Übungsblatt
Transcription
Übungsblatt
IKS Institut für Kryptographie und Sicherheit Lehrstuhl Prof. Dr. J. Müller-Quade Institut für Kryptographie und Sicherheit Stammvorlesung Sicherheit im Sommersemester 2012 Übungsblatt 6 Aufgabe 20a: Das HB-Protokoll wurde entwickelt, damit sich ein rechenschwacher Client (z. B. ein RFIDTag) bei einem entsprechendem Server (z. B. einem RFID-Reader) authentifizieren kann. Es ist parametrisiert durch einen Rauschparamter η ∈ (0, 21 ), eine Fehlertoleranz ε ∈ (0, η) sowie zwei Sicherheitsparameter k und l und läuft folgendermaßen ab (dabei bezeichne “ das innere Produkt von zwei Vektoren): ” 0. Reader und Tag besitzen ein gemeinsames Authentifikationsgeheimnis x ∈ {0, 1}k . 1. Der Reader sendet eine zufällige Challenge a ∈ {0, 1}k an das Tag. 2. Das Tag sendet z = (a x) ⊕ ν an den Reader, wobei ν ein Zufallsbit ist mit Pr[ν = 1] = η. 3. Der Reader prüft, ob z = (a x). 4. Die Schritte 1 bis 3 werden l mal wiederholt. Wenn dabei der Test in Schritt 3 wenigstens (1 − η − ε) · l mal true“ ergibt, ist das Tag authentifiziert. ” Dieses Protokoll bietet allerdings nur Sicherheit gegen passive Lauscher, die den Protokolllauf nicht beeinflussen. Wie kann ein bösartiger Reader, der x gar nicht kennt, das Authentifikationsgeheimnis lernen? Aufgabe 20b: Das HB+ -Protokoll ist eine Weiterentwicklung des HB-Protokolls, um auch Sicherheit gegen bösartige Reader zu gewährleisten. Es läuft folgendermaßen ab: 0. Reader und Tag besitzen zwei gemeinsame Authentifikationsgeheimnisse x, y ∈ {0, 1}k . 1. Das Tag sendet einen zufälligen Blinding-Faktor b ∈ {0, 1}k an den Reader. 2. Der Reader sendet eine zufällige Challenge a ∈ {0, 1}k an das Tag. 3. Das Tag sendet z = (a x) ⊕ (b y) ⊕ ν an den Reader, wobei ν ein Zufallsbit ist mit Pr[ν = 1] = η. 4. Der Reader prüft, ob z = (a x) ⊕ (b y). 5. Die Schritte 1 bis 4 werden l mal wiederholt. Wenn dabei der Test in Schritt 4 wenigstens (1 − η − ε) · l mal true“ ergibt, ist das Tag authentifiziert (d. h. das Protokollergebnis ist accept“). ” ” Wie kann ein Man-in-the-Middle, der Nachrichten zwischen Reader und Tag beliebig abändern kann und am Ende das Protokollergebnis ( accept“/ reject“) sieht, ein beliebiges Bit über x oder y lernen? ” ” Aufgabe 21: Zeigen Sie: Das Berechnen von ϕ(n) zu einem gegeben RSA-Modulus n ist äquivalent zum Faktorisieren von n. Hinweis: Stellen Sie auf Basis von n und ϕ(n) ein Gleichungssystem für die Primfaktoren p und q von n auf. Aufgabe 22: Wir betrachten ElGamal-Signaturen über der Gruppe hgi ⊆ Z× p mit p = 31 und g = 29. • Wie lautet der öffentliche Schlüssel y zum geheimen Schlüssel x = 6? • Berechnen Sie die Signaturen zu den Nachrichten m1 = 19 und m2 = 22 mit geheimem Schlüssel x = 6 und ohne Hashing. Wählen Sie dabei als Zufall k1 = 7 bzw. k2 = 23. • Zeigen Sie: Unabhängig vom öffentlichen Schlüssel y ist jedes Tupel (30, b) mit ungeradem b eine gültige Signatur zur Nachricht m = 5. Aufgabe 23a: I. A. wird in der Praxis eine Nachricht m nicht direkt signiert, sondern ein kryptographischer Hashwert h(m). Wie essentiell ist in diesem Kontext, dass h eine Einwegfunktion ist (d. h. für hinreichend zufälliges x ist es nicht praktikabel, aus dem entsprechenden Hashwert y = h(x) ein Urbild x̃ ∈ h−1 (y) zu berechnen) und wie essentiell ist Kollisionsresistenz (d. h. es ist nicht praktikabel zwei verschiedene Eingaben x1 , x2 mit demselben Hashwert y = h(x1 ) = h(x2 ) zu finden)? Aufgabe 23b: Konstruieren Sie eine kollisionsresistente Funktion ohne Einweg-Eigenschaft. Nehmen Sie dabei eine kollisionsresistente Einwegfunktion h : {0, 1}∗ → {0, 1}n als gegeben an, die als Baustein verwendet werden darf. Hinweis: Um die Einweg-Eigenschaft zu verletzen, muss man nicht für jeden Bildwert ein entsprechendes Urbild berechnen können. Aufgabe 23c: Es sei eine Funktion h : {0, 1}∗ → {0, 1}n gegeben. Wir definieren induktiv: x wenn i = 0 i h (x) = hi−1 (h(x)) wenn i > 0 Zeigen Sie, dass h genau dann kollisionsresistent ist, wenn für jedes i ∈ {1, . . . , n} auch hi kollisionsresistent ist. Aufgabe 24: Um die Vorteile von asymmetrischer und symmetrischer Verschlüsselung zu kombinieren, werden in der Praxis meist hybride Verschlüsselungsverfahren eingesetzt. Dabei wird ein frischer Zufallsschlüssel k asymmetrisch verschlüsselt und die eigentliche Nachricht mit k symmetrisch verschlüsselt. Was ist von der analogen Idee für Nachrichtenauthentifizierung zu halten, bei der für die eigentliche Nachricht ein MAC mit frischem Zufallsschlüssel k berechnet und k mit einem asymmetrischen Verfahren signiert wird? Aufgabe 25: Bewerten Sie die Sicherheit der folgenden MACs. Dabei sei h : {0, 1}n → {0, 1}n eine Einwegfunktion und g : {0, 1}n × {0, 1}n → {0, 1}n kollisionsresistent; ferner sei Enck die Verschlüsselungsfunktion einer sicheren n-bit-Blockchiffre mit Schlüssel k, es bezeichne IV einen jeweils frisch zufällig gewählten Initialisierungsvektor, der zusammen mit dem MAC übertragen wird, und bei gegebener Nachricht m bezeichne mi den i-ten n-bit-Block von m. (Der Einfachheit halber seien in dieser Aufgabe alle Nachrichtenlängen ganzzahlige Vielfache von n.) • Mack (m) = Enck h(m1 ) ⊕ h(m2 ) ⊕ h(m3 ) ⊕ . . . • Mack (m) = Enck h(. . . h(h(h(m1 ) ⊕ m2 ) ⊕ m3 ) . . .) • Mack (m) = h . . . h h h Enck (m1 ) ⊕ Enck (m2 ) ⊕ Enck (m3 ) ⊕ . . . • Mack (m) = Enck g(. . . g(g(IV , m1 ), m2 ) . . .) • Mack (m) = g . . . g g g Enck (IV ), m1 , m2 , m3 . . . • Mack (m) = g . . . g g g IV , Enck (m1 ) , Enck (m2 ) , Enck (m3 ) . . . Welche Fälschungsmöglichkeiten hat ein Angreifer bei den unsicheren Verfahren? (Für als sicher bewertete Verfahren wird keine weitere Begründung verlangt.) Rätsel Rubrik: faire(?) Münzspiele“ ” Rätsel 17: Alice schlägt Bob folgendes Glücksspiel vor, bei dem Bob pro Runde 3 € einsetzt und sie selbst 4 €: Bob legt eine Folge von drei 1-€-Münzen aus und Alice legt ebenfalls eine Folge von drei 1-€-Münzen aus, welche sich jedoch von Bobs Folge unterscheiden muss. Dann wirft Alice ihre vierte 1-€-Münze so oft, bis eine der ausgelegten Folgen zum ersten Mal zusammenhängend aufgetreten ist. Derjenige, der diese Folge ausgelegt hat, gewinnt die Runde und erhält die sieben im Spiel befindlichen 1-€-Münzen. Wäre es schlau von Bob, auf das Spiel einzugehen? Rätsel 18: Dein Kommilitone möchte per Münzwurf entscheiden, wer von euch beiden in der nächsten Vorlesung mitschreiben muss. Er legt eine etwas seltsam aussehende Münze auf den Tisch, von der du zufällig weißt, dass sie ungefähr doppelt so oft Kopf“ wie Zahl“ zeigt. Wie könnt ihr allein mit dieser Münze trotzdem einen ” ” perfekt gleichverteilten Münzwurf realisieren? Rätsel 19: Ein Mann mit auffallend dunklem Teint und leichtem Schwefelgeruch bietet dir die einmalige Teilnahme an folgendem Spiel an: Du sollst einen noch festzulegenden Geldbetrag zahlen und danach wird eine faire Münze geworfen, bis sie Kopf“ zeigt. Ist bereits das erste Ergebnis Kopf“, erhältst du nur einen ” ” einzigen Cent zurück; jedes Mal, wenn die Münze Zahl“ zeigt, verdoppelt sich jedoch dein Gewinn. Was ist ” der Höchstbetrag, den du zu setzen bereit wärst?