In Sammlung (en) In der gespeicherten
  1. Mathematik
  2. Statistik Und Wahrscheinlichkeitsrechnung

Nachklausur mit Lösungsvorschlag

Werbung 
Institut für Theoretische Informatik
Prof. Dr. J. Müller-Quade
Stammvorlesung Sicherheit im Sommersemester 2015
Nachklausur
Lösungsvorschlag
29.09.2015
Vorname:
Nachname:
Matrikelnummer:
Hinweise
-
Für die Bearbeitung stehen Ihnen 60 Minuten zur Verfügung.
Zum Bestehen der Klausur sind 20 der 60 möglichen Punkte
hinreichend.
-
Es sind keine Hilfsmittel zugelassen.
Schreiben Sie Ihre Lösungen auf die Aufgabenblätter sowie
auf deren Rückseiten.
-
Zusätzliches Papier erhalten Sie bei Bedarf von der Aufsicht.
Aufgabe
mögliche Punkte
erreichte Punkte
a
b
c
Σ
1
4
3
-
7
2
2
2
4
8
3
2
2
-
4
4
4
3
6
13
5
7
3
-
10
-
6
6
2
-
8
-
7
Σ
10x1
10
60
a
b
c
-
Σ
Aufgabe 1.
(4+3 Punkte) Betrachten Sie das Die-Hellman-Schlüsselaustauschverfahren aus der Vor-
G ⊆ Z∗19
lesung. Es sei eine zyklische (Unter-)Gruppe
Im Folgenden führen zwei Parteien
A
und
B
mit
G-Erzeuger g = 16
der Ordnung
9
gegeben.
untereinander einen Die-Hellman-Schlüsselaustausch mit
den gegebenen Parametern (G, g) aus.
(a)
(i)
A
sendet zunächst
XA = 9
B . Daraufhin wählt B den zufälligen, geheimen Wert y = 5 und
XB an A. Berechnen Sie diesen Wert XB , den B an A sendet.
Element der Untergruppe G.
an
sendet den öentlichen Wert
Hinweis: 16 = 42 , 4 ist ein
A
(ii) Berechnen Sie den geheimen Schlüssel, den
Hinweis: 9 = 44
in
G, 4
und
B
ausgetauscht haben.
ist ein Element der Untergruppe
G.
(b) Geben Sie an, wie der Man-in-the-Middle-Angri auf das Die-Hellman-Schlüsselaustauschverfahren
aus der Vorlesung funktioniert, wobei
A
und
B
den ausgetauschten Schlüssel für ein Secret-Key-
Verschlüsselungsverfahren verwenden wollen. Erklären Sie dabei auch, wie der Angreifer nach dem
A
Schüsselaustausch alle von
das
A
B
oder
an
B
(und umgekehrt) gesendeten Chirate entschlüsseln kann, ohne
dies bemerken.
Lösungsvorschlag zu Aufgabe 1.
(a)
(i)
XB = 165
mod 19
2 5
= (4 )
mod 19
10 mod 9
mod 19
1
=4
mod 19
=4
mod 19
=4
(ii)
5
XA
= 95
mod 19
4 5
= (4 )
mod 19
20 mod 9
mod 19
2
=4
mod 19
= 16
mod 19
=4
Alternativ könnte man dem Hinweis auch ansehen, dass das Geheimnis von
dann
2
= 42 = 16 mod 19
XB
A
gleich
2
ist und
schreiben.
(b) Um den Man-in-the-Middle-Angri durchzuführen geht ein Angreifer folgendermaÿen vor:
ˆ
Sendet
A
seinen öentlichen Wert
wählt nun selbst ein
a0
und sendet
g a an B , so fängt der Angreifer diesen ab. Der Angreifer
0
g a an B . D.h. der Angreifer gibt sich gegenüber B als A
aus.
ˆ
Umgekehrt führt der Angreifer das selbe mit dem öentlichen Wert
g
b
ˆ A
ab und schickt stattdessen ein
g
b0
mit selbst gewähltem
denkt nun, der geheime Schlüssel ist
0
g ab
, während
B
b
0
an
gb
von
B
aus, d.h. er fängt
A.
0
ga b
denkt, dass
der geheime Schlüssel
ist.
ˆ
Der Angreifer kennt
ˆ
Der Angreifer fängt weiterhin alle Nachrichten von
ˆ
Der Angreifer kann nun Chirate, die
schlüsseln und mit
b
ˆ
an
A
a0 , b0 , g a
0
ga b
und
gb .
Damit kann er sich sowohl
A
an
B
A
an
B
0
g ab
als auch
0
ga b
berechnen.
und umgekehrt ab.
schicken will abfangen, mithilfe von
0
g ab
ent-
erneut für Bob verschlüsseln (Analog kann er dies für Nachrichten von
tun).
Damit lernt der Angreifer alle ausgetauschten Nachrichten. Da das Protokoll aus Sicht von
als auch
B
korrekt abläuft, merkt keiner von beiden, dass dieser Angri stattndet.
1
A
Aufgabe 2.
(2+2+4 Punkte)
(a) Wir betrachten das folgende auf RSA basierende Verschlüsselungsverfahren. Die Schlüsselerzeugung
pk = (N, e) und der geheime Schlüssel
sk = (N, d) für geeignete N, e, d. Um eine Nachricht M zu verschlüsseln wird zuerst ein Padding
pad auf M berechnet. Das folgende Diagramm gibt an, wie das Padding berechnet wird:
ist identisch zu RSA, d.h. der öentliche Schlüssel entspricht
ist
M
R ← {0, 1}|M |
X
Y
⊕ das bitweise XOR. Nachdem pad(M ) = (X, Y ) berechnet wurde, wird als Chirat
C = (X e mod N, Y e mod N ) ausgegeben. Um ein Chirat C = (C1 , C2 ) zu entschlüsseln, wird
C2d mod N berechnet und ausgegeben.
Dabei bezeichne
C = (C1 , C2 )
C ∗ = (C1 · C10 , C2 · C20 )
Ist das obige Verschlüsselungsverfahren multiplikativ homomorph? Genauer: Sei
Chirat von
Chirat von
M1 und C 0 = (C10 , C20 )
M1 · M2 ? Begründen Sie
ein Chirat von
M2 .
Ist dann
ein
ein
ihre Antwort, in dem Sie die Homomorphie beweisen oder ein
Gegenbeispiel angeben.
(b) Geben Sie die Padding-Funktion an, die beim Verschlüsselungsverfahren RSA-OAEP verwendet wird.
(c) Es seien
ϕ
P, Q
zwei verschiedene Primzahlen und
N = P · Q.
Gegeben seien
N
und
ϕ(N ),
wobei
die Eulersche Phi-Funktion bezeichnet. Geben Sie einen Algorithmus an, der als Eingabe nur
sowie
ϕ(N )
erhält und in Polynomialzeit die Faktorisierung von
N
N
berechnet. Begründen Sie kurz,
dass ihr Algorithmus polynomielle Laufzeit hat.
Lösungsvorschlag zu Aufgabe 2.
(a) Ja, dass Verfahren ist multiplikativ homomorph. Für
Y
gilt
Y = M ⊕ R ⊕ R = M.
Somit gilt:
C2∗ = C2 · C20 = (M1 ⊕ R1 ⊕ R1 )e · (M2 ⊕ R2 ⊕ R2 )e = M1e · M2e = (M1 · M2 )e .
Somit entschlüsselt der Entschlüsselungsalgorithmus dieses Chirat zu
M1 · M2 . (C1∗ = C1 · C10
für die Entschlüsselung nicht relevant und muss daher nicht betrachtet werden.)
(b) Es seien
G
und
H
Hashfunktionen. Das Padding funktioniert folgendermaÿen:
R
M
zufällig
G
H
X
Die Ausgabe ist
Y
X||Y .
2
ist
(c) Es gilt
ϕ(N ) = (P − 1)(Q − 1) = N − (P + Q) + 1
und damit
−(P + Q) = ϕ(N ) − N − 1.
Wir betrachten das folgende Polynom:
(X − P )(X − Q) = X 2 − Q · X − P · X + P · Q
= X 2 − (P + Q) · X + N
= X 2 + (ϕ(N ) − N − 1) · X + N.
P und Q die Nullstellen eines quadratischen Polynoms, dass sich unter Kenntnis von N
ϕ(N ) ausdrücken lässt. Der gesuchte Algorithmus setzt also die konkreten Werte für N und
ϕ(N ) in das Polynom ein und bestimmt dessen Nullstellen. Da die Nullstellen von quadratischen
Somit sind
und
Polynomen in Polynomialzeit bestimmt werden können, ist seine Laufzeit ebenfalls polynomiell und
er berechnet
P
und
Q
mit Wahrscheinlichkeit 1.
3
Aufgabe 3.
(2 + 2 Punkte)
(a) Geben Sie die formale Denition der Hiding-Eigenschaft für Commitments
Com
aus der Vorlesung
an.
(b) Es sei
G
g . Betrachten
{1, . . . , |G|}):
eine zyklische Gruppe mit Erzeuger
Nachrichten
M
und Zufall
R
(jeweils aus
Sie das folgende Commitment
Com
für
Com(M ; R) = g M · g R .
Hat dieses Commitment die Binding-Eigenschaft? Begründen Sie ihre Antwort!
Lösungsvorschlag zu Aufgabe 3.
(a) Ein Commitment
Com
hat die Hiding-Eigenschaft, wenn für beliebige
M, M 0 ∈ {0, 1}∗
die Vertei-
lungen
Com(M ; R)
ununterscheidbar sind (wobei
R
und
Com(M 0 ; R)
unabhängig zufällig gezogen wird).
(b) Nein, dieses Commitment hat nicht die Binding-Eigenschaft. Es gilt für alle
M
und
R
Com(M ; R) = g M · g R = g M +R = g R · g M = Com(R; M ).
Ein geeigneter PPT-Angreifer
A wählt also beliebig M 6= R und gibt (M, R, R, M ) als seine Antwort
aus.
4
Aufgabe 4.
(4+3+6 Punkte)
PKE = (Gen, Enc, Dec) ein IND-CPA-sicheres asymmetrisches Verschlüsselungsverfahren.
M bezeichne Mi das i-te Bit von M . Die Funktion f ist deniert als:
(a) Es sei
Für
eine Nachricht
f (M ) := M1 ⊕ M2 ⊕ . . . ⊕ M|M | ,
⊕ das bitweise XOR bezeichne. Betrachten Sie das
PKE0 = (Gen0 , Enc0 , Dec0 ) mit den folgenden Algorithmen:
wobei
asymmetrische Verschlüsselungsverfahren
ˆ Gen0 (1k ) = Gen(1k ),
ˆ Enc0 (pk , M ) := (Enc(pk , M ), f (M )) =: (C1 , C2 ),
ˆ Dec0 (sk , C) := Dec0 (sk , (C1 , C2 )) = Dec(sk , C1 ).
PKE0 IND-CPA-sicher? Beweisen Sie Ihre Antwort, indem Sie entweder die IND-CPA-Sicherheit
0
von PKE beweisen oder einen IND-CPA-Angreifer angeben (zeigen Sie in diesem Fall auch, dass Ihr
Ist
Angreifer tatsächlich erfolgreich ist und polynomielle Laufzeit hat).
(b) Geben Sie das EUF-CMA-Sicherheitsspiel für digitale Signaturen aus der Vorlesung an. Wann ist
ein digitales Signaturverfahren EUF-CMA-sicher?
(c) Es sei
Σ = (Gen, Sig, Ver)
ein EUF-CMA-sicheres digitales Signaturverfahren und
F
eine öent-
lich bekannte, in Polynomialzeit berechenbare und injektive Funktion. Betrachten Sie das digitale
Signaturverfahren
Σ0 = (Gen0 , Sig0 , Ver0 ),
wobei die Algorithmen folgendermaÿen deniert sind:
ˆ Gen0 (1k ) := Gen(1k )
ˆ Sig0 (sk , M ) := Sig(sk , F (M )),
ˆ Ver0 (pk , M, σ) := Ver(pk , F (M ), σ).
(i) Zeigen Sie die Korrektheit von
Σ0 ,
d.h. zeigen Sie, dass
Ver0
Signaturen, die von
Sig0
erstellt
wurden, korrekt veriziert.
(ii) Beweisen Sie:
Σ0
ist EUF-CMA-sicher.
Zur Erinnerung hier noch einmal die Algorithmen von
Σ0 :
ˆ Gen0 (1k ) := Gen(1k )
ˆ Sig0 (sk , M ) := Sig(sk , F (M )),
ˆ Ver0 (pk , M, σ) := Ver(pk , F (M ), σ).
Lösungsvorschlag zu Aufgabe 4.
(a)
PKE0
ist nicht IND-CPA-sicher. Wir betrachten den folgenden Angreifer
ˆ A
erhält den öentlichen Schlüssel
ˆ A wählt
M1 = 1.
ˆ A
ˆ
A
ˆ A
C2∗ = f (Mb )
(wobei
b
vom IND-CPA-Challenger.
M0 , M1
zwei gleichlange Nachrichten
erhält das Challenge-Chirat
Es gilt
pk
A:
mit
f (M0 ) 6= f (M1 ),
beispielsweise
das vom Challenger zufällig gezogene Bit bezeichne), somit kann
= f (M0 )
Die Erfolgswahrscheinlichkeit von
und
C ∗ = (C1∗ , C2∗ ).
hiermit eindeutig bestimmen, welche Nachricht verschlüsselt wurde (da
∗
gibt also 0 aus, wenn C2
M0 = 0
f (M0 ) 6= f (M1 )).
und 1 sonst.
A ist gleich 1 und damit nicht vernachlässigbar.
Seine Laufzeit ist
polynomiell, da er im Prinzip nur einen Bit-Vergleich durchführen muss.
(b) Das EUF-CMA-Spiel für digitale Signaturverfahren läuft wie folgt ab:
ˆ
Der Challenger führt
ˆ
Der Angreifer
ˆ A
A
(pk , sk ) ← Gen(1k )
aus und gibt
pk
an den Angreifer
erhält während des gesamten Spiels Zugri auf ein
gibt irgendwann ein Tupel
∗
∗
(M , σ )
aus.
5
A.
Sig(sk , ·)-Signaturorakel.
ˆ A gewinnt, wenn Ver(pk , M ∗ , σ ∗ ) = 1
M ∗ vom Orakel angefragt.
gilt und
M∗
frisch ist, d.h.
A
hat nie eine Signatur für
Ein digitales Signaturverfahren ist EUF-CMA-sicher, wenn für alle PPT-Algorithmen
Pr[A
scheinlichkeit
(c)
A
die Wahr-
B
mit nicht-
gewinnt] vernachlässigbar ist.
(i) Aus der Korrektheit von
Σ
folgt, dass für für alle Schlüsselpaare
(pk , sk ) ← Gen0 (1k ) = Gen(1k ),
alle Nachrichten
M
und alle
σ = Sig0 (sk 0 , M ) = Sig(sk , F (M ))
gilt, dass
Ver0 (pk 0 , M, σ) = Ver(pk , F (M ), Sig0 (sk , M ))
= Ver(pk , F (M ), Sig(sk , F (M )))
= 1.
(ii) Angenommen,
Σ0
ist nicht EUF-CMA-sicher. Dann existiert ein PPT-Angreifer
vernachlässigbarer Erfolgswahrscheinlichkeit im EUF-CMA-Spiel gegen
A,
einen Angreifer
der die EUF-CMA-Sicherheit von
Σ
Σ0 .
Wir konstruieren
bricht:
ˆ Das Spiel zieht (pk , sk ) ← Gen(1 ).
ˆ A erhält vom Spiel pk und Zugri auf ein Sig(sk , ·)-Orakel.
ˆ A simuliert das EUF-CMA-Spiel mit Σ0 für B folgendermaÿen:
ˆ A gibt pk an B .
ˆ Beantwortung der Sig0 (sk , ·)-Orakelanfragen von B :
B schickt Mi an sein Orakel, dass A simulieren muss.
A schickt F (Mi ) an sein Sig(sk , ·)-Orakel und erhält eine Signatur σ .
A gibt σ an B weiter.
Damit simuliert A das Sig0 (sk , ·)-Orakel für B perfekt, da
k
σ = Sig(sk , F (M )) = Sig0 (sk , M ).
ˆ
Verwendung der Fälschung von
B:
A erhält (M ∗ , σ ∗ ) als Fälschung von B.
Hat B eine gültige Fälschung ausgegeben,
für alle
Da
F
i,
M
∗
F (M )
für
A's
so gilt
Ver0 (pk 0 , M ∗ , σ ∗ ) = 1
und
M ∗ 6= Mi
auch frisch.
injektiv ist, gilt für alle
ist auch
somit ist
∗
i,
dass
F (M ∗ ) 6= F (Mi ),
da ja bereits
M ∗ 6= Mi .
Somit
Spiel frisch.
Auÿerdem gilt, dass
1 = Ver0 (pk 0 , M ∗ , σ ∗ ) = Ver(pk , F (M ∗ ), σ ∗ ),
womit
(F (M ∗ ), σ ∗ )
eine gültige Fälschung für
Σ
ist.
A gibt nun also das Tupel (F (M ∗ ), σ ∗ ) als seine Fälschung aus.
A das EUF-CMA-Spiel mit Σ0 perfekt für B . Die Laufzeit von A entspricht
im wesentlichen der von B plus einem kleinen Overhead und ist somit auch polynomiell. Wir
müssen nun die Erfolgswahrscheinlichkeit von A analyiseren. Nach obiger Begründung gilt:
Insgesamt simuliert
Pr[A
gewinnt im EUF-CMA-Spiel mit
Σ] = Pr[B
was nach Annahme nicht vernachlässigbar ist.
Sicherheit von
Σ,
gewinnt im EUF-CMA-Spiel mit
Dies steht im Widerspruch zur EUF-CMA-
woraus die EUF-CMA-Sicherheit von
6
Σ0 ],
SKE0
folgt.
Aufgabe 5.
(7+3 Punkte)
(a) Eine über
A
k parametrisierte Hashfunktion H
ist target-kollisionsresistent, wenn für alle PPT-Angreifer
die Wahrscheinlichkeit
Pr X 6= X 0 ∧ Hk (X) = Hk (X 0 ) | X ← {0, 1}k ∧ X 0 ← A(1k , X)
vernachlässigbar (in
Hinweis:
k)
ist.
Anschaulich muss der Angreifer hier zu einer gleichverteilt zufällig gezogenen, vorgegebe-
nen Nachricht
(i) Es sei
H
X
eine Kollision
eine über
k
X0
berechnen.
parametrisierte, kollisionsresistente Hashfunktion. Ist
H
im Allgemeinen
auch target-kollisionsresistent? Begründen Sie ihre Antwort in dem Sie die Aussage beweisen
oder ein Gegenbeispiel angeben.
(ii) Geben Sie eine Hashfunktion
H∗
an, die target-kollisionsresistent, aber nicht kollisionsresistent
ist. Sie müssen nicht beweisen, dass ihre Hashfunktion
Hinweis:
H∗
die Anforderungen erfüllt.
Sie können von der Existenz einer target-kollisionsresistenten Hashfunktion
gehen und diese zur Konstruktion von
H
∗
H0
aus-
verwenden.
(b) Geben Sie die Merkle-Damgård-Konstruktion aus der Vorlesung an.
Lösungsvorschlag zu Aufgabe 5.
(a)
(i) Ja,
H
ist target-kollisionsresistent. Angenommen,
existiert ein PPT-Angreifer
B,
A
Wir konstruieren einen Angreifer
A
wählt einen zufälligen Wert
(X, X 0 )
ist nicht target-kollisionsresistent. Dann
auf die Kollisionsresistenz von
X ← {0, 1}k
H.
B . Dieser berechnet nun
H(X) = H(X 0 ). A gibt nun
und gibt diesen an
nicht vernachlässigbarer Wahrscheinlichkeit ein
Tupel
H
für den die obige Wahrscheinlichkeit nicht vernachlässigbar ist.
X 0 6= X
mit
mit
das
als Kollision aus.
A entspricht genau der
B mit einem kleinen
Die Erfolgswahrscheinlichkeit von
seine Laufzeit entspricht der von
Erfolgswahrscheinlichkeit von
Overhead.
Somit ist
A
B
und
ein PPT-
Algorithmus mit nicht-vernachlässigbarer Erfolgswahrscheinlichkeit, was im Widerspruch zur
Kollisionsresistenz von
H
steht. Somit muss
(ii) Die folgende Hashfunktion
H
∗
H
ist target-kollisionsresistent, aber nicht kollisionsresistent:
(
0k
H (M ) =
H 0 (M )
, wenn
∗
Anmerkung:
auch target-kollisionsresistent sein.
M ∈ {0k , 1k }
, sonst
.
Für die volle Punktzahl war keine Begründung nötig. Wir haben hier dennoch
zur Verdeutlichung eine (stark vereinfachte) Begründung angegeben:
H∗
(0, 1) eine gültige, leicht zu berechnende Kollision ist. H ∗ ist
aber target-kollisionsresistent: Ein erfolgreicher PPT-Angreifer A auf die Target-Kollisionsresistenz
∗
0
von H kann auch verwendet werden, um die Target-Kollisionsresistenz von H zu brechen, da
k
k
k
bei gleichverteiltem zufälligen Ziehen X ← {0, 1} die Fälle X = 0 und X = 1 jeweils nur
k
mit Wahrscheinlichkeit 1/2 auftreten, was vernachlässigbar ist. Da A ein erfolgreicher An∗
greifer auf die Target- Kollisionsresistenz von H ist, muss er auch in genug anderen Fällen
0
erfolgreich Kollisionen berechnen und bricht damit die Target-Kollisionsresistenz von H , was
ist nicht kollisionsresistent, da
ein Widerspruch zu dessen Target-Kollisionsresistenz ist.
(b) Sei
F : {0, 1}2k → {0, 1}k eine Kompressionsfunktion. Die
k aufgeteilt und auf diese nacheinander F wie folgt
Länge
Nachricht wird in Blöcke
X0 , . . . , Xn
der
angewendet:
Z0 := F (IV , X0 )
Zi := F (Zi−1 , Xi ),
Hierbei sei
IV
ein Initialierungsvektor der Länge
vollständig gefüllt ist, dieser auf Länge
enthält.
Zn
k
k.
für
1 ≤ i ≤ n.
Beachten Sie, dass falls der letzte Block nicht
gepadded wird und dieses Padding die Länge der Nachricht
wird als Hashwert ausgegeben.
7
Aufgabe 6.
(6+2 Punkte)
(a) Im Chinese-Wall-Modell aus der Vorlesung seien
C = {c1 , c2 , c3 },
S = {s1 , s2 , s3 },
Objekten O = {o1 , o2 , o3 },
die Menge von Firmen
die Menge von Beratern
die Menge von
mit
y(oi ) = ci für i ∈ {1, 2, 3},
x(o1 ) = {c2 },
x(o2 ) = ∅ und
x(o3 ) = {c1 , c2 }
gegeben. Betrachten Sie die folgende Abfolge von Zugrien
es sich um einen Lese-Zugri handelt, und
(write),
b ∈ S × O,
mit der Angabe
(read),
falls
falls es sich um einen Schreib-Zugri handelt, in
der angegebenen Reihenfolge:
1. (s1 , o2 ) (read)
4. (s3 , o1 ) (write)
2. (s3 , o3 ) (read)
5. (s2 , o2 ) (read)
3. (s2 , o3 ) (write)
6. (s1 , o3 ) (write)
Gehen Sie davon aus, dass
vor
den obigen Anfragen bereits die folgenden Zugrie erfolgt sind und
durchgeführt wurden:
(i)
(ii)
(iii)
(s1 , o1 ) (read)
(s2 , o2 ) (write)
(s2 , o2 ) (read)
Geben Sie für die einzelnen Zugrie jeweils an, ob die ss- oder
?-Eigenschaft
erfüllt oder verletzt ist.
Nutzen Sie dafür die Spalten ss und ? der unten stehenden Tabelle. Benutzen Sie dabei
erfüllt und
×
X
für
für verletzt. Geben Sie für verletzte Eigenschaften in der Spalte Bemerkung an,
warum sie jeweils verletzt sind.
Zugri
(b) Geben Sie die Denition der
ss
1.
(s1 , o2 ) (read)
2.
(s3 , o3 ) (read)
3.
(s2 , o3 ) (write)
4.
(s3 , o1 ) (write)
5.
(s2 , o2 ) (read)
6.
(s1 , o3 ) (write)
?-Eigenschaft
?
Bemerkung
des Chinese-Wall-Modells aus der Vorlesung an.
8
Lösungsvorschlag zu Aufgabe 6.
b ∈ S × O,
(a) Gültig sind die einzelnen Zugrie
falls die ss- und die
?-Eigenschaft
erfüllt sind und
damit die Systemsicherheit erhalten bleibt. Erfüllt sind alle genannten Eigenschaften, falls in den
Spalten ss und ? das Symbol
X
zu nden ist.
In der unten stehenden Tabelle ndet sich ein
Lösungsvorschlag.
Zugri
ss
?
Bemerkung
1.
(s1 , o2 ) (read)
×
X
y(o2 ) ∈ x(o1 )
2.
(s3 , o3 ) (read)
X
X
3.
(s2 , o3 ) (write)
X
X
(x(o2 )
4.
(s3 , o1 ) (write)
×
×
y(o1 ) ∈ x(o3 ), x(o3 ) 6= ∅
5.
(s2 , o2 ) (read)
×
X
y(o2 ) ∈ x(o3 )
6.
(s1 , o3 ) (write)
X
×
x(o1 ) 6= ∅
und
y(o2 ) 6= y(o1 )
= ∅)
und
und
write-Anfrage (s, o) hat die ?-Eigenschaft,
0
0
zugreift, gilt: y(o ) = y(o) oder x(o ) = ∅.
(b) Eine
9
und
y(o1 ) 6= y(o3 )
y(o2 ) 6= y(o3 )
y(o3 ) 6= y(o1 )
falls für alle Objekte
o0 ,
auf die
s
schon lesend
Aufgabe 7.
(10 Punkte) Bei dieser Multiple-Choice-Aufgabe gibt jede richtige Antwort 1 Punkt. Kreu-
zen Sie jeweils an, ob die Aussage wahr oder falsch ist. Für jede falsche Antwort wird 1 Punkt abgezogen, die Gesamtpunktzahl der Aufgabe kann jedoch nicht negativ werden. Für nicht beantwortete
Fragen (kein Kreuz) werden keine Punkte abgezogen.
Lösungsvorschlag zu Aufgabe 7.
wahr
Mit Hilfe des Transkripts zwischen einem Prover
A
und Verier
B
eines sicheren
Public-Key-Identikationsprotokolls mit Zero-Knowledge- und
Proof-of-Knowledge-Eigenschaft lässt sich auch eine dritte Person
falsch
C
von
×
A's
Identität überzeugen.
Das One-Time-Pad ist eine Einwegfunktion, weil es nur einmal verwendet werden
×
kann.
Im Spiel der Sicherheitsdenition für Public-Key-Identikationsprotokolle aus der
Vorlesung nimmt der Angreifer in Phase 1 die Rolle des Veriers und in Phase 2
×
die Rolle des Provers ein.
Im Bell-LaPadula-Modell aus der Vorlesung werden verdeckte Kanäle nicht
grundsätzlich verhindert.
×
Tritt bei einer im CBC-Modus verschlüsselten Nachricht ein Bitfehler in einem
×
Block auf, so können alle folgenden Blöcke nicht mehr richtig entschlüsselt werden.
Der Betriebsmodus XTS verwendet eine Blockchire mit Tweak.
×
×
Jede Einwegfunktion ist kollisionsresistent.
Wird in der Programmiersprache C bei einem Schreibzugri auf ein Array dessen
Gröÿe nicht überprüft, kann dies Angrie durch Buer Overows ermöglichen.
×
Bei EUF-CMA-sicheren digitalen Signaturverfahren gibt es im Allgemeinen zu
jedem geheimen Schlüssel
Schlüssel
sk
nur einen einzigen und eindeutigen öentlichen
×
pk .
Die Hashfunktion SHA-3 basiert auf der Merkle-Damgård-Konstruktion.
10
×
Herunterladen
Werbung