De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

Oefeningen 2013-04-18 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene.

Verwante presentaties


Presentatie over: "Oefeningen 2013-04-18 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."— Transcript van de presentatie:

1 Oefeningen 2013-04-18 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene

2 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 2 Oefening 1 (1) RSA PKCS#1 v1.5 “Million Message Attack” (MMA): principiële illustratie Gegeven  C (= M e mod n), n en e  M volgens PKCS#1 v1.5 geformatteerd (M = 00||02||PS||00||D)  foutboodschap van slachtoffer als decryptie van C’ mislukt wegens foute formattering Gevraagd  bepaal een strategie om M te achterhalen  hint: denk aan multiplicatieve eigenschappen van RSA

3 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 3 Oefening 1 (2) RSA-formattering: MMA illustratie met beperktere formattering Gegeven  formattering: M = 0010xxxx  n = 187; e = 3; C = 81 Gevraagd  bepaal M  hint: 32 ≤ M ≤ 47

4 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 4 Oefening 2 ElGamal Gegeven  bij ElGamal-encryptie of –signatuur, en ook bij DSA, wordt een eenmalige en geheim gehouden randomwaarde k gebruikt Gevraagd  wat gebeurt als een aanvaller k toch kent?  wat zijn de gevolgen als men de randomwaarde k toch zou hergebruiken: –bij ElGamal-encryptie? –bij ElGamal-signatuur? –bij DSA?

5 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 5 Oefening 3 ElGamal Gegeven:  RSA-signaturen vertonen het probleem van zogeheten “existentiële vervalsing” (“existential forgery”), d.w.z. dat gegeven een aantal berichten met hun RSA-signaturen, men nieuwe getekende berichten kan genereren m.b.v. de multiplicatieve eigenschappen van RSA, zonder daarom over de vertrouwelijke sleutel te moeten beschikken Gevraagd:  hoe stelt dit probleem zich bij ElGamal-signaturen?

6 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 6 Oefening 4 ElGamal Gegeven:  bij ElGamal-encryptie of –signatuur, en ook bij DSA, wordt een eenmalige en geheim gehouden randomwaarde k gebruikt Gevraagd:  hoe zou je als eigenaar van de vertrouwelijke sleutel die gebruikt werd voor de digitale handtekening verdekte informatie kunnen toevoegen zonder dat de persoon die de handtekening ontvangt er iets van merkt? –zo’n techniek heet een “subliminaal kanaal” (“subliminal channel”)  kan je bedenken hoe je (een klein deel van) dit subliminaal kanaal toch nog zou kunnen uitbuiten zonder de vertrouwelijke sleutel hiervoor te moeten gebruiken? (moeilijker)

7 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 7 Oefening 5 Hashfuncties Gegeven:  een hashfunctie met een hashwaarde van n bits, bv. 128 bits  een beperkte beschikbare opslagcapaciteit (N 1 hashwaarden), bv. 1 TB –men mag veronderstellen dat N 1 ≪ 2 n/2 Gevraagd:  hoeveel hashbewerkingen zijn nodig om met waarschijnlijkheid P (bv. 95%) twee berichten te vinden met dezelfde hashwaarde? –bereken dit ook met de gegeven concrete waarden –stel dat een moderne PC 10 miljoen hashwaarden per seconde kan berekenen, hoeveel tijd is er dan nodig?

8 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 8 Oefening 6 Hashfuncties Gegeven:  wedstrijd op XKCD om hashwaarde te genereren met zoveel mogelijk overeenkomende bits met gegeven hashwaarde (Skein- 1024-1024) –Skein is 1 van de 5 finalisten voor SHA-3, hier gebruikt met hashwaarde van 1024 bits en interne toestand van 1024 bits –winnaar was CMU, met slechts 384 foute bits op 1024 (dus 640 overeenkomende bits)CMU Gevraagd:  bereken of dit resultaat teken is dat zwakke botsingsbestendigheid van gebruikte hashalgoritme verzwakt is –m.a.w. bereken hoeveel hashwaarden typisch gegenereerd moeten worden vooraleer hashwaarde bekomen wordt met hoogstens 384 bits (op 1024) verschil met oorspronkelijke hashwaarde in de veronderstelling dat hashwaarden uniform random verdeeld zijn –lijkt dit u een haalbaar aantal?

9 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 9 Oefening 6 Hashfuncties Hints:  N C k = N!/(k! (N–k)!) –aantal combinaties van k elementen uit groep van N  voor k voldoende klein t.o.v. N –∑(j:0..k. N C j ) ≈ (N–k–1)/(N–2*k–1)* N C k  voor k meer in de buurt van N/2 –∑(j:0..k. N C j ) ≈ CDF_Norm(N/2,sqrt(N)/2) (k+½) »centrale limietstelling –CDF_Norm(mean, stdev) (x) = Φ ((x–mean)/stdev) –Φ (x) = ½ + ½ *erf(x/sqrt(2)) –erf(x) ≈ 1–(a 1 *t+ a 2 *t² + a 3 *t³)*exp(-x²) »met t=1/(1+p*x) »met p=0,47047 en a 1 =0,3480242 en a 2 =-0,0958798 en a 3 =0,7478556  minimum van beide benaderingen is beste

10 Informatiebeveiliging Vakgroep Informatietechnologie – IBCN – Eric Laermans p. 10 Oefening 7 Hashfuncties Gegeven  11,4 miljoen RSA-sleutels van 1024 bits, waarvan de priemfactoren random gegenereerd werden Gevraagd  schat de waarschijnlijkheid dat er minstens twee sleutels een gemeenschappelijke priemfactor hebben  Opmerking –volgens http://eprint.iacr.org/2012/064.pdf bleken nochtans 26965 sleutels een priemfactor met een andere RSA-sleutel te delenhttp://eprint.iacr.org/2012/064.pdf


Download ppt "Oefeningen 2013-04-18 Cursus informatiebeveiliging Eric Laermans – Tom Dhaene."

Verwante presentaties


Ads door Google