Loading [MathJax]/jax/output/HTML-CSS/config.js

Sicherheit-Klausur

Dieser Artikel beschäftigt sich mit der Vorlesung „Sicherheit“ am KIT. Er dient als Prüfungsvorbereitung. Ich habe die Vorlesungen bei Herrn Jun.-Prof. Hofheinz im Sommersemester 2013 gehört.

An diesem Artikel wird natürlich noch gearbeitet.

Behandelter Stoff

25.04.2013 Caesar, Vigenere, One-Time-Pad
VL 01
22.04.2013 Symmetrische Verschlüsselungen; Stromchiffren; Blockchiffren (DES, AES); Betriebsmodi:
Modus Verschlüsselung
Entschlüsselung		 Parallelisierbarkeit
verschl. entschl.
ECB $c_i = ENC(K, m_i)$
$m_i = DEC(K, m_i)$		 Ja Ja
CBC $c_i = ENC(K, m_i \oplus c_{i-1})$
$m_i = DEC(K, c_i) \oplus c_{i-1}$		 Nein Ja
CFB $c_i = m_i \oplus ENC(K, c_{i-1})$
$m_i = c_i \oplus ENC(K, c_{i-1})$		 Nein Ja
OFB $c_i = m_i \oplus ENC(K, IV)^i$
$m_i = c_i \oplus ENC(K, IV)^i$		 Nein Nein
DES-Feistelstruktur
VL 02
25.04.2013 Lineare Kryptoanalyse, Differentielle Kryptoanalyse, Semantische Sicherheit, IND-CPA, Feistel-Schema
VL 03
29.04.2013 Hashfunktionen, Kollisionsresistenz $\Rightarrow$ Einwegeigenschaft, Merkle-Damgard-Konstruktion und Length-Extension-Problematik, Birthday Attack, Meet-in-the-Middle-Angriff
VL 04
06.05.2013 Public-Key-Verschlüsselung (Idee, RSA); Meet-in-the-Middle-Angriff für Hashfunktionen
VL 05
13.05.2013 Rest Public-Key-Verschlüsselung (ElGamal, Vergleich RSA/ElGamal), Symmetrische Authentifikation von Nachrichten (Sicherheitsmodell, Hash-then-Sign, PRFs, HMAC), MAC
VL 06
27.05.2013 Asymmetrische Authentifikation von Nachrichten (RSA-PSS, ElGamal, DSA)
VL 07
03.06.2013 Schlüsselaustausch (Kerberos, TLS, Angriffe)
VL 08
10.06.2013 Schlüsselaustausch (TLS-Angriffe, weitere Verfahren), Identifikationsprotokolle
VL 09
13.06.2013 Identifikationsprotokolle (Sicherheitsanalyse), Zero-Knowledge-Protokolle, Commitment → Hiding
VL 10
17.06.2013 Zero-Knowledge-Protokolle, Nutzerauthentifikation
VL 11
24.06.2013 Nutzerauthentifikation (Wörterbuchangriffe, interaktive Authentifikation, positionsbasierte Kryptographie); Rainbowtables; LM-Hashes
VL 12
27.06.2013 Nutzerauthentifikation (positionsbasierte Kryptographie), Zugriffskontrolle (Bell-LaPadula)
VL 13
01.07.2013 Zugriffskontrolle (Bell-LaPadula, Chinese Wall), Analyse größerer Systeme
VL 14
08.07.2013 Analyse größerer Systeme, häufige Sicherheitsprobleme
VL 15
11.07.2013 Häufige Sicherheitsprobleme
VL 16

Falls hier was fehlt, könnt ihr mich gerne in den Kommentaren oder per Mail (info@martin-thoma.de) darauf aufmerksam machen. Ich bin ja mal gespannt, ob ich das bis zum Ende aktuell halte.

Definitionen und Sätze

Eine über $k$ parametrisierte Funktion $H$ ist kollisionsresistent, wenn jeder PPT-Algorithmus nur mit höchstens vernachlässigbarer Wahrscheinlichkeit eine Kollision findet. Für jeden PPT-Algorithmus $\mathcal{A}$ ist $Adv^{cr}_{H,\mathcal{A}}(k) := Pr[(X,X') \leftarrow \mathcal{A}(1^k): X \neq X' \land H_k(X) = H_k(X')]$ vernachlässigbar.
Eine über $k$ parametrisierte Funktion $H$ ist eine Einwegfunktion bzgl. der Urbildverteilung $\mathcal{X}_k$, wenn jeder PPT-Algorithmus nur mit höchstens vernachlässigbarer Wahrscheinlichkeit ein Urbild eines gegebenen, aus $\mathcal{X}_k$ gezogenen Bildes findet. Für jeden PPT-Algorithmus $\mathcal{A}$ ist $Adv^{cr}_{H,\mathcal{A}}(k) := Pr[X' \leftarrow \mathcal{A}(1^k, H(X)): H(X) = H(X')]$ vernachlässigbar, wobei $X \leftarrow \mathcal{X}_k$ gewählt wurde.
Jede kollisionsresistente Hashfunktion $H:\{0,1\}^* \rightarrow \{0,1\}^k$ ist eine Einwegfunktion bzgl. der Gleichverteilung auf $\{0,1\}^{2k}$.
Ist $f$ eine kollisionsresistente Hashfunktion, so ist die Merkle–Damgård-Konstruktion mit $f$ kollisionsresistent.
Hash-Then-Sign-Paradigma: Sei (Sig, Ver) EUF-CMA-sicher und H eine kollisionsresistente Hashfunktion. Dann ist der durch Sig'(K, M) = Sig(K, H(M)), Ver'(K, M, $\sigma$) = Ver(K, H(M), $\sigma$) erklärte MAC EUF-CMA-sicher.

Fragen

Wann ist ein Verschlüsselungsschema IND-CPA-sicher?
IND-CPA bedeutet „indistinguishability under chosen-plaintext attacks“. Ein Verschlüsselungsschema ist genau dann IND-CPA-Sicher, wenn kein effizienter Angreifer $\mathcal{A}$ Chiffrate von selbstgewählten Klartexten unterscheiden kann.
Wann ist eine Signatur EUF-CMA-sicher?
EUF-CMA bedeutet „existentially unforgeable under chosen-message attacks“. Eine Signatur ist genau dann EUF-CMA-Sicher, wenn alle PPT-Angreifer $\mathcal{A}$ folgendes Spiel nur vernachlässigbar oft gewinnen:
  • $\mathcal{A}$ hat Zugriff auf ein $Sig(K, \cdot)$-Orakel
  • $\mathcal{A}$ gibt als Ausgabe $(M^*, \sigma^*)$
  • $\mathcal{A}$ gewinnt, wenn $Ver(K, M^*, \sigma^*) = 1$ und $M^*$ „frisch“ ist
Was sind Replay-Angriffe?
Bei Replay-Angriffen fängt der Angreifer einen Teil der Kommunikation von Alice und Bob ab. Später schickt er diesen Teil ohne weitere Bearbeitung an einen der Beiden.
Was versteht man unter der Merkle–Damgård-Konstruktion?
Die Merkle–Damgård-Konstruktion ist eine Methode zur Konstruktion von kryptographischen Hash-Funktionen. Sie funktioniert so:
Merkle-Damgard-Konstruktion
Merkle-Damgard-Konstruktion
Quelle: Wikipedia
Wie funktioniert RSA?
  1. Generiere zwei Primzahlen $p, q \in \mathbb{P}$
  2. Berechne $n := p \cdot q$ und $\varphi(n) = (p-1) \cdot (q-1)$
  3. Wähle $e$, sodass gilt: $ggT(e, \varphi(n)) = 1$ und $1 < e < \varphi(n)$
  4. Berechne $d$, sodass gilt: $e \cdot d \equiv 1 \mod \varphi(n)$
Verschlüsselung einer Nachricht $m$: $c = m^{e} \mod n$ Verschlüsselung eines Ciphertextes $c$: $m = c^{d} \mod n$
Welches Problem birgt ein kleines $e$ beim RSA-Verfahren?
Folgender Angriff ist für $e=3$ möglich:
  • Nachricht $m$ wird an 3 Benutzer geschickt
  • Angreifer kennt Chiffrate für $N_1, N_2, N_3$.
  • Chinesischer Restsatz für $m^3 \mod N_1 N_2 N_3$.
  • Wurzelziehen über $\mathbb{Z}$ liefert $m$
Was ist damit gemeint, wenn man sagt „RSA ist Homomorph“?
Homomorphie ist folgende (unerwünschte) Eigenschaft: \begin{align} Enc(pk, m_1) \cdot Enc(pk, m_2) &= m_1^e \cdot m_2^e\\ &= (m_1 \cdot m_2)^e \\ &= Enc(pk, m_1 \cdot m_2) \end{align} Diese Eigenschaft ist z.B. in folgendem Szenario problematisch: Angenommen bei einer Auktion werden die gebotenen Geldbeträge verschlüsselt. Dann kann ein Angreifer das Chiffrat (gültig) verändern. So kann er den Geldbetrag ohne Probleme verdoppeln.
Was sind HMACs?
Spezielle symmetrische Signaturen, die wie folgt aufgebaut sind: $Sig(K, M) = H(K \oplus opad, H(K \oplus ipad, M))$
Wie funktioniert ElGamal?
  1. Wähle eine zyklische Gruppe $\mathbb{G} = \langle g \rangle$.
  2. $pk = (\mathbb{G}, g, g^x)$, $sk=(\mathbb{G}, g, x)$, wobei $x$ zufällig gewählt wird.
Verschlüsselung einer Nachricht $m$: $Enc(pk, m) = (g^y, g^{xy} \cdot m)$ mit zufälligem $y$ → Verschlüsselung ist zufällig! Verschlüsselung eines Ciphertextes $c$: $Dec(sk, (Y, Z)) = \frac{Z}{Y^x} = \frac{g^{xy} \cdot m}{(g^{y})^x} = m$
Wie funktioniert das Kerberos-Schlüsselaustauschprotokoll?
  • Alice schreibt dem KC, dass Alice und Bob gerne einen Schlüsselaustausch vornehmen wollen.
  • Das KC schickt Alice ihren Schlüssel $K_A$, den sie für die Kommunikation mit Bob verwenden kann. Zusätzlich wird ein Zeitstempel $T_{KC}$, eine Gültigkeitsdauer $L$ sowie ein frischer Schlüssel $K$ übertragen.
  • TODO!!!!
Ein gutes YouTube-Video gibts auch.
Warum kann es schlecht für die Sicherheit sein, wenn man komprimiert?
Annahme: Ein Angreifer kann zu dem Geheimtext, der komprimiert wird, etwas vor der Kompression hinzufügen. Wenn der Ciphertext deutlich weniger wächst als er an Text hinzugefügt hat, kann er vermuten, dass er den Text erraten hat. (→ CRIME-Angriff)
Was ist damit gemeint, dass das One-Time-Pad-Chiffre verwundbar ist?
Ein Angreifer kann die Klartextnachricht ändern. Wenn er weiß (oder zumindest ahnt) was der Klartext ist, kann er dafür sorgen, dass ein Klartext gleicher Länge seiner Wahl bei der Entschlüsselung herauskommt.
Nennen Sie Verfahren, die IND-CPA-sicher sind.
Eine Blockciffre im CBC-Modus
Nennen Sie Verfahren, die EUF-CMA-sicher sind.
Sei PRF: $\{0,1\}^k \times \{0,1\}^k \rightarrow \{0,1\}^k$ eine PRF und $H:\{0,1\}^* \rightarrow \{0,1\}^k$ eine kollisionsresistente Hashfunktion. Dann ist der durch $Sig(K, M) = PRF(K, H(M))$ gegebene MAC EUF-CMA-sicher.

Diverses

TLS Handshake

TLS Handshake
TLS Handshake

Change Cipher Spec Drop

Ein Angriff auf verschlüsselte Verbindungen:

Change cipher spec drop
Change cipher spec drop

Material

In der Fachschaft gibt es folgende Altklausuren:

  1. Hauptklausur SS 2012
  2. Nachklausur SS 2011
  3. Hauptklausur SS 2011
  4. Nachklausur SS 2010
  5. Hauptklausur SS 2010

Aufbau der Klausur

Bisher gab es meist 6 Aufgaben mit jeweils 10 Punkten:

  1. Blockchiffren und Betriebsmodi
  2. ElGamal / Diffie-Hellman-Schlüsselaustausch
  3. RSA; RSA-OAEP
  4. Kerberos / Feistel / (H)MAC
  5. Bell-LaPadula / Chinese Wall
  6. Multiple Choice

Übungsbetrieb

Es gibt Übungsblätter auf der Vorlesungswebsite, aber keinen Übungsschein, keine Abgaben und keine Bonuspunkte.

Termine und Klausurablauf

Datum: Freitag, den 26. Juli 2013 von 14:00 bis 15:00 Uhr (Klausur dauerte eine Stunde)
Ort: seit 24.07.2013 auf der Vorlesungswebsite (ich bin im H.S.a.F)
Punkte: 60
Bestehensgrenze: 20
Übungsschein: Nein
Bonuspunkte: Nein

Nicht vergessen

  • Studentenausweis
  • Kugelschreiber

Ergebnisse

Sind noch nicht draußen (Stand: 30.07.2013)

Sind nun draußen (Stand: 09.08.2013): Vorläufige Ergebnisse als PDF

Ergebnis der Sicherheitsklausur
Ergebnis der Sicherheitsklausur

Published


by

Category

German posts

Tags

Contact