Kryptologie. K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier

Transkript

1 Kryptologie K l a u s u r WS 2006/2007, Prof. Dr. Harald Baier Name, Vorname: Matrikelnummer: Hinweise: (a) Als Hilfsmittel ist nur der Taschenrechner TI-30 zugelassen. Weitere Hilfsmittel sind nicht erlaubt. Jeder Täuschungsversuch beendet sofort die Klausurteilnahme. Die Klausur wird dann als nicht bestanden gewertet. (b) Jede Klausur ist zusammengeheftet. Nehmen Sie die Klausur nicht auseinander. (c) Beantworten Sie die Fragen nur auf dem Klausurpapier. Sollten Sie weiteres Papier benötigen, melden Sie sich bitte. Schreiben Sie auf zusätzlich ausgeteiltes Papier sofort Ihren Namen und Matrikelnummer. (d) Die Klausur besteht aus 5 Aufgaben. Sollte in Ihrer Aufgabenstellung eine Aufgabe fehlen, melden Sie sich bitte sofort. (e) Die Bearbeitungszeit beträgt 90 Minuten. (f) Für jede Aufgabe sind maximal 10 Punkte erreichbar. Hinreichend zum Bestehen der Klausur sind 25 Punkte. (g) Es sind alle Aufgaben zu bearbeiten. Bis auf die Multiple-Choice-Aufgaben sind alle Ihre Antworten zu begründen. Viel Erfolg!!

2 Aufgabe 1 (Multiple-Choice-Aufgaben, 10 Punkte) In dieser Aufgabe werden Ihnen Aussagen vorgegeben. Sie sollen Ihre Antworten nicht begründen. Gehen Sie bei der Beantwortung bitte wie folgt vor: Halten Sie die Aussage für richtig, dann unterstreichen Sie den Buchstaben w für wahr links neben der Aussage. Halten Sie die Aussage für falsch, dann unterstreichen Sie den Buchstaben f für falsch links neben der Aussage. Für jede richtig gegebene Antwort erhalten Sie einen Punkt, für jede falsch gegebene Antwort wird ein Punkt abgezogen. Nicht gegebene Antworten werden mit 0 Punkten bewertet. Ist die Summe aller Punkte dieser Aufgabe negativ, so wird die Aufgabe mit 0 Punkten bewertet. w / f: DES ist eine symmetrische Blockchiffre mit Blocklänge 64 Bit. w / f: Typische Bitlängen von Hashwerten kryptographisch geeigneter Hashfunktionen sind 1024 bis w / f: Beim Diffie-Hellman-Schlüsselaustauschverfahren rechnet man modulo einer Zahl n, die Produkt zweier verschiedener Primzahlen p und q ist. w / f: Ein aus heutiger Sicht sicherer Message Authentication Code auf Basis von CBC- Verschlüsselung hat typischerweise die Bitlänge 128 bis 256. w / f: Beim Known-Plaintext-Angriff kennt der Angreifer nur Chiffretexte und will dann einen Klartext kennenlernen, also berechnen. w / f: Ziel der Konfusion bei symmetrischen Chiffren ist es, ein Bit des Klartextes auf möglichst viele Bits des Chiffretextes zu verteilen. w / f: Die Expansionsfunktion E von DES bildet Bitstrings der Länge 32 auf Bitstrings der Länge 48 ab. w / f: Verwendet man den öffentlichen RSA-Exponenten e = , dann ist Verschlüsseln wesentlich schneller als Entschlüsseln. w / f: Ist X eine Zufallsvariable, die 20 verschiedene Werte annehmen kann, dann ist die maximale Entropie bei Beobachtung der Zufallsvariable H MAX (X) = w / f: AES ist ein Kryptoverfahren, das unconditionally secure ist.

3 Aufgabe 2 (Grundlagen, 10 Punkte) (a) Verschlüsseln Sie m = 4 mit Hilfe der klassischen Caesar-Chiffre. 1 P. (b) Nennen Sie die vier klassischen Sicherheitsziele der Kryptologie. Erläutern Sie, welche 4 P. Sie davon mit einem MAC erreichen bzw. nicht erreichen. Geben Sie auch die zwei gängigen Realisierungen für MACs an und erläutern Sie diese kurz. (c) Erläutern Sie die Modi ECB und CBC. Welchen der beiden Modi würden Sie bevorzu- 2.5 P. gen? (d) Geben Sie P und C für die Enigma an. Beschreiben Sie auch, worin ein Tagesschlüssel 2.5 P. der Enigma besteht.

4 Aufgabe 3 (Hashfunktionen) In dieser Aufgabe betrachten wir die folgende Hashfunktion h : {0, 1} {0, 1} 5 : Es sei m {0, 1} ein Bitstring der Länge n. Wir schreiben m = m n 1 m n 2 m 1 m 0 mit m i {0, 1} für alle 0 i n 1. Dann gilt h(m) n+r 5 1 k=0 4 m 5k+i 2 i i=0 (m 0 + 2m 1 + 4m 2 + 8m m 4 + m 5 + 2m 6 + 4m 7 + ) mod 32. Hierin ist r N 0 die kleinste Zahl mit der Eigenschaft, dass n+r durch 5 teilbar ist. Weiterhin gilt m k = 0 für k n. Die Zahl 0 h(m) 31 wird in der Form h 4 h 3 h 2 h 1 h 0 geschrieben, wobei h(m) = h 0 + 2h 1 + 4h 2 + 8h h 4 gilt. Der Bitstring h 4 h 3 h 2 h 1 h 0 ist der Hashwert zu m. (a) Berechnen Sie die Hashwerte der Dokumente 3 P. (i) m = 1100 (ii) m = (iii) m = (b) Geben Sie zwei verschiedene Urbilder zum Hashwert an. 2 P. (c) Geben Sie eine Kollision zum Dokument an. 2 P. (d) Ist h kryptographisch geeignet? 1 P. (e) Entscheiden Sie, ob die folgenden Strings als Hashwerte von MD5 (1. Zeile) bzw. von 2 P. SHA-1 (2. Zeile) in Frage kommen: MD5: SHA-1: ca8355a84e6f102ac8c3f8a743b58be de890048b72413b946cgdeb7c0d99ee1f2d1ac42

5 Aufgabe 4 (Symmetrische Chiffren, 10 Punkte) (a) Erläutern Sie den Aufbau der Rundenfunktion von DES, indem Sie alle Teilfunktionen 4 P. der Rundenfunktion kurz beschreiben. (b) Geben Sie an, wie allgemein eine Feistel-Chiffre funktioniert. 2 P. (c) Früher wurde oft aus Exportgründen DES mit einer Schlüssellänge von 40 Bit eingesetzt, 2.5 P. indem bestimmte Bereiche des DES-Schlüssels nicht variabel waren. Nehmen Sie an, Sie könnten einen solchen Chiffretext per Brute-Force-Angriff in einem Tag brechen. Wie lange würde ein Brute-Force-Angriff unter gleichen Rahmenbedingungen dauern, wenn Sie den 40-Bit-Schlüssel durch einen normalen DES-Schlüssel ersetzen? (d) Geben Sie an, was man unter einem schwachen DES-Schlüssel versteht und nennen Sie 1.5 P. zwei konkrete schwache DES-Schlüssel-Beispiele.

6 Aufgabe 5 (Diffie-Hellman-Schlüsselaustausch) (a) Beschreiben Sie, was die Parameter p, g, A und B beim Schlüsselaustausch nach Diffie 2.5 P. und Hellman bedeuten. Erläutern Sie auch, worin das gemeinsame Geheimnis besteht. (b) Nun sei p die größte Primzahl mit der Eigenschaft p 70. Bestimmen Sie p und zeigen 4 P. Sie mit Hilfe der schnellen Exponentiation, dass g = 2 ein Erzeuger modulo p ist. (c) Alice wählt als geheimen Schlüssel a = 9, Bob b = 37. Geben Sie A und B sowie das 3.5 P. gemeinsame Geheimnis an. Hinweis: Sie können Ergebnisse von Teilaufgabe (b) verwenden.