Tweede Toets Security Woensdag 8 november 2017, , Educ-α.

Transcriptie

1 Tweede Toets Security Woensdag 8 november 2017, , Educ-α. Motiveer je antwoorden kort! Stel geen vragen over deze toets; als je een vraag niet duidelijk vindt, schrijf dan op hoe je de vraag interpreteert en beantwoord de vraag zoals je hem begrijpt. Cijfer: Vraag 5 is 2pt en de andere vragen elk 3pt. T2 is totaal plus 0,5, gedeeld door 1,4. Maak vraag 1 en 2 op pagina 1, vraag 3 op p2, en vragen 4 en 5 op pagina Is Z m gesloten: (a) Bewijs dat de verzameling Z m gesloten is onder vermenigvuldiging. (Dat betekent: als a Z m en b Z m, dan a.b Z m.) (b) Geef een concreet voorbeeld dat aantoont dat Z m niet gesloten is onder optelling. Oplossing: (a) Z m is de verzameling getallen met een inverse, en blijkbaar hebben a en b die. Als a.a = 1 en b.b = 1, dan is (a.b).(a.b ) = (a.a ).(b.b ) = 1.1 = 1, dus a.b is een inverse van a.b, dus a.b Z m. (b) Neem m = 77 en a = 10 en b = 32. Dan heeft a noch b een factor met de modulus gemeen dus beide zijn inverteerbaar. Hun som is is 42, een veelvoud van 7, niet inverteerbaar. Beoordeling/Toelichting: Te halen 3pt, 2 voor een compleet bewijsje bij (a) en 1 voor een voorbeeld bij (b). K = Denkt dat Z m de verzameling getallen is met Kwadraat 1. Die verzameling is ook multiplicatief gesloten, maar zelfs een keurig bewijs hiervoor levert geen punt! P = Z m is de verzameling getallen die geen Priemfactoren gemeen hebben met m. En inderdaad, als a dat niet heeft en b ook niet, dan heeft a.b nog steeds geen priemfactoren gemeen met m. Zo kan het dus ook, maar het moet wel een beetje uitgewerkt zijn voor volle punten. T = Een Tegenvoorbeeld dat (a + b)(a 1 + b 1 ) niet gelijk is aan 1, toont alleen aan dat (a 1 + b 1 ) niet de inverse is van a + b. Dat sluit nog niet uit dat a + b een (andere) inverse kan hebben.

2 2. Terug uit Subgroepen: Reken in deze opdracht in Z 221. De modulus 221 is 13 maal 17. Voor a = 6 is a 2 = 36. (a) Waaraan moeten de getallen W 13 en W 17 voldoen die je gebruikt om bij de CRT terug te rekeken uit de subgroepen naar de hoofdgroep? (b) Geef W 13 en W 17 en laat zien hoe je ze vindt. (c) Geef de andere drie wortels van 36, en laat zien hoe je ze vindt. Oplossing: (a) Deze W p en W q zijn een soort eenheidsvectoren, dwz bij uitdelen naar de subgroepen geven ze de vectoren (1, 0) en (0, 1). Dus W p is een q-voud dat een p-voud plus 1 is en W q is een p-voud dat een q-voud plus 1 is. (b) Met Euclides bereken je de ggd van 13 en 17; de achtereenvolgende resten zijn 17, 13, 4, 1. Met Extended Euclides schrijf je elk van deze als 13-voud plus 17-voud: 17 is 0 plus is 13 plus 0. 4 is (17 min 13 dus) -13 plus is (13 min drie keer 4, dwz. 13 plus 0 min driekeer -13 plus 17, dwz.,) 52 min 51. Hieruit haal je W 13 = 51 = 170 en W 17 = 52. (c) Uitdelen van a naar subgroepen geeft (6, 6). Van de eerste component neem ik het complement dwz. 7 (er wordt daar immers modulo 13 gerekend). Ik herleid (7, 6) terug naar de hoofdgroep: 7 x x 52 is 1502 is 176. (Check: is is 36.) De andere wortels zijn -6 ofwel 215 en -176 ofwel 45. (Die twee zou ik natuurlijk ook kunnen vinden door (6, 11) en (7, 11) met W p en W q terug te rekenen; maar tegengestelde nemen mod 221 is iets simpeler te doen en dan is 1x goochelen met W s genoeg in deze opgave.) Beoordeling/Toelichting: Per deelvraag een punt. Codes: A = Vindt Alleen 6 als Andere wortel, 0pt. B = Vindt wortels met Brute Forcen, 1/2. E = Zegt alleen W p + W q = 1; dit is wel zo, maar onvoldoende om de getallen uniek te karakteriseren. G = Goocheme Gastjes Gebruikten Gewoon (W p W q ) 2 = 1, Gaven Gretig 6.(W p W q ), Goed Getal! Geniaal! Want verwisselen van de W s (fout V) levert toch goed antwoord. M = Zegt p.w p + q.w q = 1; onjuist, is m-voud. P = Inderdaad, de priemfactoren zijn een viervoud Plus 1, zodat je niet zo gemakkelijk wortels kunt berekenen mod 13 en mod 17. Gelukkig hoeft dat ook niet, want 1 wortel is immers al gegeven. R = Je kunt ExtEuc ook Recursief doen, in een computer gaat dit prima, maar als t met de hand moet vind ik zelf het iteratieve iets overzichtelijker. S = Soms kun je Sommen oplossen met Standaardtruckjes, maar soms moet je ook geoon even Slim zijn! V = Verwissel W p en W q niet! W p is een veelvoud van q en W q is een veelvoud van p.

3 3. RSA BerichtRange: Alice gaat Bob een getal x sturen, versleuteld met RSA. Oscar weet al dat x < en hij kent Bobs public key. (a) Leg uit hoe Oscar, na de ciphertext y te onderscheppen, x kan vinden. (b) Schat de hoeveelheid rekenwerk voor Oscar, in vergelijking met de decryptietijd voor Bob. (c) Hoe kunnen Alice en Bob zich beter beschermen tegen aanvallen als van de plaintext bekend is dat deze uit een vrij kleine verzameling komt? Oplossing: (a) RSA is deterministisch, herhaald encrypten van een waarde geeft altijd dezelfde ciphertext. Oscar kan de 100 getallen in de genoemde range allemaal encrypten (want hij heeft de public key) en de 100 uitkomsten vergelijken met y. Na hoogstens 100 decrypties vindt hij x (verwacht als hij het in random volgorde doet). (b) Oscar moet 100 encrypties doen en Bob 1 decryptie. Omdat decrypties 180x zo duur zijn (bij de populaire parameters k = 2048 en e = 65537), is Oscar nog eerder klaar dan Bob! Oscar doet namelijk ongeveer 50 keer 17 verm., en Bob ongeveer Hij kan zelfs nog sneller werken door de 100 encrypties al voor te berekenen en de antwoorden gesorteerd te bewaren. Als Bob de CRT gebruikt bij decryptie, kost dat ongeveer zoveel als 45 encrypties, vergelijkbaar met Oscars verwachte tijd! (c) Ze kunnen randomisering toepassen; in de practijk zit dit altijd verwerkt in de gebruikte padding. Van de ruim 2000 bits waaruit een RSA getal bestaat, kun je bv 1000 bits gebruiken om de boodschap in op te slaan (al is 20 genoeg voor dit korte berichtje), en 1000 bits vullen met random bits. Beoordeling/Toelichting: Per deelvraag een punt dus max 3. Beoordelingscodes: B = Range is Binair opgevat, dan natuurlijk vier mogelijkheden. C = De Chinese Rest Stelling zorgt wel voor 4x zo weinig werk. Maar dit zijn niet 768 verm. ipv 3072, maar 3072 verm. van k/2-bits lengte. Geen aftrek. E = Elgamal is van nature gerandomiseerd, net als hybride encryptie, en wordt goed gerekend ook als randomisering verder niet expliciet genoemd wordt. F = Je vergeet de Factor 17 voor Oscar. G = Neem een Grotere e. Dit maakt encrypties wel duurder voor Oscar, maar zelfs met de maximale lengte voor e nooit meer dan een decryptie. De message attack zal dus nooit meer kosten dan (verwacht) decrypties. 1/2pt. H = Hashen is deterministisch en maakt de verzameling mogelijke berichten niet groter. K = De lengte van de getallen waarmee Oscar rekent is k, De x lijkt wel kort, kan in 20 bits, maar als RSA-getal reken je altijd modulo m. L = Een Langere sleutel: nee omdat Oscars werk kwadratisch groeit en Bobs werk kubisch. M = Meermaals encrypten helpt niet. P = Noem niet alleen Padding; voor punten is nodig dat je expliciet noemt dat dit met random bits gebeurt. S = Symmetrische toevoeging (Salt, afgesproken blinder, OTP) telt niet. T = Toch wel slim al werkt het niet helemaal zo: Alice bewerkt x eerst met haar private key dus stuurt y = (x d A) e B. Bob decrypteert eerst met d B en werkt dan met e A. Deze voorbewerking is wel deterministisch, maar kan niet door Oscar worden uitgevoerd en toch door Bob worden teruggedraaid. Probleempje wat je nog op moet lossen is dat Alice en Bob met verschillende moduli rekenen! V = Exact Verwacht aantal pogingen. Als je Brute Forcet in n mogelijkheden, is je aantal pogingen 1 tot n, elk met kans 1 n+1 n. Het verwachte aantal pogingen is 2, dus wel ongeveer maar niet exact n 2. Het verwachte aantal vermenigvuldigingen voor Oscar is

4 4. Signature en Hashing: Een veelgebruikte manier om berichten te ondertekenen is SHA2RSA, wat wil zeggen dat van het bericht M eerst een SHA2 hash F wordt berekend, en dat die hash wordt gesigned met RSA. (a) Is voor SHA2RSA het Signen of het Verifiëren het duurst? Maakt het hierbij verschil of het bericht lang of kort is? Leg uit. (b) Kan de rekentijd voor Signen of Verifiëren worden verkort door het gebruik van de CRT? Leg uit. (c) De rekentijd voor Verifiëren kan worden beperkt door met het bericht, behalve S ook F mee te sturen. De hash hoeft dan bij verificatie niet te worden herberekend. Welke aanval is in dit aangepaste systeem mogelijk? Oplossing: (a) Voor Signen moet je het bericht hashen en de private RSA-functie aanroepen op de hash. Voor Verifiëren moet je ook het bericht hashen en dan de publieke functie aanroepen op de handtekening. Hashen is natuurlijk duurder voor een lang bericht, maar omdat dit voor beide handelingen nodig is, maakt dat voor het antwoord niet uit. De RSA publieke functie is heel goedkoop en de private functie is duur (kwadratisch versus kubisch), dus ondertekenen is flink duurder dan controleren, ongeacht de berichtlengte. (b) Voor gebruik van de CRT moet je de factoren van de modulus weten. Bij Signen zijn die bekend, de CRT wordt vaak gebruikt en bespaart een factor 4. Voor de Verifier zijn de factoren niet bekend, dus kan CRT niet worden gebruikt. (c) Van de combinatie (M, F, S) kan een aanvaller ongemerkt het hele bericht M vervangen door een nepbericht M. De combinatie van F en S blijft hierbij geldig. De Verifier merkt dit alleen op als hij ook narekent dat F = H(M), wat dus in alle gevallen toch nog moet gebeuren. Beoordeling/Toelichting: Per deelvraag 1pt dus totaal te halen 3. A = Het Achterhalen van de message is geen aanval op een signature. B = Het overnemen van een Bestaand bericht geldt niet als vervalsing. C = Zelfs met de CRT blijft signen veruit het duurst. D = Bij Signen moet je d eerst berekenen, onjuist. Ten eerste klopt het niet omdat je d berekent bij de key generation, bovendien is het inverteren van e een peuleschil in verhouding tot alle andere berekeningen. E = Ga uit van een willekeurig paar (S, F ) verkregen uit Existentiële Vervalsing. Dit is goed gerekend, maar feitelijk dubieus. Voor de SHA2 hash van M zijn immers maar mogelijkheden, en, bij deterministische padding, voor het overeenkomstige RSA getal dus ook. Als je een EV maakt, is de kans heel klein dat de F een geldig RSA-getal is. H = Het Hashen kost wel tijd (afhankelijk van de lengte) en dit gebeurt ook bij verifieren! M = Geen of onjuiste Motivatie. T = Hashen kost het meeste Tijd onjuist, dit zal pas bij zeer grote berichten gelden omdat de hashfunctie behoorlijk snel loopt in vergelijk met een RSA private key berekening. V = Verjaardagsaanval waarbij M wordt vervangen door M met dezelfde hash. Niet goed, want (1) dit wordt uitgesloten door botsingsvrijheid en (2) het heeft niets met het meesturen van F te maken.

5 5. Botnets en Cyberaanvallen: (a) Wat is een Botnet? (b) Welke legale Botnets ken je? (c) Welke (vijf) landen hebben de grootste capaciteit voor cyber-aanvallen en wat zijn hun belangrijkste doelen? Oplossing: (a) Zie Sloeserwij sheet 8: Een verzameling verbonden machines, die elk een bot draaien, dat is een stukje software dat geïnstalleerd is op de machine maar onder commando staat van de botnet eigenaar. (b) Sheet 13: Gebruikers kunnen een botnet installeren om ongebruikte computertijd aan een project te doneren, bv. SETI, ClimatePrediction, Coin mining. (c) Op naar sheet 53: 1. USA, veiligheid; 2. Rusland, instabiliteit; 3. China, intellectueel eigendom stelen; 4. Iran, conflict Midden-Oosten; 5. Noord Korea, oorlog met Zuid Korea. Beoordeling/Toelichting: Voor (a) en (b) elk 1/2 te verdienen. Voor (c) 1/2 als je de vijf landen noemt en nog 1/2 als je drie doelen weet. G = Ik weet er Geen, da s een Goed antwoord! Niet alles wat klopt levert punten! I = Iran en Irak zijn vijanden van elkaar, niet alle Iranezen en Irakiërs zullen het leuk vinden als je die twee door elkaar haalt. Israel is ook niet hetzelfde als Iran. S = Subjectieve Story wel van die Sloeserwij! Zo is het, maar meerdere experts delen zijn analyse, en zo kon ik checken hoe serieus je naar zijn verhaal geluisterd hebt. T = Twee botnets noemen bij naam is toch wel wat ik verwachtte bij (b) voor volle punten.