Eerste Deeltoets Security 22 mei 2015, , Beatrix 7e.

Transcriptie

1 Eerste Deeltoets Security 22 mei 2015, , Beatrix 7e. Motiveer je antwoorden kort! Zet je mobiel uit. Stel geen vragen over deze toets; als je een vraag niet duidelijk vindt, schrijf dan op hoe je de vraag interpreteert en beantwoord de vraag zoals je hem begrijpt. Cijfer: Vraag 3 en 4 zijn 3pt, de anderen 2pt. Omdat vraag 7 erg moeilijk bleek, is een extra voet van 1pt gegeven. Toetsresultaat is punten plus 1 gedeeld door 1,5. Maak opg 1 en 2 op pagina 1, op 3 en 4 op pag 2, en opg 5, 6 en 7 op pagina 3. Let op: er is ook een achterkant!! 1. Zeven meerkeuzevragen: (I) Als je een bericht onleesbaar maakt voor een onbevoegde buitenstaander doe je aan: (a) encryptie; (b) decryptie; (c) compressie; (d) steganografie. (II) Hoeveel sleutels zijn er nodig in een symmetrisch cryptosysteem bij 90 deelnemers, om ieder persoon met elkaar te laten communiceren? (a) 4005; (b) 915; (c) 180; (d) 90. (III) Het idee van een éénrichtingsfunctie (one-way function) speelt een centrale rol binnen public-key cryptografie. Wat zijn éénrichtingsfuncties? (a) Functies die zelf gemakkelijk uit te rekenen zijn, maar het bepalen van de inverse is aanzienlijk moeilijker; (b) Functies die zelf gemakkelijk uit te rekenen zijn, maar het bepalen van de inverse is aanzienlijk makkelijker; (c) Functies die zelf moeilijk uit te rekenen zijn, maar het bepalen van de inverse is aanzienlijk moeilijker; (d) Functies die zelf moeilijk uit te rekenen zijn, maar het bepalen van de inverse is aanzienlijk makkelijker. (IV) In een public-key cryptosysteem ontvangt B een vercijferde boodschap van A. Waarmee ontcijfert (decrypteert) B de boodschap van A? (a) de publieke sleutel van A; (b) de publieke sleutel van B; (c) de privésleutel van A; (d) de privésleutel van B. (V) Hoeveel sleutels zijn er nodig in een asymmetrisch cryptosysteem bij 90 deelnemers, om ieder persoon met elkaar te laten communiceren? (a) 4005; (b) 915; (c) 180; (d) 90. Oplossing: Het aantal vragen was maar vijf. I - a; II - a, voor elk paar is een aparte sleutel; III - a; IV - d; V - c, een paar per gebruiker. Beoordeling: Max 2pt, per goed antwoord vanaf het tweede een halve punt. Dus drie goed is 1pt, vijf goed is 2pt.

2 2. AES contra Moore: De ontwerpers van AES verwachten dat AES nog zeker 50 jaar in gebruik blijft. Denk je dat het zo lang duurt tot een brutekracht-aanval op AES mogelijk is? Betrek in je antwoord de Wet van Moore, waarbij je een jaarlijkse verdubbeling van rekenkracht mag veronderstellen. Oplossing: De grootste supercomputers van nu komen in de buurt van de PetaFlop, operaties per seconde ofwel 3.2E22 per jaar. De optimistische Moore computer over 50 jaar haalt dan 2 50 keer zoveel, ofwel 3.6E37. Als je in dit tempo de keys van AES128 doorzoekt, ben je er na 10 jaar doorheen. Met AES128 wordt het dus rond die tijd oppassen, maar AES256 blijft nog zeker een eeuw langer onaantastbaar tegen BFA. Beoordeling: Voor het maken van realistische aannamen 1pt, rekenwerk/conclusie 1pt. A = Schatting van huidige rekenkracht op basis van de A5/1 kraak is heel zwak, dat was ook geen BFA en bekeek slechts kleine fractie van keys. D = Schatting van huidige rekenkracht op basis van DES-cracker is leuk idee, maar vergeet niet dat die al ruim15 jaar bestaat en dat dit een low budget privaat project was. E = Over een Efficientere aanval dan BFA (bv quantumcomputer) kun je niets zeggen, was de vraag ook niet. K = Keylengte van 256b kan ook. N = Wat is Nu mogelijk? Zeker meer dan 64b want 56b kon al in Schatting miljoen per seconde is gevaarlijk laag, miljard per seconde is laag, biljoen per seconde is realistisch voor kleine tegenstander (Bitcoin-miner), biljard is realistisch voor statelijke actor als NSA. Te laag inschatten geeft aftrek. P = DES cracker was Publiek project, de NSA kon waarschijnlijk veel meer! R = Rekenwerk klopt niet. W = Hoeveel Werk niet of fout berekend.

3 3. AES Modes: Je wilt met AES een hele disk versleutelen en je wilt niet dat een herhaald blok op de disk (X i = X j ) ook een herhaling van een ciphertext blok geeft. Maar als je blok voor blok apart versleutelt (Y i = E k (X i ) gebeurt dat wel. (a) Beschrijf hoe je voorkomt dat herhalingen in de plaintext leiden tot herhalingen in de ciphertext. (b) Je wilt delen van de disk los kunnen bekijken, zonder ook naar ander blokken op de disk te moeten kijken. Ken je een AES mode die dit mogelijk maakt? Oplossing: (a) Er zijn verschillende chaining modes waarmee een cipherblok niet alleen afhangt van het plaintext blok op die positie, maar ook van de tekst die ervoor staat. Bij de meest gebruikte cipher block chaining wordt het plaintext blok gexord met het vorige cipherblok voor encryptie: Y i = E k (X i Y i 1 ) (bij het eerste blok wordt een initialisatievektor gebruikt). Maar je kunt ook het plainblok xoren met het gecrypte cipherblok, als Y i = E(Y i 1 ) X i. Een herhaald plainblok (X i = X j ) zal niet leiden tot een herhaald cipherblok vanwege de verschillende geschiedenis van de twee blokken. (b) Je kunt AES gebruiken in Counter Mode, Y i = X i E k (i). Beoordeling: Voor (a) 2pt; als het allemaal een beetje wordt verteld in tekst 1, en voor volle punten moet de formule en/of naam erbij. Voor (b) 1pt. B = Je wilt niet per blok extra informatie opslaan. Een verschillende key per block is zeker onzinnig omdat je naast je versleutelde disk nog twee disks met keys nodig hebt (AES256). D = Xoren met vorig plain block (als Y i = E k (X i 1 X i )) geeft nog steeds herhaling als er langere patronen herhaald zijn. Encryptie is namelijk niet afhankelijk van de complete geschiedenis van het blok. E = ECB modus (afzonderlijke blokken encrypten) geeft weer propagatie van herhalingen. F = Voor volle punten moet bij (a) de Formule en/of naam van de modus staan. K = Wisselen van Key wordt eigenlijk nooit gedaan (al ken ik geen principiële reden dat het niet zou kunnen). S = Serienummer meecrypten (a) kost extra ruimte of leidt tot andere botsingen, 1/2. T = Standaard streaming (output feedback mode) berekent S i uit S i 1 als S i = E k (S i 1 ). Als je nu beschikt over het eenmiljoenste cipherblok, kun je deze wel decrypten zonder de eerdere cipherblokken te zien, maar het kost je wel een miljoen AES stappen! De Streaming mode is dus alleen geschikt als je echt alleen de hele reeks blokken wilt decrypten.

4 4. Hash met Verlenger: Op Willems Wonder Web moet je wachtwoord minstens zes letters zijn. Willem slaat de wachtwoorden niet plain op, als [login, ww] omdat hij beseft dat hackers het wachtwoordbestand kunnen stelen met SQL-injecties. En ook niet de combinatie [login, SHA1(wachtw)] omdat hij weet dat zesletterige wachtwoorden met Rainbow Tables te ont-hashen zijn. (a) Willems eerste idee is, de hash te salten. Hoe werkt dit, en waarom beschermt het Willems klanten onvoldoende? (b) Willem kiest een random, geheime verlengstring vs van lengte 6 en slaat gebruikersinfo op als [login, SHA1(ww+vs)]. Een aanvaller die dit bestand steelt, moet SHA1 terugrekenen voor strings van (minstens) 12 lang, wat teveel werk is. Simon de Schurk weet inderdaad een truuk om de wachtwoordlijst te stelen, en strings van 12 terughalen uit een hash kan hij inderdaad niet. Help Simon om de wachtwoorden van Willems Web te stelen. Oplossing: (a) Bij salting maak je de hashfunctie verschillend per user door het toevoegen van publieke, maar userspecifieke info, als in [login, SHA1(wachtw+login)]. Het is dan niet meer mogelijk, een RT te maken die voor meerdere users bruikbaar is. Voor Willem is dit niet genoeg omdat er maar ongeveer 60 6 is 120mld strings mogelijk zijn. Zelfs op een PC met ruwweg 100mln hashes per seconde kun je dit brute-forcen in 20 minuten. (b) Voordat Simon de lijst steelt, maakt hij zelf een account simon met ww welkom01. Uit de hash van zijn eigen wachtwoord, dat hij immers kent, kan hij vs brute-forcen in 20 minuten, en dan andere wachtwoorden in 20min per stuk. Natuurlijk vindt Simon zo alleen de gebruikers met minimaal wachtwoord. Gebruikers van Willem die een lang wachtwoord hebben (bv 12) zijn immuun. Beoordeling: Tot 3pt, 2 voor a en 1 voor b. A = Een salt is in principe publiek dus de kwetsbaarheid zit m niet in het Achterhalen van de salt. E = Je maakt nooit een rainbow table aan voor één gebruiker of string! Een enkele target val je altijd aan met een BFA want dat is sneller, simpeler en effectiever dan een targetspecifieke RT. R = Door de salt kan een aanval juist niet meer met een Rainbow table. S = SHA1 is niet veilig ; da s voor het eerst dat ik dit hoor. V = Simon kan met de lijst ook meteen de vs stelen. Dit is niet gegeven, misschien bewaart Willem die wel goed veilig buiten zijn database. W = De salt wordt niet uit het Wachtwoord berekend (dan helpt hij niet).

5 5. Rekenen in AES: In AES wordt gerekend in het Finite Field F = Z 2 [X]/X 8 + X 4 + X 3 + X + 1. Laat A = en B = (a) Hoeveel elementen heeft F? (b) Hoe wordt een som (de +) in F berekend en wat is de uitkomst van A + B? (c) Hoe wordt een product (de ) in F berekend en wat is de uitkomst van A B? Oplossing: (a) De elementen zijn waarde van een Byte, dus 8 bits; het zijn er 2 8 dus 256. (b) Optellen is de bitgewijze XOR dus A + B is (Je hoeft hieropvolgend nooit te reduceren, want het bitrijtje is hierna altijd 8 bits.) (c) Eerst vermenigvuldigen alsof het polynomen zijn (laatste bit van A onder elke 1 van B en XOR), als resultaat te hoge graad heeft (1 op pos 8 of hoger) veelvouden van M = eraf trekken. Vermenigvuldiging geeft XOR dus De graad is 9 dus XOR met X.M = geeft Beoordeling: Max 2, voor a en c 1/2 en voor b 1. Behoorlijk wat mensen konden dit, inclusief de vermenigvuldiging. De som bevatte geen carry, dus er was geen check of je het negeren van de carries niet negeerde. Antwoorden 255, 8 en 283 zijn niet gelijk aan 256 en niet goed. M = Als je voor M gebruikt, zoals in de handout, komt er uit. OK indien M vermeld. R = Bij het optellen is nooit een Reductie nodig. Z = Als je deelesultaten Xort (vermenigvuldiging), de B zelf niet meexoren! 6. Fasen bij het hacken: Bij Hacken worden vijf fasen onderscheiden, waaronder (alfabetisch) Covering Tracks, Maintaining Access en Reconnaissance. (a) Noem alle vijf de fasen in volgorde. (b) Wat doe je in Reconnaissance en hoe kun je dat bereiken? Oplossing: (a) Rec, Scanning, Gaining Access, MA, CT. (b) Informatie over het doel verzamelen, zoals welke servers er zijn. Je gebruikt veel open bronnen zoals Google. Ping Sweeps en Port Scans zijn ook nuttig maar vallen eerder onder de volgende fase Scanning. Als je niet veel verder komt dan gissen (1 of 2 dingen goed), geen punten. Beoordeling: Tot 2pt, een per deelvraag. 7. Bedreigingen: STRIDE is een acroniem voor zes soorten dreiging, zoals S=Spoofing, T=Tampering, etc. De zes beschermingen ertegen zijn (alfabetisch) Authentication, Authorization, Availability, Confidentiality, Integrity, Nonrepudiation. (a) Waarvoor staan de R, I, D en E? (b) Geef de een-op-een koppelingen van dreigingen aan beschermingen. Oplossing: (a) R=Repudiation, I=Information Disclosure, D=Denial of Service, E=Elevation of Privilege. (b) S tegen Authentication, T tegen Integrity, R tegen Nonrepudiation, I tegen Confidentiality, D tegen Avalability, E tegen Authorization. Beoordeling: Tot 2pt, een per deelvraag.