Übungsblatt

IKS
Institut für Kryptographie und Sicherheit
Lehrstuhl Prof. Dr. J. Müller-Quade
Institut für Kryptographie und Sicherheit
Stammvorlesung Sicherheit im Sommersemester 2012
Übungsblatt 6
Aufgabe 20a: Das HB-Protokoll wurde entwickelt, damit sich ein rechenschwacher Client (z. B. ein RFIDTag) bei einem entsprechendem Server (z. B. einem RFID-Reader) authentifizieren kann. Es ist parametrisiert
durch einen Rauschparamter η ∈ (0, 21 ), eine Fehlertoleranz ε ∈ (0, η) sowie zwei Sicherheitsparameter k und l
und läuft folgendermaßen ab (dabei bezeichne “ das innere Produkt von zwei Vektoren):
”
0. Reader und Tag besitzen ein gemeinsames Authentifikationsgeheimnis x ∈ {0, 1}k .
1. Der Reader sendet eine zufällige Challenge a ∈ {0, 1}k an das Tag.
2. Das Tag sendet z = (a x) ⊕ ν an den Reader, wobei ν ein Zufallsbit ist mit Pr[ν = 1] = η.
3. Der Reader prüft, ob z = (a x).
4. Die Schritte 1 bis 3 werden l mal wiederholt. Wenn dabei der Test in Schritt 3 wenigstens (1 − η − ε) · l
mal true“ ergibt, ist das Tag authentifiziert.
”
Dieses Protokoll bietet allerdings nur Sicherheit gegen passive Lauscher, die den Protokolllauf nicht beeinflussen.
Wie kann ein bösartiger Reader, der x gar nicht kennt, das Authentifikationsgeheimnis lernen?
Aufgabe 20b: Das HB+ -Protokoll ist eine Weiterentwicklung des HB-Protokolls, um auch Sicherheit gegen
bösartige Reader zu gewährleisten. Es läuft folgendermaßen ab:
0. Reader und Tag besitzen zwei gemeinsame Authentifikationsgeheimnisse x, y ∈ {0, 1}k .
1. Das Tag sendet einen zufälligen Blinding-Faktor b ∈ {0, 1}k an den Reader.
2. Der Reader sendet eine zufällige Challenge a ∈ {0, 1}k an das Tag.
3. Das Tag sendet z = (a x) ⊕ (b y) ⊕ ν an den Reader, wobei ν ein Zufallsbit ist mit Pr[ν = 1] = η.
4. Der Reader prüft, ob z = (a x) ⊕ (b y).
5. Die Schritte 1 bis 4 werden l mal wiederholt. Wenn dabei der Test in Schritt 4 wenigstens (1 − η − ε) · l
mal true“ ergibt, ist das Tag authentifiziert (d. h. das Protokollergebnis ist accept“).
”
”
Wie kann ein Man-in-the-Middle, der Nachrichten zwischen Reader und Tag beliebig abändern kann und am
Ende das Protokollergebnis ( accept“/ reject“) sieht, ein beliebiges Bit über x oder y lernen?
”
”
Aufgabe 21: Zeigen Sie: Das Berechnen von ϕ(n) zu einem gegeben RSA-Modulus n ist äquivalent zum
Faktorisieren von n.
Hinweis: Stellen Sie auf Basis von n und ϕ(n) ein Gleichungssystem für die Primfaktoren p und q von n auf.
Aufgabe 22: Wir betrachten ElGamal-Signaturen über der Gruppe hgi ⊆ Z×
p mit p = 31 und g = 29.
• Wie lautet der öffentliche Schlüssel y zum geheimen Schlüssel x = 6?
• Berechnen Sie die Signaturen zu den Nachrichten m1 = 19 und m2 = 22 mit geheimem Schlüssel x = 6
und ohne Hashing. Wählen Sie dabei als Zufall k1 = 7 bzw. k2 = 23.
• Zeigen Sie: Unabhängig vom öffentlichen Schlüssel y ist jedes Tupel (30, b) mit ungeradem b eine gültige
Signatur zur Nachricht m = 5.
Aufgabe 23a: I. A. wird in der Praxis eine Nachricht m nicht direkt signiert, sondern ein kryptographischer
Hashwert h(m). Wie essentiell ist in diesem Kontext, dass h eine Einwegfunktion ist (d. h. für hinreichend
zufälliges x ist es nicht praktikabel, aus dem entsprechenden Hashwert y = h(x) ein Urbild x̃ ∈ h−1 (y) zu
berechnen) und wie essentiell ist Kollisionsresistenz (d. h. es ist nicht praktikabel zwei verschiedene Eingaben
x1 , x2 mit demselben Hashwert y = h(x1 ) = h(x2 ) zu finden)?
Aufgabe 23b: Konstruieren Sie eine kollisionsresistente Funktion ohne Einweg-Eigenschaft. Nehmen Sie
dabei eine kollisionsresistente Einwegfunktion h : {0, 1}∗ → {0, 1}n als gegeben an, die als Baustein verwendet
werden darf.
Hinweis: Um die Einweg-Eigenschaft zu verletzen, muss man nicht für jeden Bildwert ein entsprechendes Urbild
berechnen können.
Aufgabe 23c:
Es sei eine Funktion h : {0, 1}∗ → {0, 1}n gegeben. Wir definieren induktiv:
x
wenn i = 0
i
h (x) =
hi−1 (h(x)) wenn i > 0
Zeigen Sie, dass h genau dann kollisionsresistent ist, wenn für jedes i ∈ {1, . . . , n} auch hi kollisionsresistent ist.
Aufgabe 24: Um die Vorteile von asymmetrischer und symmetrischer Verschlüsselung zu kombinieren, werden
in der Praxis meist hybride Verschlüsselungsverfahren eingesetzt. Dabei wird ein frischer Zufallsschlüssel k
asymmetrisch verschlüsselt und die eigentliche Nachricht mit k symmetrisch verschlüsselt.
Was ist von der analogen Idee für Nachrichtenauthentifizierung zu halten, bei der für die eigentliche Nachricht
ein MAC mit frischem Zufallsschlüssel k berechnet und k mit einem asymmetrischen Verfahren signiert wird?
Aufgabe 25: Bewerten Sie die Sicherheit der folgenden MACs. Dabei sei h : {0, 1}n → {0, 1}n eine Einwegfunktion und g : {0, 1}n × {0, 1}n → {0, 1}n kollisionsresistent; ferner sei Enck die Verschlüsselungsfunktion
einer sicheren n-bit-Blockchiffre mit Schlüssel k, es bezeichne IV einen jeweils frisch zufällig gewählten Initialisierungsvektor, der zusammen mit dem MAC übertragen wird, und bei gegebener Nachricht m bezeichne mi den
i-ten n-bit-Block von m. (Der Einfachheit halber seien in dieser Aufgabe alle Nachrichtenlängen ganzzahlige
Vielfache von n.)
• Mack (m) = Enck h(m1 ) ⊕ h(m2 ) ⊕ h(m3 ) ⊕ . . .
• Mack (m) = Enck h(. . . h(h(h(m1 ) ⊕ m2 ) ⊕ m3 ) . . .)
• Mack (m) = h . . . h h h Enck (m1 ) ⊕ Enck (m2 ) ⊕ Enck (m3 ) ⊕ . . .
• Mack (m) = Enck g(. . . g(g(IV , m1 ), m2 ) . . .)
• Mack (m) = g . . . g g g Enck (IV ), m1 , m2 , m3 . . .
• Mack (m) = g . . . g g g IV , Enck (m1 ) , Enck (m2 ) , Enck (m3 ) . . .
Welche Fälschungsmöglichkeiten hat ein Angreifer bei den unsicheren Verfahren? (Für als sicher bewertete
Verfahren wird keine weitere Begründung verlangt.)
Rätsel
Rubrik: faire(?) Münzspiele“
”
Rätsel 17: Alice schlägt Bob folgendes Glücksspiel vor, bei dem Bob pro Runde 3 € einsetzt und sie selbst
4 €: Bob legt eine Folge von drei 1-€-Münzen aus und Alice legt ebenfalls eine Folge von drei 1-€-Münzen aus,
welche sich jedoch von Bobs Folge unterscheiden muss. Dann wirft Alice ihre vierte 1-€-Münze so oft, bis eine
der ausgelegten Folgen zum ersten Mal zusammenhängend aufgetreten ist. Derjenige, der diese Folge ausgelegt
hat, gewinnt die Runde und erhält die sieben im Spiel befindlichen 1-€-Münzen. Wäre es schlau von Bob, auf
das Spiel einzugehen?
Rätsel 18: Dein Kommilitone möchte per Münzwurf entscheiden, wer von euch beiden in der nächsten Vorlesung mitschreiben muss. Er legt eine etwas seltsam aussehende Münze auf den Tisch, von der du zufällig weißt,
dass sie ungefähr doppelt so oft Kopf“ wie Zahl“ zeigt. Wie könnt ihr allein mit dieser Münze trotzdem einen
”
”
perfekt gleichverteilten Münzwurf realisieren?
Rätsel 19: Ein Mann mit auffallend dunklem Teint und leichtem Schwefelgeruch bietet dir die einmalige
Teilnahme an folgendem Spiel an: Du sollst einen noch festzulegenden Geldbetrag zahlen und danach wird
eine faire Münze geworfen, bis sie Kopf“ zeigt. Ist bereits das erste Ergebnis Kopf“, erhältst du nur einen
”
”
einzigen Cent zurück; jedes Mal, wenn die Münze Zahl“ zeigt, verdoppelt sich jedoch dein Gewinn. Was ist
”
der Höchstbetrag, den du zu setzen bereit wärst?