiße A. Zeigen Sie: Die Funktion h ist nicht kollisionsresistent. Geben Sie dazu einen (effizienten!) Algorithmus B an, der wenigstens mit Wahrscheinlichkeit 1 eine Kollision für h ausgibt. Dabei 4 darf A natürlich als Unterprogramm genutzt werden. (Zur Lösung der Aufgabe genügt es, den Algorithmus B anzugeben. Weitergehende Erläuterungen sind nicht erforderlich.) Lösung: 1. Ziehe gleichverteilt zufällig ein x {0, 1} n+1 und berechne y = h(x). 2. Gib y an A; es bezeichne x die entsprechende Ausgabe von A. 3. Gib (x, x ) aus. Erklärung (war nicht gefordert): Wenigstens für die Hälfte aller Elemente in {0, 1} n+1 muss eine Kollision existieren (einfaches Abzählargument). Wenn für das gewählte x eine Kollision existiert, gilt Pr[x = x ] 1, denn die Ausgabe 2 von A ist unabhängig davon, welches Urbild von y in Schritt 1 gezogen wurde. Insgesamt folgt, dass Pr[x x ] 1 und nach Konstruktion haben wir sowieso 4 immer h(x) = h(x ).

10 Seite 9 Aufgabe 5 (3+3+3 = 9 Punkte) Wir betrachten das folgende System im Bell-LaPadula-Modell: Subjektmenge S = {Alice, Bob, Carol} Objektmenge O = {D 1, D 2, D 3, D 4 } Menge der Zugriffsoperationen A = {read, write, append} Menge der Sicherheitsstufen L = {intim, privat, dienstlich, öffentlich} mit der folgenden partiellen Ordnung: intim privat öffentlich intim dienstlich öffentlich Wir betrachten den folgenden Systemzustand (B, M, F ): Die Menge der aktuellen Zugriffe B ist gegeben durch: D 1 D 2 D 3 D 4 Alice r,w r r r B = Bob r,w Carol Die Zugriffskontrollmatrix M ist gegeben durch: D 1 D 2 D 3 D 4 Alice r,w r,w r,w r M = Bob r r,w,a r,w,a Carol r,w,a r,w,a r,a r,a Die Zuordnung der Sicherheitsstufen F = (f S, f C, f O ) ist gegeben durch: f S f C Alice intim öffentlich Bob dienstlich öffentlich Carol intim privat D 1 D 2 D 3 D 4 f O intim privat dienstlich öffentlich a) Geben Sie für jedes Subjekt eine Zugriffsanforderung an, die ausschließlich (andere Antworten geben noch die halbe Punktzahl) die ss-eigenschaft verletzt. Notieren Sie ebenfalls, falls dies für ein Subjekt nicht möglich ist. Lösung: Alice: nicht möglich Bob: nicht möglich Carol: nicht möglich b) Geben Sie für jedes Subjekt eine Zugriffsanforderung an, die ausschließlich (andere Antworten geben noch die halbe Punktzahl) die -Eigenschaft verletzt. Lösung: Alice: write D 2 /D 3 Bob: read D 2, write/append D 4 Carol: append D 3 /D 4 c) Geben Sie für jedes Subjekt eine Zugriffsanforderung an, die ausschließlich (andere Antworten geben noch die halbe Punktzahl) die ds-eigenschaft verletzt. Lösung: Alice: append D 1 Bob: append D 1 Carol: nicht möglich

11 Seite 10 Aufgabe 6 (10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt; für jede e Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete Fragen (kein Kreuz) werden keine Punkte abgezogen. CRT-RSA ist besonders anfällig gegen Fault-Induction-Angriffe. Bei einer Blockchiffre im CBC-Modus kann die Entschlüsselung parallelisiert werden, die Verschlüsselung aber nicht. Ein EUF-CMA-sicheres Signaturverfahren ist nicht notwendigerweise sicher gegen Key-Substitution-Angriffe. Es bezeichne n einen RSA-Modulus mit unbekannter Primfaktorzerlegung. Wenn die RSA-Annahme gilt, ist keines der folgenden Probleme effizient lösbar: a) Berechnung von ϕ(n) b) Wurzelziehen für zufällige Quadrate z Z n c) Faktorisierung von n Eine Funktion f : {0, 1} {0, 1} n, welche alle Eingaben auf denselben Wert abbildet, ist eine informationstheoretisch sichere Einwegfunktion, weil die Funktionsausgabe keinerlei Information darüber enthält, was die Funktionseingabe war. RSA-ES-OAEP ist im Random-Oracle-Modell IND-CCA-sicher. Wenn man k N hinreichend groß wählt, ist die folgende Funktion vernachlässigbar (hierbei bezeichne exp die Exponentialfunktion): µ : N R 0, x 1 x exp(k) Wenn µ eine vernachlässigbare Funktion ist, dann auch die Abbildung x e µ(x) 1 (hierbei bezeichne e die Eulersche Zahl). Das SRP-Verfahren besitzt unter der DDH-Annahme beweisbar die Forward-Security-Eigenschaft. Die Sicherheitslevels bei den Common Criteria sind linear geordnet in dem Sinne, dass z. B. ein nach EAL-5 zertifiziertes Produkt damit insbesondere auch nach EAL-1 bis EAL-4 zertifiziert ist.